NIA 265 COMUNICACIÓN DE LAS DEFICIENCIAS EN EL CONTROL INTERNO A LOS RESPONSABLES DEL GOBIERNO Y A LA DIRECCIÓN DE LA ENTIDAD  

Introducción

Alcance de esta NIA

1. Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad que tiene el auditor de comunicar adecuadamente, a los responsables del gobierno de la entidad y a la dirección, las deficiencias en el control interno que haya identificado durante la realización de la auditoría de los estados financieros. Esta NIA no impone responsabilidades adicionales al auditor con respecto a la obtención de conocimiento del control interno y al diseño y la realización de pruebas de controles más allá de los requerimientos dela NIA 315 (Revisada) y la NIA 330. La NIA 260 establece requerimientos adicionales y proporciona orientaciones sobre la responsabilidad que tiene el auditor de comunicarse con los responsables del gobierno de la entidad en relación con la auditoría.

2. Al realizar la identificación y valoración del riesgo de incorrección material el auditor debe obtener conocimiento del control interno relevante para la auditoría. Al efectuar dichas valoraciones del riesgo, el auditor tiene en cuenta el control interno con el fin de diseñar procedimientos de auditoría adecuados a las circunstancias, y no con la finalidad de expresar una opinión sobre la eficacia del control El auditor puede identificar deficiencias en el control interno no sólo durante el proceso de valoración del riesgo, sino también en cualquier otra fase de la auditoría. Esta NIA especifica las deficiencias identificadas que el auditor debe comunicar a los responsables del gobierno de la entidad y a la dirección.

3. Esta NIA no impide que el auditor comunique a los responsables del gobierno de la entidad y a la dirección cualquier otra cuestión sobre el control interno que el auditor haya identificado durante la realización de la auditoría.

Fecha de entrada en vigor

4. Esta NIA es aplicable a las auditorías de estados financieros correspondientes a periodos iniciados a partir del 15 de diciembre de 2009.

Objetivo

5. El objetivo del auditor es comunicar adecuadamente a los responsables del gobierno de la entidad y a la dirección las deficiencias en el control interno identificadas durante la realización de la auditoría y que, según el juicio profesional del auditor, tengan la importancia suficiente para merecer la atención de ambos.

Definiciones

6. A efectos de las NIA, los siguientes términos tienen los significados que figuran a continuación:

  • Deficiencia en el control interno. Existe una deficiencia en el control interno cuando:
    • un control está diseñado, se implementa u opera de forma que no sirve para prevenir, o detectar y corregir incorrecciones en los estados financieros oportunamente; o
    • no existe un control necesario para prevenir, o detectar y corregir, oportunamente, incorrecciones en los estados financieros.
  • Deficiencia significativa en el control interno: deficiencia o conjunto de deficiencias en el control interno que, según el juicio profesional del auditor, tiene la importancia suficiente para merecer la atención de los responsables del gobierno de la entidad. (Ref.: Apartado A5)
Leer Más

    A5. La significatividad de una deficiencia o de un conjunto de deficiencias en el control interno depende no sólo de si se ha producido realmente alguna incorrección, sino también de la probabilidad de que se pueda producir y de la posible magnitud de la incorrección. En consecuencia, pueden existir deficiencias significativas, aunque el auditor no haya identificado incorrecciones durante la realización de la auditoría.

    Requerimientos

    7. El auditor determinará si, sobre la base del trabajo de auditoría realizado, ha identificado una o más deficiencias en el control interno. (Ref.: Apartados A1–A4) Leer Más

    A1. Para determinar si el auditor ha identificado una o más deficiencias en el control interno, él puede discutir los hechos y circunstancias relevantes relativas a sus hallazgos con el nivel adecuado de la dirección. Esta discusión proporciona al auditor la oportunidad de poner en conocimiento de la dirección, oportunamente, la existencia de deficiencias que es posible que la dirección no conociera con anterioridad. El nivel dentro de la dirección al que procede comentar los hallazgos es aquél que esté familiarizado con el área de control interno afectada, además de autorizado para adoptar medidas para la corrección de cualquier deficiencia identificada en el control interno. En algunas circunstancias, es posible que no resulte adecuado que el auditor comente sus hallazgos directamente con la dirección, por ejemplo, si los hallazgos parecen poner en duda la integridad o la competencia de la dirección (véase apartado A20).

    A2.  El auditor, al discutir con la dirección los hechos y circunstancias relativas a sus hallazgos, puede obtener otra información relevante que tendrá en cuenta posteriormente, como:

    • El conocimiento que tiene la dirección sobre las causas reales o supuestas de las deficiencias.
    • Las excepciones por deficiencias en las que pueda haber reparado la dirección; por ejemplo, incorrecciones que no fueron evitadas por los controles relevantes de las tecnologías de la información (TI).
    • Una indicación preliminar por parte de la dirección de su respuesta ante los hallazgos.

    Consideraciones específicas para entidades de pequeña dimensión

    A3. Aunque los conceptos subyacentes a las actividades de control en las entidades de pequeña dimensión probablemente sean similares a los de entidades de gran dimensión, diferirán en cuanto al grado de formalización con que se aplican. Además, las entidades de pequeña dimensión pueden considerar innecesarios determinados tipos de actividades de control debido a los controles aplicados por la dirección. Por ejemplo, el hecho de que únicamente la dirección esté autorizada a conceder créditos a clientes o a aprobar compras significativas puede proporcionar un control fuerte sobre saldos contables y transacciones importantes, reduciendo o eliminando la necesidad de actividades de control más detalladas.

    A4. Además, las entidades de pequeña dimensión suelen tener menos empleados, lo que puede limitar la posibilidad de segregación defunciones. Sin embargo, en una entidad de pequeña dimensión dirigida por el propietario, éste puede ejercer una supervisión más eficaz que en una entidad de gran dimensión. Este mayor nivel de supervisión por parte de la dirección debe ponderarse con la mayor probabilidad de que la dirección eluda los controles.

