Documentos de Académico
Documentos de Profesional
Documentos de Cultura
4 - Guidance - PR - UTE (ES)
4 - Guidance - PR - UTE (ES)
Comprender la entidad
4 h 00
OBJETIVOS 6
CAPACITACIÓN 7
Objetivos 8
Índice 8
Checklists 9
Preguntas 15
Índice 15
Índice 22
2
Consejos para el diseño de procedimientos para evaluar el entorno de control 26
Índice 28
Actividad 4 – ¿Qué importancia tienen los controles internos de supervisión de la entidad para nuestras
auditorías? 28
Índice 30
Acta 34
Riesgos de negocio 36
Índice 37
SCOT – Ejemplo 39
SCOT – Aplicaciones de TI 40
Índice 47
El entorno de TI – Pestaña 4 47
Preguntas 48
Resultados 48
Esta guía del presentador se ha elaborado con el objetivo de servir de apoyo a quienes presenten los
cursos sobre Metodología de auditoría de Mazars y Atlas. Tenga en cuenta que encontrará más
información en:
Help Desk incluidos los Artículos sobre conocimiento y Guías del usuario en
https://help.mazars.global
Póngase en contacto con su administrador local si tiene cualquier duda que no haya podido
resolver con los materiales de ayuda
3
La información incluida en las Actividades y estudio de caso no se debería considerar obligatoria por
parte del equipo MAM. Se incluye para explicar conceptos y ayudar a impartir la capacitación.
4
Crear una encuesta de opinión instantánea
Recibir opiniones sobre la capacitación es tan importante como impartir la propia capacitación.
Asegúrese de comunicarse con su equipo de capacitación local sobre el proceso de comunicación de opiniones.
Puede utilizar la herramienta gratuita de opinión en línea (p. ej. Beekast) tanto para gestionar preguntas de su
público en tiempo real, como para crear encuestas de opinión al final de un módulo. Un ejemplo si utiliza
Beekast:
5
Resultados del aprendizaje
El principal resultado de aprendizaje del módulo de Comprender la entidad es el de entender la importancia de
conocer a nuestros clientes para poder identificar correctamente los riesgos y permitir así a los auditores
desarrollar la respuesta adecuada.
Objetivos
El objetivo de este curso es proporcionar a los participantes
Formato del curso: El curso se presenta en pequeños grupos. El presentador deberá tener
el apoyo de un presentador adjunto.
El curso incluirá:
la presentación; y
la implicación del grupo (Klaxoon/Estudio de casos de
Atlas/Pizarra blanca/Rotafolio)
6
Capacitación
Para apoyo a los capacitadores en los paquetes de diapositivas, se proporciona lo siguiente.
Haga una breve presentación sobre los presentadores del curso y del programa del día. Debería ser un resumen
de alto nivel. La información normalmente incluye:
7
¿Qué actor interpretaría su papel en una peli?
Su anécdota interesante/divertida
Objetivos
Índice
8
Checklists
Explique al público que, mientras obtenemos información detallada sobre la entidad y sus operaciones en
«Comprender la entidad», tenemos la obligación de completar las Checklists de ISA correspondientes sobre los
temas de la diapositiva:
Leyes y reglamentos
Estimaciones de contabilidad
Partes relacionadas
Expertos
Etc.
Atlas incorpora Checklists en el archivo maestro, personalizadas según los requisitos específicos locales de cada
país.
Así se asegura de que todos los archivos del encargo cumplan totalmente con las ISA.
9
Orientaciones sobre las ISA
Repase los puntos de la diapositiva y explíquelos al público para asegurarse de que los auditores repasen las
orientaciones sobre Zendesk y tengan en cuenta todos los aspectos necesarios.
Al desarrollar la herramienta y añadir más funciones, estas Checklists de orientaciones sobre las ISA cambiarán.
Téngalo presente al realizar auditorías.
Remarque a los participantes que Atlas incluye una pregunta de lista de comprobación sobre estas orientaciones.
10
11
12
Preguntas
Índice
13
Flujo de trabajo principal de auditoría de Atlas
Recuerde al público que nos encontramos en el inicio de Planificación y Riesgo listado en el curso de
introducción – Comprender la entidad.
Remarque al público que las siguientes directrices vertebran la Estrategia de auditoría en la fase de Planificación
y evaluación de riesgos (el flujo de trabajo de Atlas garantiza que siga este proceso):
14
Comprender la entidad
Evaluación del riesgo de gestión
Clase significativa de transacciones (SCOT)
Entorno de TI
La documentación de estos elementos es esencial para identificar correctamente los riesgos, tanto a nivel de
estados financieros como a nivel de afirmación.
Además, con la debida documentación de comprensión de la entidad, los auditores pueden desarrollar una
respuesta adecuada, basada en el nivel evaluado de riesgo de inexactitud a ambos niveles.
Sirve de buen recordatorio para asegurar que el adecuado nivel de personal esté rellenando la documentación en
Atlas en esta fase de la auditoría, concretamente un supervisor o líder cuando proceda. (Condiciones del equipo
de Atlas)
Puede que algunos de los términos sean nuevos para el público (por ejemplo, SCOT, ELR...), pero todos se
refieren a conceptos existentes.
Utilice esta diapositiva para explicar, de manera práctica, la importancia de ISA 135 y UTE. El objetivo es
destacar lo esencial que es comprender la entidad.
Ante estos escándalos, se ha enfatizado la adopción de un enfoque de auditoría de arriba hacia abajo, donde el
auditor se dedica a lograr una comprensión de la entidad, su entorno, riesgos de negocio significativos y cómo
estos riesgos se traducirían en riesgos para la auditoría.
15
La ISA 315 exige a los auditores que logren una comprensión de la entidad y su entorno para poder evaluar los
riesgos de inexactitud material de los estados financieros. Este proceso refuerza la importancia de que el auditor
obtenga una visión genérica de la actividad de la entidad y de los riesgos de negocio significativos en la fase de
planificación de la auditoría.
En la ISA 315, artículo 4, apartado b) se define el concepto de riesgo de negocio como «riesgo derivado de
condiciones, hechos, circunstancias, acciones u omisiones significativos que podrían afectar negativamente a la
capacidad de la entidad para conseguir sus objetivos y ejecutar sus estrategias o derivado del establecimiento de
objetivos y estrategias inadecuados.»
Los auditores no deberían infravalorar la importancia de la ISA 315, pues sus requisitos sobre evaluación de
riesgos ayudan a asegurar que las auditorías tengan en cuenta las circunstancias de los clientes de auditoría
específicos y, cuando se aplican correctamente, deberían contribuir a reducir el riesgo de auditoría.
Ningún proceso estándar alrededor de las UTE -> debería ser específico para cada entidad
Identificar riesgos
Trazar la estrategia adecuada para abordar los riesgos
Aplicar el escepticismo profesional
16
Actividad 1 – ¿Qué información es importante cuando
pensamos en Comprender la entidad?
MAM
Si utiliza un rotafolio
grupo de 5 personas
Piense una pregunta
1 persona por grupo y que responda a la pregunta
La entidad y su entorno:
a) Factores del sector, legislativos y otros factores externos relevantes, incluido el marco de
información financiera aplicable.
b) La naturaleza de la entidad, incluyendo:
1. sus operaciones;
2. su titularidad y estructuras de gobernanza;
3. las partes relacionadas;
4. los tipos de inversiones que la entidad está emprendiendo y planea emprender, incluidas las
inversiones en entidades con fines especiales; y
5. la manera en que la entidad está estructurada y cómo se financia.
6. permitir al auditor comprender las clases de transacciones, saldos y divulgaciones que se esperan
en los estados financieros (Ref.: párrafos A30-A34)
17
c) La selección y aplicación de políticas contables de la entidad, incluidos los motivos de los cambios
a estas. El auditor evaluará si las políticas contables de la entidad son adecuadas para su negocio
y coherentes con el marco de información financiera aplicable y las políticas contables utilizadas
en el sector correspondiente. (Ref.: párrafo A-35)
d) Los objetivos y estrategias de la entidad y los riesgos de negocio relacionados que puedan resultar
en riesgos de inexactitud material. (Ref.: párrafo A36-A42)
e) La medición y revisión del rendimiento financiero de la entidad.