    8. Si el auditor ha identificado una o más deficiencias en el control interno, determinará, sobre la base del trabajo de auditoría realizado, si, individualmente o de manera agregada, constituyen deficiencias significativas. (Ref.: Apartados A5–A11) Leer Más

    A5. La significatividad de una deficiencia o de un conjunto de deficiencias en el control interno depende no sólo de si se ha producido realmente alguna incorrección, sino también de la probabilidad de que se pueda producir y de la posible magnitud de la incorrección. En consecuencia, pueden existir deficiencias significativas, aunque el auditor no haya identificado incorrecciones durante la realización de la auditoría.

    A6.  A la hora de determinar si una deficiencia o un conjunto de deficiencias en el control interno constituye una deficiencia significativa, el auditor puede tener en cuenta cuestiones como las siguientes:

    • La probabilidad de que las deficiencias den lugar en el futuro a incorrecciones materiales en los estados financieros.
    • La exposición del activo o pasivo correspondiente a pérdida o fraude.
    • La subjetividad y complejidad a la hora de determinar cantidades estimadas, como, por ejemplo, las estimaciones contables a valor razonable.
    • Las cantidades en los estados financieros que podrían estar afectadas por las deficiencias.
    • El movimiento que se ha producido o podría producirse en el saldo de las cuentas o los tipos de transacciones que podrían estar afectados por la deficiencia o deficiencias.
    • La importancia de los controles en relación con el proceso de información financiera; por ejemplo:
      • Controles generales de seguimiento (como la supervisión de la dirección).
      • Controles sobre la prevención y detección del fraude.
      • Controles sobre la selección y aplicación de políticas contables significativas.
      • Controles sobre las transacciones significativas con partes vinculadas.
      • Controles sobre las transacciones significativas ajenas al curso normal del negocio de la entidad.
      • Controles sobre el proceso de información financiera al cierre del periodo (tales como controles sobre asientos no recurrentes en el libro diario).
    • La causa y frecuencia de las excepciones detectadas como consecuencia de las deficiencias de los controles.
    • La interacción de la deficiencia con otras deficiencias en el control interno.

    A7. Son indicadores de deficiencias significativas en el control interno, por ejemplo:

    • La evidencia de aspectos ineficaces del entorno de control, tales como:
      • Indicios de que los responsables del gobierno de la entidad no están examinando adecuadamente transacciones significativas en las que la dirección tiene intereses financieros.
      • La identificación de fraude de la dirección sea o no material, que el control interno de la entidad no evitó.
      • La falta de implementación por la dirección de medidas correctoras adecuadas en relación con deficiencias significativas comunicadas con anterioridad.
    • La ausencia de un proceso de valoración del riesgo dentro de la entidad, cuando normalmente cabría esperar que se hubiera establecido dicho proceso.
    • Evidencia de un proceso ineficaz de valoración del riesgo por la entidad, por ejemplo, la falta de identificación por la dirección de un riesgo de incorrección material que el auditor podría esperar que hubiera sido identificado por el proceso de valoración del riesgo por la entidad.
    • Evidencia de una respuesta ineficaz ante riesgos significativos identificados (por ejemplo, ausencia de controles sobre dichos riesgos).
    • Incorrecciones detectadas por los procedimientos del auditor que el control interno de la entidad no evitó, o bien no detectó ni, por tanto, corrigió.
    • La reformulación de estados financieros publicados anteriormente con el fin de reflejar la corrección de una incorrección material debida a error o fraude.
    • Evidencia de que la dirección no es capaz de supervisar la preparación de los estados financieros.

    A8. Los controles se pueden diseñar para que funcionen de forma individual o en combinación con otros con el fin de prevenir, o detectar y corregir, eficazmente las incorrecciones. Por ejemplo, los controles sobre las cuentas a cobrar pueden consistir tanto en controles automatizados como manuales, diseñados para operar conjuntamente con el fin de prevenir, o detectar y corregir, incorrecciones en el saldo de la cuenta. Una deficiencia en el control interno puede no tener suficiente importancia, por sí sola, para constituir una deficiencia significativa. Sin embargo, un conjunto de deficiencias que afecten al mismo saldo contable o información a revelar, afirmación relevante o componente del control interno puede aumentar los riesgos de incorrección hasta el punto de dar lugar a una deficiencia significativa.

    A9. Las disposiciones legales o reglamentarias de algunas jurisdicciones pueden requerir (especialmente en auditorías de entidades cotizadas) que el auditor comunique a los responsables del gobierno de la entidad o a otras partes relevantes (por ejemplo, las autoridades reguladoras) uno o más tipos específicos de deficiencias en el control interno que haya identificado durante la realización de la auditoría. Cuando las disposiciones legales o reglamentarias hayan establecido términos y definiciones específicos para dichos tipos de deficiencias y requieran que el auditor utilice dichos términos y definiciones a efectos de la comunicación, el auditor, empleará en ella dichos términos y definiciones de conformidad con el requerimiento legal o reglamentario.

    A10. Cuando la jurisdicción haya establecido términos específicos para la comunicación de los tipos de deficiencias en el control interno, pero no haya definido dichos términos, es posible que el auditor necesite aplicar su juicio para determinar las cuestiones que vayan a comunicarse más allá del requerimiento legal o reglamentario. Al hacerlo, el auditor puede considerar adecuado tener en cuenta los requerimientos y las orientaciones de esta NIA. Por ejemplo, si el propósito del requerimiento normativo es llamar la atención delos responsables del gobierno de la entidad sobre determinadas cuestiones de control interno que deberían conocer, puede ser adecuado considerar que dichas cuestiones equivalen, en general, a las deficiencias significativas que esta NIA exige que se comuniquen a los responsables del gobierno de la entidad.

    A11. Los requerimientos de esta NIA siguen siendo aplicables con independencia de que las disposiciones legales o reglamentarias requieran o no la utilización por el auditor de términos o definiciones específicos.

    9. El auditor comunicará a los responsables del gobierno de la entidad, por escrito y oportunamente, las deficiencias significativas en el control interno identificadas durante la realización de la auditoría. (Ref.: Apartados A12– A18, A27) Leer Más

    A12. La comunicación por escrito de las deficiencias significativas a los responsables del gobierno de la entidad refleja la importancia de estas cuestiones y facilita a los responsables del gobierno de la entidad el cumplimiento de sus responsabilidades de supervisión. La NIA 260 (Revisada) contiene consideraciones relevantes con respecto a la comunicación con los responsables del gobierno de la entidad cuando todos ellos participan en la dirección de la entidad.

    A13. El auditor, para determinar el momento en que emitirá la comunicación escrita, puede tener en cuenta si la recepción de dicha comunicación sería un factor importante para permitir a los responsables del gobierno de la entidad cumplir sus responsabilidades de supervisión. Además, para las entidades cotizadas de determinadas jurisdicciones, puede ser necesario que los responsables del gobierno de la entidad reciban la comunicación escrita del auditor antes de la fecha de aprobación de los estados financieros, con el fin de cumplir responsabilidades específicas relativas al control interno a efectos normativos o de otro tipo. Para otras entidades, el auditor puede emitir la comunicación escrita en una fecha posterior. Sin embargo, en este último caso, como la comunicación escrita del auditor sobre deficiencias significativas forma parte del archivo final de auditoría, dicha comunicación escrita está sujeta al requerimiento fundamental7 de que el auditor finalice la compilación del archivo final de auditoría oportunamente. La NIA 230 establece que un plazo adecuado para completar la compilación del archivo final de auditoría normalmente no excede de 60 días desde la fecha del informe de auditoría.

    A14. Con independencia de la fecha prevista para la comunicación escrita de las deficiencias significativas, el auditor puede, en primera instancia, comunicarlas verbalmente a la dirección y, cuando proceda, a los responsables del gobierno de la entidad, con el fin de facilitarles la adopción oportuna de medidas correctoras para minimizar los riesgos de incorrección material. Lo anterior, sin embargo, no exime al auditor de la responsabilidad de comunicar las deficiencias significativas por escrito, tal como la presente NIA requiere.

    A15. El grado de detalle de la comunicación de las deficiencias significativas lo decidirá el auditor, ejerciendo su juicio profesional, a la luz de las circunstancias que concurran. Entre los factores que el auditor puede tener en cuenta para determinar el grado de detalle adecuado de la comunicación están:

    • La naturaleza de la Por ejemplo, el tipo de comunicación que se requiere con respecto a una entidad de interés público puede ser distinto al que se requiere en el caso de una entidad que no sea de interés público.
    • La dimensión y la complejidad de la entidad. Por ejemplo, la comunicación que se requiere en el caso de una entidad compleja puede ser diferente a la que se requiere en el caso de una entidad cuyo negocio es simple.
    • La naturaleza de las deficiencias significativas que el auditor ha identificado.
    • La composición del gobierno de la entidad. Por ejemplo, puede ser necesario un mayor grado de detalle si entre los responsables del gobierno de la entidad hay miembros que no tienen experiencia significativa en el sector en el que opera la entidad o en las áreas afectadas.
    • Los requerimientos legales o reglamentarios relativos a la comunicación de tipos específicos de deficiencias en el control interno.

    A16. Puede que la dirección y los responsables del gobierno de la entidad ya conozcan las deficiencias significativas identificadas por el auditor durante la realización de la auditoría, y hayan decidido no corregirlas por razones de coste u otras consideraciones. La responsabilidad de evaluar los costes y los beneficios de la aplicación de medidas correctoras corresponde a la dirección y a los responsables del gobierno de la entidad. Por consiguiente, el requerimiento del apartado 9 es aplicable con independencia del coste u otras consideraciones que la dirección y los responsables del gobierno de la entidad puedan estimar relevantes para determinar sise corrigen dichas deficiencias.

    A17. Aunque el auditor haya comunicado una deficiencia significativa a los responsables del gobierno de la entidad y a la dirección en una auditoría anterior, continúa siendo necesario que el auditor repita dicha comunicación si aún no se han adoptado medidas correctoras. Si sigue existiendo una deficiencia significativa comunicada anteriormente, en la comunicación del ejercicio en curso se puede repetir la descripción de la comunicación anterior o, simplemente, hacer referencia a ella. El auditor puede preguntar a la dirección o, cuando proceda, a los responsables del gobierno de la entidad, el motivo por el que la deficiencia significativa aún no se ha corregido. El hecho de no actuar, en ausencia de una explicación racional, puede suponer en sí mismo una deficiencia significativa.

    Consideraciones específicas para entidades de pequeña dimensión

    A18. En el caso de auditorías de entidades de pequeña dimensión, el auditor puede comunicarse con los responsables del gobierno de la entidad de una manera menos formal que en el caso de entidades de gran dimensión.

    A27. Los auditores del sector público pueden tener responsabilidades adicionales de comunicar deficiencias en el control interno identificadas durante la realización de la auditoría, de un modo y con un grado de detalle no previstos en la presente NIA, así como a terceros igualmente no previstos en la presente NIA. Por ejemplo, las deficiencias significativas pueden tener que comunicarse al Parlamento u otro órgano de gobierno. Las disposiciones legales, reglamentarias u otras disposiciones también pueden exigir que los auditores del sector público informen de las deficiencias en el control interno, con independencia de la significatividad de los posibles efectos de dichas deficiencias. Además, la legislación puede requerir que los auditores del sector público informen sobre cuestiones relacionadas con el control interno que van más allá de las deficiencias en el control interno cuya comunicación requiere esta NIA; por ejemplo, controles relacionados con el cumplimiento de disposiciones legales, reglamentarias o disposiciones contractuales o acuerdos de subvención.