f) Contratos principales
i. Consultas con la dirección y otras partes de la entidad
ii. Procedimientos analíticos preliminares
iii. Observación e inspección
iv. Consideración de información de dominio público
Notas al presentador: esta cuestión debería orientar al capacitador sobre el nivel de conocimiento del
público
Si el público tiene poco conocimiento del concepto, incorpore elementos del MAM para ampliar la base de
conocimiento
Comprender la entidad
Evaluación de riesgos de negocio
Clase significativa de transacciones
18
Entorno de TI
Acción de demostración:
3. Haga clic para ampliar cada área en la primera pestaña – para documentar cada elemento
Índice
19
Actividad 2 – ¿Por qué es importante evaluar el entorno de
control?
MAM
Si utiliza un rotafolio
grupo de 5 personas
Piense una pregunta
1 persona por grupo y que responda a la pregunta
El entorno de control es uno de los componentes clave del control interno de una entidad;
El entorno de control presenta una estructura generalizada que afecta a muchas actividades empresariales.
Incluye elementos como la integridad y los valores éticos de la dirección, la filosofía operativa y el compromiso
con la competencia empresarial.
El diseño y la ejecución de pruebas a nivel del entorno de control será una tarea compleja y exigente.
20
Observación directa
Notas al presentador: esta cuestión debería orientar al capacitador sobre el nivel de conocimiento del
público
Si el público tiene poco conocimiento del concepto, incorpore elementos del MAM para ampliar la base de
conocimiento
MAM
En un sistema de control interno efectivo, los siguientes cuatro componentes funcionan como apoyo al
cumplimiento de la misión, estrategias y objetivos de negocio relacionados de una entidad:
Como auditores que somos, tenemos la responsabilidad de auditar la afirmación de la dirección con respecto a la
efectividad del control interno y a cómo alcanzan sus propias conclusiones independientes a este respecto.
Deben analizar la evaluación de la dirección y realizar sus propias pruebas independientes de controles, incluido
el entorno de control.
Los controles de nivel de actividad representan solo una parte del control interno sobre la información
financiera. En una evaluación de control interno, tanto la dirección como los auditores deben tener en cuenta
todos sus componentes. Si se centran exclusivamente en controles a nivel de actividad para alcanzar una
conclusión sobre todos los elementos de control interno, pueden alcanzar conclusiones inadecuadas sobre
control interno tomadas en conjunto.
21
Si la dirección, con la supervisión de aquellos encargados de la gobernanza, ha creado y mantenido una
cultura de honestidad y comportamiento ético;
Si los puntos fuertes de los elementos del entorno de control proporcionan en su conjunto una base
adecuada para los demás componentes de control interno; y
Si estos otros componentes no resultan debilitados por deficiencias en el entorno de control.
MAM
Si utiliza un rotafolio
grupo de 5 personas
Piense una pregunta
1 persona por grupo y que responda a la pregunta
Notas al presentador: esta cuestión debería orientar al capacitador sobre el nivel de conocimiento del
público
Si el público tiene poco conocimiento del concepto, incorpore elementos del MAM para ampliar la base de
conocimiento
22
Ejemplos – Tipos de pruebas
MAM
Repase la diapositiva con ejemplos de los tipos de pruebas disponibles para que los auditores logren comprender
el entorno de control general.
MAM
Repase la diapositiva que presenta consejos sobre el diseño de procedimientos para evaluar el entorno de
control.
23
Notas al presentador: esta cuestión debería orientar al capacitador sobre el nivel de conocimiento del
público
Si el público tiene poco conocimiento del concepto, incorpore elementos del MAM para ampliar la base de
conocimiento
Ejemplos de preguntas para establecer acciones tomadas para cumplir con los códigos:
24
Índice
Si utiliza un rotafolio
25
grupo de 5 personas
Piense una pregunta
1 persona por grupo y que responda a la pregunta
Actividad: ¿Qué importancia tienen los controles internos de supervisión de la entidad para nuestras
auditorías?
La gestión de riesgos identifica amenazas para la organización, mientras que los controles internos están
diseñados para proporcionar una garantía razonable para el cumplimiento de los objetivos operativos, como la
efectividad y la eficiencia de las operaciones, los informes financieros exactos y fiables y el cumplimiento de las
leyes y normas aplicables.