    10. El auditor también comunicará oportunamente y al nivel adecuado de responsabilidad de la dirección: (Ref.: Apartados A19, A27) Leer Más

    A19. Por lo general, el nivel adecuado de la dirección es el que tiene la responsabilidad y autoridad necesarias para evaluar las deficiencias en el control interno y adoptar las medidas correctoras necesarias. En el caso de deficiencias significativas, el nivel adecuado probablemente sea el presidente ejecutivo o el director financiero (o sus equivalentes), ya que también se requiere que estas cuestiones se comuniquen a los responsables del gobierno de la entidad. En cuanto a otras deficiencias en el control interno, el nivel adecuado puede ser la dirección operativa que participe de forma más directa en las áreas de control afectadas y tenga autoridad para adoptar las medidas correctoras adecuadas.

    A27. Los auditores del sector público pueden tener responsabilidades adicionales de comunicar deficiencias en el control interno identificadas durante la realización de la auditoría, de un modo y con un grado de detalle no previstos en la presente NIA, así como a terceros igualmente no previstos en la presente NIA. Por ejemplo, las deficiencias significativas pueden tener que comunicarse al Parlamento u otro órgano de gobierno. Las disposiciones legales, reglamentarias u otras disposiciones también pueden exigir que los auditores del sector público informen de las deficiencias en el control interno, con independencia de la significatividad de los posibles efectos de dichas deficiencias. Además, la legislación puede requerir que los auditores del sector público informen sobre cuestiones relacionadas con el control interno que van más allá de las deficiencias en el control interno cuya comunicación requiere esta NIA; por ejemplo, controles relacionados con el cumplimiento de disposiciones legales, reglamentarias o disposiciones contractuales o acuerdos de subvención.

    • Por escrito, las deficiencias significativas en el control interno que el auditor haya comunicado o tenga intención de comunicar a los responsables del gobierno de la entidad, salvo que, teniendo en cuenta las circunstancias, su comunicación directa a la dirección resulte inadecuada; y (Ref.: Apartados A14, A20–A21)
    Leer Más

    A14. Con independencia de la fecha prevista para la comunicación escrita de las deficiencias significativas, el auditor puede, en primera instancia, comunicarlas verbalmente a la dirección y, cuando proceda, a los responsables del gobierno de la entidad, con el fin de facilitarles la adopción oportuna de medidas correctoras para minimizar los riesgos de incorrección material. Lo anterior, sin embargo, no exime al auditor de la responsabilidad de comunicar las deficiencias significativas por escrito, tal como la presente NIA requiere.

    A20. Determinadas deficiencias significativas identificadas en el control interno pueden poner en duda la integridad o la competencia de la dirección. Por ejemplo, puede haber evidencia de fraude o de incumplimiento intencionado de las disposiciones legales y reglamentarias por parte de la dirección, o se puede poner de manifiesto la incapacidad de la dirección para supervisar la preparación de estados financieros adecuados, lo cual puede poner en duda la competencia de la dirección. En consecuencia, es posible que no resulte adecuado comunicar dichas deficiencias directamente a la dirección.

    A21. La NIA 250 establece requerimientos y proporciona orientaciones sobre el modo de informar respecto de los incumplimientos de las disposiciones legales o reglamentarias identificados o de indicios de su incumplimiento, incluido en el caso de que los propios responsables del gobierno de la entidad estén implicados en dicho incumplimiento. La NIA 240 establece requerimientos y proporciona orientaciones sobre la comunicación a los responsables del gobierno de la entidad cuando el auditor ha identificado un fraude o indicios de fraude que impliquen a la dirección.

    • Otras deficiencias en el control interno identificadas durante la realización de la auditoría que no hayan sido comunicadas ala dirección por otras partes y que, según el juicio profesional del auditor, tengan la importancia suficiente para merecer la atención de la dirección. (Ref.: Apartados A22–A26)
    Leer Más

    A22. Durante la realización de la auditoría, el auditor puede identificar otras deficiencias en el control interno que, si bien no son significativas, tienen la importancia suficiente como para merecer la atención de la dirección. La determinación de estas otras deficiencias en el control interno que merecen la atención de la dirección se hará ejerciendo el juicio profesional, a la luz de las circunstancias, teniendo en cuenta la probabilidad y la posible magnitud de las incorrecciones que puedan afectar a los estados financieros como consecuencia de dichas deficiencias.

    A23. La comunicación de estas otras deficiencias en el control interno que merezcan la atención de la dirección no ha de realizarse necesariamente por escrito, sino que puede ser verbal. En los casos en los que el auditor haya discutido los hechos y las circunstancias relativas a sus hallazgos con la dirección, puede considerar que la comunicación verbal de dichas otras deficiencias a la dirección se ha realizado en el transcurso de tales discusiones. Por consiguiente, no es necesario realizar una comunicación formal posterior.

    A24. Si, en un periodo anterior, el auditor ha comunicado a la dirección deficiencias en el control interno que no sean significativas, y la dirección ha decidido no corregirlas por razones de coste o de otro tipo, no es necesario que el auditor repita la comunicación en el periodo actual. Tampoco se requiere que el auditor repita la información sobre dichas deficiencias si anteriormente ya han sido comunicadas a la dirección por otras partes, por ejemplo, por la función de auditoría interna o por las autoridades reguladoras. No obstante, puede ser adecuado que el auditor vuelva a comunicar esas otras deficiencias si ha habido un cambio en la dirección, o en el caso de que el auditor haya obtenido nueva información que modifique el conocimiento que el auditor o la dirección tenían anteriormente con respecto a dichas deficiencias. No obstante, el hecho de que la dirección no corrija esas otras deficiencias en el control interno que le fueron comunicadas con anterioridad puede convertirse en una deficiencia significativa que requiera ser comunicada a los responsables del gobierno de la entidad. La determinación de si éste es el caso la hará el auditor ejerciendo su juicio a la luz de las circunstancias.

    A25. En algunas circunstancias, los responsables del gobierno de la entidad pueden desear ser informados de los detalles de las otras deficiencias en el control interno que el auditor haya comunicado a la dirección, o que se les informe brevemente de la naturaleza de dichas otras deficiencias. El auditor, por su parte, puede considerar adecuado informar a los responsables del gobierno de la entidad de que ha comunicado estas otras deficiencias a la dirección. En cualquiera de los dos casos, el auditor puede informar verbalmente o por escrito a los responsables del gobierno de la entidad, según proceda.

    A26. La NIA 260 (Revisada) contiene consideraciones relevantes con respecto a la comunicación con los responsables del gobierno de la entidad cuando todos ellos participan en la dirección de la entidad.

    11. El auditor incluirá en la comunicación escrita sobre las deficiencias significativas en el control interno:

    • Una descripción de las deficiencias y una explicación de sus posibles efectos; y (Ref.: Apartado A28)
    Leer Más

    A28. Para explicar los posibles efectos de las deficiencias significativas, no es necesario que el auditor cuantifique dichos efectos. Las deficiencias significativas pueden agruparse a efectos de presentación de la información cuando resulte oportuno hacerlo. El auditor también puede incluir en la comunicación escrita sugerencias sobre las medidas correctoras de las deficiencias, las respuestas decididas o propuestas por la dirección, así como una declaración relativa a si el auditor ha dado algún paso para verificar si se han implementado las respuestas de la dirección.

    • Información suficiente para permitir a los responsables del gobierno de la entidad y a la dirección comprender el contexto de la comunicación. En especial, el auditor explicará que: (Ref.: Apartados A29–A30)
    Leer Más

    A29. El auditor puede considerar adecuado incluir la siguiente información como contexto adicional de la comunicación:

    • Una indicación de que, si el auditor hubiera realizado procedimientos más extensos con respecto al control interno, el auditor podría haber identificado más deficiencias sobre las que informar o podría haber concluido que en realidad no era necesario informar sobre algunas de las deficiencias comunicadas.
    • Una indicación de que tal comunicación se proporciona para los fines de los responsables del gobierno de la entidad, y que puede no ser adecuada para otros fines.

    A30. Las disposiciones legales o reglamentarias pueden requerir que el auditor o la dirección proporcionen una copia de la comunicación escrita del auditor sobre deficiencias significativas a las autoridades reguladoras correspondientes. Cuando éste sea el caso, en la comunicación escrita del auditor puede incluirse la identidad de dichas autoridades reguladoras.

      • El propósito de la auditoría era que el auditor expresara una opinión sobre los estados financieros;
      • La auditoría tuvo en cuenta el control interno relevante para la preparación de los estados financieros con el fin de diseñar los procedimientos de auditoría adecuados a las circunstancias, y no con la finalidad de expresar una opinión sobre la eficacia del control interno; y
      • Las cuestiones sobre las que se informa se limitan a las deficiencias que el auditor ha identificado durante la realización de la auditoría y sobre las que el auditor ha llegado a la conclusión de que tienen importancia suficiente para merecer ser comunicadas a los responsables del gobierno de la entidad.

    Guía de aplicación y otras anotaciones explicativas

    Determinación de si se han identificado deficiencias en el control interno (Ref.: Apartado 7)

    A1. Para determinar si el auditor ha identificado una o más deficiencias en el control interno, él puede discutir los hechos y circunstancias relevantes relativas a sus hallazgos con el nivel adecuado de la dirección. Esta discusión proporciona al auditor la oportunidad de poner en conocimiento de la dirección, oportunamente, la existencia de deficiencias que es posible que la dirección no conociera con anterioridad. El nivel dentro de la dirección al que procede comentar los hallazgos es aquél que esté familiarizado con el área de control interno afectada, además de autorizado para adoptar medidas para la corrección de cualquier deficiencia identificada en el control interno. En algunas circunstancias, es posible que no resulte adecuado que el auditor comente sus hallazgos directamente con la dirección, por ejemplo, si los hallazgos parecen poner en duda la integridad o la competencia de la dirección (véase apartado A20).

    A2.  El auditor, al discutir con la dirección los hechos y circunstancias relativas a sus hallazgos, puede obtener otra información relevante que tendrá en cuenta posteriormente, como:

    • El conocimiento que tiene la dirección sobre las causas reales o supuestas de las deficiencias.
    • Las excepciones por deficiencias en las que pueda haber reparado la dirección; por ejemplo, incorrecciones que no fueron evitadas por los controles relevantes de las tecnologías de la información (TI).
    • Una indicación preliminar por parte de la dirección de su respuesta ante los hallazgos.

    Consideraciones específicas para entidades de pequeña dimensión

    A3. Aunque los conceptos subyacentes a las actividades de control en las entidades de pequeña dimensión probablemente sean similares a los de entidades de gran dimensión, diferirán en cuanto al grado de formalización con que se aplican. Además, las entidades de pequeña dimensión pueden considerar innecesarios determinados tipos de actividades de control debido a los controles aplicados por la dirección. Por ejemplo, el hecho de que únicamente la dirección esté autorizada a conceder créditos a clientes o a aprobar compras significativas puede proporcionar un control fuerte sobre saldos contables y transacciones importantes, reduciendo o eliminando la necesidad de actividades de control más detalladas.

    A4. Además, las entidades de pequeña dimensión suelen tener menos empleados, lo que puede limitar la posibilidad de segregación defunciones. Sin embargo, en una entidad de pequeña dimensión dirigida por el propietario, éste puede ejercer una supervisión más eficaz que en una entidad de gran dimensión. Este mayor nivel de supervisión por parte de la dirección debe ponderarse con la mayor probabilidad de que la dirección eluda los controles.