La gestión realiza la supervisión de controles a través de actividades continuas, evaluaciones separadas o una
combinación de ambas.
Comprender las actividades principales que la entidad utiliza para supervisar el control interno sobre la
información financiera.
Comprender las fuentes de información utilizadas en las actividades de supervisión de la entidad y la base en la
que la gestión considera que la información es lo suficiente fiable para el propósito.
Comprender las herramientas de información disponibles para la dirección y para los encargados de la
gobernanza.
Determinar si es probable que la función de auditoría interna pueda ser relevante para la auditoría.
Si la entidad tiene una función de auditoría interna, debemos comprender lo siguiente para poder determinar si
la función de auditoría interna podrá ser relevante para la auditoría:
La auditoría interna forma parte del sistema de control interno del cliente. Una función de auditoría interna de
buena calidad podrá reducir el riesgo de control.
el tipo de organización
la competencia técnica del personal en la función de auditoría interna
26
si la auditoría interna se realiza con la debida profesionalidad o no
el efecto de cualquier limitación impuesta por la dirección de la empresa sobre la auditoría interna.
Notas al presentador: esta cuestión debería orientar al capacitador sobre el nivel de conocimiento del
público
Si el público tiene poco conocimiento del concepto, incorpore elementos del MAM para ampliar la base de
conocimiento
Índice
27
Actividad 5 – Pensar ejemplos de riesgos de negocio
MAM
Si utiliza un rotafolio
grupo de 5 personas
Piense una pregunta
1 persona por grupo y que responda a la pregunta
28
Notas al presentador: esta cuestión debería orientar al capacitador sobre el nivel de conocimiento del
público
Si el público tiene poco conocimiento del concepto, incorpore elementos del MAM para ampliar la base de
conocimiento
El proceso de evaluación del riesgo de una entidad es su proceso para identificar y responder a los riesgos de
negocio y a los resultados de estos. Cabe recordar que la debida documentación y comprensión del proceso de
evaluación de riesgos de negocio del cliente es un requisito obligatorio de las ISA.
Si la entidad no tiene ningún proceso de evaluación de riesgos de negocio, evalúe si ello representa una
deficiencia de control interno.
Tenga en cuenta que, en Atlas, puede enlazar sus riesgos que documente a cualquier gestión de riesgos que haya
identificado.
Más información sobre el proceso de evaluación de riesgos de negocio que podrá ser útil según el nivel de
experiencia del público:
Para fines de información financiera, esta información incluye cómo la dirección identifica riesgos relevantes
para la elaboración de estados financieros que den una visión verdadera y justa dentro del marco de información
financiera aplicable de la entidad, cómo estima su relevancia, evalúa la probabilidad de su ocurrencia y decide
qué acciones tomar para gestionarlos.
29
Incluye circunstancias y hechos externos e internos que puedan ocurrir y que afecten negativamente la habilidad
de una entidad para iniciar, registrar, procesar y presentar datos financieros coherentes con las afirmaciones de
la dirección en los estados financieros.
Una vez identificados los riesgos, la dirección valora su relevancia, la probabilidad de su ocurrencia y cómo
gestionarlos. La dirección podrá iniciar planes, programas o acciones para abordar riesgos específicos o podrá
decidir aceptar un riesgo debido a su coste o por otros motivos.
Cómo determina la dirección qué riesgos gestionar. Si ese proceso es adecuado a las circunstancias, incluida la
naturaleza, el tamaño y la complejidad de la entidad, nos ayuda a identificar riesgos de inexactitud material.
El estudio del proceso de evaluación de riesgos de la entidad incluye la evaluación de riesgos sobre fiabilidad de
estados financieros.
¿Qué riesgos no se han identificado? Por ejemplo, si la gestión no ha identificado el riesgo de que se
remunere a los proveedores por bienes no suministrados, el auditor debería ampliar los procedimientos
sustantivos en este campo.
o Consultas con la dirección y otras partes de la entidad
o Observación e inspección
o Utilice los documentos o manuales proporcionados por el cliente
30
Acta
Notifique al público de que, antes de hablar sobre SCOT, trataremos sobre cómo documentar reuniones/actas.