    Deficiencias significativas en el control interno (Ref.: Apartados 6(b), 8)

    A5. La significatividad de una deficiencia o de un conjunto de deficiencias en el control interno depende no sólo de si se ha producido realmente alguna incorrección, sino también de la probabilidad de que se pueda producir y de la posible magnitud de la incorrección. En consecuencia, pueden existir deficiencias significativas, aunque el auditor no haya identificado incorrecciones durante la realización de la auditoría.

    A6.  A la hora de determinar si una deficiencia o un conjunto de deficiencias en el control interno constituye una deficiencia significativa, el auditor puede tener en cuenta cuestiones como las siguientes:

    • La probabilidad de que las deficiencias den lugar en el futuro a incorrecciones materiales en los estados financieros.
    • La exposición del activo o pasivo correspondiente a pérdida o fraude.
    • La subjetividad y complejidad a la hora de determinar cantidades estimadas, como, por ejemplo, las estimaciones contables a valor razonable.
    • Las cantidades en los estados financieros que podrían estar afectadas por las deficiencias.
    • El movimiento que se ha producido o podría producirse en el saldo de las cuentas o los tipos de transacciones que podrían estar afectados por la deficiencia o deficiencias.
    • La importancia de los controles en relación con el proceso de información financiera; por ejemplo:
      • Controles generales de seguimiento (como la supervisión de la dirección).
      • Controles sobre la prevención y detección del fraude.
      • Controles sobre la selección y aplicación de políticas contables significativas.
      • Controles sobre las transacciones significativas con partes vinculadas.
      • Controles sobre las transacciones significativas ajenas al curso normal del negocio de la entidad.
      • Controles sobre el proceso de información financiera al cierre del periodo (tales como controles sobre asientos no recurrentes en el libro diario).
    • La causa y frecuencia de las excepciones detectadas como consecuencia de las deficiencias de los controles.
    • La interacción de la deficiencia con otras deficiencias en el control interno.

    A7. Son indicadores de deficiencias significativas en el control interno, por ejemplo:

    • La evidencia de aspectos ineficaces del entorno de control, tales como:
      • Indicios de que los responsables del gobierno de la entidad no están examinando adecuadamente transacciones significativas en las que la dirección tiene intereses financieros.
      • La identificación de fraude de la dirección sea o no material, que el control interno de la entidad no evitó.
      • La falta de implementación por la dirección de medidas correctoras adecuadas en relación con deficiencias significativas comunicadas con anterioridad.
    • La ausencia de un proceso de valoración del riesgo dentro de la entidad, cuando normalmente cabría esperar que se hubiera establecido dicho proceso.
    • Evidencia de un proceso ineficaz de valoración del riesgo por la entidad, por ejemplo, la falta de identificación por la dirección de un riesgo de incorrección material que el auditor podría esperar que hubiera sido identificado por el proceso de valoración del riesgo por la entidad.
    • Evidencia de una respuesta ineficaz ante riesgos significativos identificados (por ejemplo, ausencia de controles sobre dichos riesgos).
    • Incorrecciones detectadas por los procedimientos del auditor que el control interno de la entidad no evitó, o bien no detectó ni, por tanto, corrigió.
    • La reformulación de estados financieros publicados anteriormente con el fin de reflejar la corrección de una incorrección material debida a error o fraude.
    • Evidencia de que la dirección no es capaz de supervisar la preparación de los estados financieros.

    A8. Los controles se pueden diseñar para que funcionen de forma individual o en combinación con otros con el fin de prevenir, o detectar y corregir, eficazmente las incorrecciones. Por ejemplo, los controles sobre las cuentas a cobrar pueden consistir tanto en controles automatizados como manuales, diseñados para operar conjuntamente con el fin de prevenir, o detectar y corregir, incorrecciones en el saldo de la cuenta. Una deficiencia en el control interno puede no tener suficiente importancia, por sí sola, para constituir una deficiencia significativa. Sin embargo, un conjunto de deficiencias que afecten al mismo saldo contable o información a revelar, afirmación relevante o componente del control interno puede aumentar los riesgos de incorrección hasta el punto de dar lugar a una deficiencia significativa.

    A9. Las disposiciones legales o reglamentarias de algunas jurisdicciones pueden requerir (especialmente en auditorías de entidades cotizadas) que el auditor comunique a los responsables del gobierno de la entidad o a otras partes relevantes (por ejemplo, las autoridades reguladoras) uno o más tipos específicos de deficiencias en el control interno que haya identificado durante la realización de la auditoría. Cuando las disposiciones legales o reglamentarias hayan establecido términos y definiciones específicos para dichos tipos de deficiencias y requieran que el auditor utilice dichos términos y definiciones a efectos de la comunicación, el auditor, empleará en ella dichos términos y definiciones de conformidad con el requerimiento legal o reglamentario.

    A10. Cuando la jurisdicción haya establecido términos específicos para la comunicación de los tipos de deficiencias en el control interno, pero no haya definido dichos términos, es posible que el auditor necesite aplicar su juicio para determinar las cuestiones que vayan a comunicarse más allá del requerimiento legal o reglamentario. Al hacerlo, el auditor puede considerar adecuado tener en cuenta los requerimientos y las orientaciones de esta NIA. Por ejemplo, si el propósito del requerimiento normativo es llamar la atención delos responsables del gobierno de la entidad sobre determinadas cuestiones de control interno que deberían conocer, puede ser adecuado considerar que dichas cuestiones equivalen, en general, a las deficiencias significativas que esta NIA exige que se comuniquen a los responsables del gobierno de la entidad.

    A11. Los requerimientos de esta NIA siguen siendo aplicables con independencia de que las disposiciones legales o reglamentarias requieran o no la utilización por el auditor de términos o definiciones específicos.