Acción de demostración:
Remarque el hecho de que los usuarios tendrán a disposición una plantilla de todos los tipos de reuniones
(reunión de planificación con el cliente, reunión de planificación en equipo, reunión de clausura, otras
reuniones, etc.) y que pueden rellenarla directamente para obtener su acta.
2. haga clic en «add Minutes» (añadir acta) y seleccione «team planning meeting» (reunión de
planificación en equipo)
31
Al completar el acta, adjuntan la subárea respectiva (si no se ha rellenado automáticamente) para que el
formulario rellenado aparezca en la parte correspondiente de la barra de navegación.
Avise a los usuarios de que el acta de las reuniones de planificación con el cliente debe completarse antes de
acceder al formulario de las Partes relacionadas (que se presentará más adelante, en la capacitación), pues las
respuestas a las 3 primeras preguntas de las Partes relacionadas se rellenan automáticamente a partir del acta de
la reunión de planificación con el cliente.
Destaque el hecho de que se pueden crear y enviar reuniones con información en borrador que se puede editar
más tarde. Este proceso ayuda a la creación de UTE y RP.
Desde la FATB, obtienen un resumen de todas las actas guardadas en su encargo y pueden editarlas (en este
encargo, se ha completado la reunión de planificación con el cliente).
Remarque que, al añadir el acta de la reunión, tienen que enviarlo dos veces, o sea, en el acta de la
reunión en cuestión pero también en el resumen de actas de reuniones, para no perder ningún dato.
En futuras versiones, se añadirá un paso de bloqueo (o sea, un paso que no le permita ir más allá de un punto
determinado) alrededor de las reuniones.
Las reuniones con el cliente y con el equipo son un requisito antes de que se pueda aprobar la
Planificación
Se deberá realizar una reunión con los TCWG (para dar resultados de la auditoría) antes de que se pueda
aprobar la Planificación
32
4. Muestre el acta de la «reunión de planificación con el cliente» en el campo de Planificación y Riesgo
Avise al público de que el acta que aparece en el árbol de navegación no se puede editar desde el propio árbol.
Riesgos de negocio
Recuerde al público de que los riesgos de negocio identificados por la dirección se podrían convertir fácilmente
en riesgos de auditoría – es aquí donde realizamos la conexión con Atlas
Si necesita documentar varios riesgos de negocio, podrá hacerlo mediante la función de «Add Business Risk
Name» (Añadir nombre de riesgo de negocio) de la ventana.
33
Índice
MAM
Si utiliza un rotafolio
grupo de 5 personas
34
Piense una pregunta
1 persona por grupo y que responda a la pregunta
La clase significativa de transacciones es clave para comprender los procesos internos de las entidades. Al
recoger esta información, el auditor puede evaluar dónde recaen los riesgos. Por eso, se trata de una parte
integral del proceso de planificación.
Notas al presentador: esta cuestión debería orientar al capacitador sobre el nivel de conocimiento del
público
Si el público tiene poco conocimiento del concepto, incorpore elementos del MAM para ampliar la base de
conocimiento
35
SCOT – Ejemplo
MAM
Destaque al público que cada cliente dispondrá de su propio proceso único implementado
36
Las actividades de control son las políticas y procedimientos que contribuyen a asegurar que se ejecuten las
directivas de gestión. Es importante que, como mínimo, logremos comprender las actividades de control
ligadas a cada SCOT.
El auditor debe realizar la evaluación del diseño y la implementación de SCOT a nivel de afirmación si
considera que el control sea relevante para la auditoría y:
Tenga en cuenta que, en Atlas, primero documentamos nuestra información de SCOT UTE y luego, solo al
llegar a la fase de evaluación de riesgos, enlazamos nuestras actividades de control relevantes para la auditoría.
SCOT – Aplicaciones de TI
37
Repase los puntos de la diapositiva.
Avise al público de que si responden «Sí» a la última pregunta, crea una sección específica a la izquierda (avise
de que tienen que hacer clic en la flechita para poder ver y acceder al formulario):
Informe al público de que si disponen de una aplicación de TI aplicable a múltiples SCOT, tienen que
duplicar la aplicación de TI manualmente a varios SCOT.