    Comunicación de deficiencias en el control interno

    Comunicación de deficiencias significativas en el control interno a los responsables del gobierno de la entidad (Ref.: Apartado 9)

    A12. La comunicación por escrito de las deficiencias significativas a los responsables del gobierno de la entidad refleja la importancia de estas cuestiones y facilita a los responsables del gobierno de la entidad el cumplimiento de sus responsabilidades de supervisión. La NIA 260 (Revisada) contiene consideraciones relevantes con respecto a la comunicación con los responsables del gobierno de la entidad cuando todos ellos participan en la dirección de la entidad.

    A13. El auditor, para determinar el momento en que emitirá la comunicación escrita, puede tener en cuenta si la recepción de dicha comunicación sería un factor importante para permitir a los responsables del gobierno de la entidad cumplir sus responsabilidades de supervisión. Además, para las entidades cotizadas de determinadas jurisdicciones, puede ser necesario que los responsables del gobierno de la entidad reciban la comunicación escrita del auditor antes de la fecha de aprobación de los estados financieros, con el fin de cumplir responsabilidades específicas relativas al control interno a efectos normativos o de otro tipo. Para otras entidades, el auditor puede emitir la comunicación escrita en una fecha posterior. Sin embargo, en este último caso, como la comunicación escrita del auditor sobre deficiencias significativas forma parte del archivo final de auditoría, dicha comunicación escrita está sujeta al requerimiento fundamental7 de que el auditor finalice la compilación del archivo final de auditoría oportunamente. La NIA 230 establece que un plazo adecuado para completar la compilación del archivo final de auditoría normalmente no excede de 60 días desde la fecha del informe de auditoría.

    A14. Con independencia de la fecha prevista para la comunicación escrita de las deficiencias significativas, el auditor puede, en primera instancia, comunicarlas verbalmente a la dirección y, cuando proceda, a los responsables del gobierno de la entidad, con el fin de facilitarles la adopción oportuna de medidas correctoras para minimizar los riesgos de incorrección material. Lo anterior, sin embargo, no exime al auditor de la responsabilidad de comunicar las deficiencias significativas por escrito, tal como la presente NIA requiere.

    A15. El grado de detalle de la comunicación de las deficiencias significativas lo decidirá el auditor, ejerciendo su juicio profesional, a la luz de las circunstancias que concurran. Entre los factores que el auditor puede tener en cuenta para determinar el grado de detalle adecuado de la comunicación están:

    • La naturaleza de la Por ejemplo, el tipo de comunicación que se requiere con respecto a una entidad de interés público puede ser distinto al que se requiere en el caso de una entidad que no sea de interés público.
    • La dimensión y la complejidad de la entidad. Por ejemplo, la comunicación que se requiere en el caso de una entidad compleja puede ser diferente a la que se requiere en el caso de una entidad cuyo negocio es simple.
    • La naturaleza de las deficiencias significativas que el auditor ha identificado.
    • La composición del gobierno de la entidad. Por ejemplo, puede ser necesario un mayor grado de detalle si entre los responsables del gobierno de la entidad hay miembros que no tienen experiencia significativa en el sector en el que opera la entidad o en las áreas afectadas.
    • Los requerimientos legales o reglamentarios relativos a la comunicación de tipos específicos de deficiencias en el control interno.

    A16. Puede que la dirección y los responsables del gobierno de la entidad ya conozcan las deficiencias significativas identificadas por el auditor durante la realización de la auditoría, y hayan decidido no corregirlas por razones de coste u otras consideraciones. La responsabilidad de evaluar los costes y los beneficios de la aplicación de medidas correctoras corresponde a la dirección y a los responsables del gobierno de la entidad. Por consiguiente, el requerimiento del apartado 9 es aplicable con independencia del coste u otras consideraciones que la dirección y los responsables del gobierno de la entidad puedan estimar relevantes para determinar sise corrigen dichas deficiencias.

    A17. Aunque el auditor haya comunicado una deficiencia significativa a los responsables del gobierno de la entidad y a la dirección en una auditoría anterior, continúa siendo necesario que el auditor repita dicha comunicación si aún no se han adoptado medidas correctoras. Si sigue existiendo una deficiencia significativa comunicada anteriormente, en la comunicación del ejercicio en curso se puede repetir la descripción de la comunicación anterior o, simplemente, hacer referencia a ella. El auditor puede preguntar a la dirección o, cuando proceda, a los responsables del gobierno de la entidad, el motivo por el que la deficiencia significativa aún no se ha corregido. El hecho de no actuar, en ausencia de una explicación racional, puede suponer en sí mismo una deficiencia significativa.

    Consideraciones específicas para entidades de pequeña dimensión

    A18. En el caso de auditorías de entidades de pequeña dimensión, el auditor puede comunicarse con los responsables del gobierno de la entidad de una manera menos formal que en el caso de entidades de gran dimensión.

    Comunicación a la dirección de deficiencias en el control interno (Ref.: Apartado 10)

    A19. Por lo general, el nivel adecuado de la dirección es el que tiene la responsabilidad y autoridad necesarias para evaluar las deficiencias en el control interno y adoptar las medidas correctoras necesarias. En el caso de deficiencias significativas, el nivel adecuado probablemente sea el presidente ejecutivo o el director financiero (o sus equivalentes), ya que también se requiere que estas cuestiones se comuniquen a los responsables del gobierno de la entidad. En cuanto a otras deficiencias en el control interno, el nivel adecuado puede ser la dirección operativa que participe de forma más directa en las áreas de control afectadas y tenga autoridad para adoptar las medidas correctoras adecuadas.

    Comunicación a la dirección de deficiencias significativas en el control interno (Ref.: Apartado 10(a))

    A20. Determinadas deficiencias significativas identificadas en el control interno pueden poner en duda la integridad o la competencia de la dirección. Por ejemplo, puede haber evidencia de fraude o de incumplimiento intencionado de las disposiciones legales y reglamentarias por parte de la dirección, o se puede poner de manifiesto la incapacidad de la dirección para supervisar la preparación de estados financieros adecuados, lo cual puede poner en duda la competencia de la dirección. En consecuencia, es posible que no resulte adecuado comunicar dichas deficiencias directamente a la dirección.