Informe al público de que si disponen de una aplicación de TI aplicable a múltiples SCOT, tienen que
duplicar la aplicación de TI manualmente a varias SCOT (tal y como se hace en este encargo: Sage y
Sage 2). Esto se corregirá en futuras ediciones
Los datos sobre aplicaciones de TI relevantes para la clase significativa de transacciones y ligadas a FSA
deben documentarse adecuadamente.
Cómo se inician, registran, procesan, corrigen y transfieren las transacciones al libro mayor y cómo se
incluyen en los estados financieros.
Cómo el sistema de información captura los hechos y las condiciones, que no sean transacciones, que
sean relevantes para los estados financieros
Preparar los estados financieros de la entidad, incluyendo estimaciones y divulgaciones contables
Crear una visión sobre la complejidad del entorno de TI tomando en consideración áreas como:
Sectores
Dependencia del cliente de TI
Impacto sobre la auditoría
Documentación sobre el caso para utilizar especialistas en auditoría de TI
Indique que, para cumplir las ISA, los usuarios DEBEN incluir el sistema operativo y (si procede) la base de
datos en la descripción de la aplicación de TI.
El Proceso de cierre de estados financieros (FSCP) – SCOT obligatoria tiene un formulario de aplicación de TI
ligeramente diferente. Los datos de la interfaz no son obligatorios.
Si se ha identificado una interfaz de TI, el usuario puede añadir una nueva SCOT para FSCP para documentarla.
Sin embargo, todas las demás aplicaciones de TI de SCOT incluirán esta sección.
38
Una vez más, para cumplir las ISA, se solicitan ciertos datos. Resalte al público que si desean añadir una
interfaz, deben hacer clic en «Interface» (Interfaz) y los 4 campos son obligatorios. Deben hacer doble clic en
los campos para editarlos.
En «Interface Name» (Nombre de interfaz), los usuarios DEBEN incluir el «Source to Target» (de aplicación
SCOT a aplicación final).
En el campo de «Description» (Descripción), los usuarios DEBEN incluir cualquier control implementado en
esta aplicación.
39
40
Comprensión de las actividades de control de la entidad
MAM
Las políticas y procedimientos que contribuyen a asegurar que se ejecuten las directivas de gestión. Las
actividades de control, tanto si son sistemas automatizados (por sistemas de TI) o manuales, presentan varios
objetivos y se aplican a diferentes niveles funcionales y organizativos. Los ejemplos incluyen:
Autorización;
Análisis de eficacia;
Procesamiento de información;
Controles físicos; y
Separación de funciones.
El auditor debe realizar la evaluación del diseño y la implementación en SCOT o nivel de afirmación si
considera que el control sea relevante para la auditoría.
41
Controles y controles clave
MAM
Controles clave: Estos son los controles identificados que abordan uno o más riesgos/afirmaciones relevantes
cuya eficacia operativa el equipo de auditoría se dispone a evaluar, como base de apoyo a la dependencia del
control en cuestión.
La prueba funcional
Permite al auditor asegurar que el sistema descrito se aplique en la práctica y que el auditor no haya
malinterpretado la información que le han proporcionado. Estas pruebas normalmente cubren todo el
sistema descrito.
Si el auditor está satisfecho con el diseño del control interno y con el resultado de la prueba funcional,
el auditor identificará los controles clave.
A. Solo los controles CLAVE que sean relevantes para las afirmaciones sujetas a prueba. Por lo tanto, para
asegurar que la prueba de controles sea efectiva y eficiente, es importante que identifique solo los controles
CLAVE, que, si fallan, no reducirían el riesgo relacionado de inexactitud material.
42
Índice
El entorno de TI – Pestaña 4
ITAC viene en la estrategia de auditoría de TI y actividades de control – solo ponemos a prueba las ITAC
relevantes para la auditoría.
Atlas funciona documentando primero todos los elementos UTE (incluido TI) y luego, durante la
documentación de tarjetas de riesgo/ELR, identificamos si se trata de un ITAC/control manual/ambos.
43
Así se promoverá que el D+I y ToE correspondiente se pasen a un programa de trabajo sobre esa actividad de
control.
Preguntas
Resultados
44