    A21. La NIA 250 establece requerimientos y proporciona orientaciones sobre el modo de informar respecto de los incumplimientos de las disposiciones legales o reglamentarias identificados o de indicios de su incumplimiento, incluido en el caso de que los propios responsables del gobierno de la entidad estén implicados en dicho incumplimiento. La NIA 240 establece requerimientos y proporciona orientaciones sobre la comunicación a los responsables del gobierno de la entidad cuando el auditor ha identificado un fraude o indicios de fraude que impliquen a la dirección.

    Comunicación a la dirección de otras deficiencias en el control interno (Ref.: Apartado 10(b))

    A22. Durante la realización de la auditoría, el auditor puede identificar otras deficiencias en el control interno que, si bien no son significativas, tienen la importancia suficiente como para merecer la atención de la dirección. La determinación de estas otras deficiencias en el control interno que merecen la atención de la dirección se hará ejerciendo el juicio profesional, a la luz de las circunstancias, teniendo en cuenta la probabilidad y la posible magnitud de las incorrecciones que puedan afectar a los estados financieros como consecuencia de dichas deficiencias.

    A23. La comunicación de estas otras deficiencias en el control interno que merezcan la atención de la dirección no ha de realizarse necesariamente por escrito, sino que puede ser verbal. En los casos en los que el auditor haya discutido los hechos y las circunstancias relativas a sus hallazgos con la dirección, puede considerar que la comunicación verbal de dichas otras deficiencias a la dirección se ha realizado en el transcurso de tales discusiones. Por consiguiente, no es necesario realizar una comunicación formal posterior.

    A24. Si, en un periodo anterior, el auditor ha comunicado a la dirección deficiencias en el control interno que no sean significativas, y la dirección ha decidido no corregirlas por razones de coste o de otro tipo, no es necesario que el auditor repita la comunicación en el periodo actual. Tampoco se requiere que el auditor repita la información sobre dichas deficiencias si anteriormente ya han sido comunicadas a la dirección por otras partes, por ejemplo, por la función de auditoría interna o por las autoridades reguladoras. No obstante, puede ser adecuado que el auditor vuelva a comunicar esas otras deficiencias si ha habido un cambio en la dirección, o en el caso de que el auditor haya obtenido nueva información que modifique el conocimiento que el auditor o la dirección tenían anteriormente con respecto a dichas deficiencias. No obstante, el hecho de que la dirección no corrija esas otras deficiencias en el control interno que le fueron comunicadas con anterioridad puede convertirse en una deficiencia significativa que requiera ser comunicada a los responsables del gobierno de la entidad. La determinación de si éste es el caso la hará el auditor ejerciendo su juicio a la luz de las circunstancias.

    A25. En algunas circunstancias, los responsables del gobierno de la entidad pueden desear ser informados de los detalles de las otras deficiencias en el control interno que el auditor haya comunicado a la dirección, o que se les informe brevemente de la naturaleza de dichas otras deficiencias. El auditor, por su parte, puede considerar adecuado informar a los responsables del gobierno de la entidad de que ha comunicado estas otras deficiencias a la dirección. En cualquiera de los dos casos, el auditor puede informar verbalmente o por escrito a los responsables del gobierno de la entidad, según proceda.

    A26. La NIA 260 (Revisada) contiene consideraciones relevantes con respecto a la comunicación con los responsables del gobierno de la entidad cuando todos ellos participan en la dirección de la entidad.

    Consideraciones específicas para entidades del sector público (Ref.: Apartados 9– 10)

    A27. Los auditores del sector público pueden tener responsabilidades adicionales de comunicar deficiencias en el control interno identificadas durante la realización de la auditoría, de un modo y con un grado de detalle no previstos en la presente NIA, así como a terceros igualmente no previstos en la presente NIA. Por ejemplo, las deficiencias significativas pueden tener que comunicarse al Parlamento u otro órgano de gobierno. Las disposiciones legales, reglamentarias u otras disposiciones también pueden exigir que los auditores del sector público informen de las deficiencias en el control interno, con independencia de la significatividad de los posibles efectos de dichas deficiencias. Además, la legislación puede requerir que los auditores del sector público informen sobre cuestiones relacionadas con el control interno que van más allá de las deficiencias en el control interno cuya comunicación requiere esta NIA; por ejemplo, controles relacionados con el cumplimiento de disposiciones legales, reglamentarias o disposiciones contractuales o acuerdos de subvención.

    Contenido de la comunicación escrita de deficiencias significativas en el control interno (Ref.: Apartado 11)

    A28. Para explicar los posibles efectos de las deficiencias significativas, no es necesario que el auditor cuantifique dichos efectos. Las deficiencias significativas pueden agruparse a efectos de presentación de la información cuando resulte oportuno hacerlo. El auditor también puede incluir en la comunicación escrita sugerencias sobre las medidas correctoras de las deficiencias, las respuestas decididas o propuestas por la dirección, así como una declaración relativa a si el auditor ha dado algún paso para verificar si se han implementado las respuestas de la dirección.

    A29. El auditor puede considerar adecuado incluir la siguiente información como contexto adicional de la comunicación:

    • Una indicación de que, si el auditor hubiera realizado procedimientos más extensos con respecto al control interno, el auditor podría haber identificado más deficiencias sobre las que informar o podría haber concluido que en realidad no era necesario informar sobre algunas de las deficiencias comunicadas.
    • Una indicación de que tal comunicación se proporciona para los fines de los responsables del gobierno de la entidad, y que puede no ser adecuada para otros fines.

    A30. Las disposiciones legales o reglamentarias pueden requerir que el auditor o la dirección proporcionen una copia de la comunicación escrita del auditor sobre deficiencias significativas a las autoridades reguladoras correspondientes. Cuando éste sea el caso, en la comunicación escrita del auditor puede incluirse la identidad de dichas autoridades reguladoras.