NIA 265 – Comunicación de deficiencias en el control interno
La norma internacional de auditoría 265 presenta la responsabilidad del auditor de comunicar oportuna y apropiadamente a los encargados del gobierno corporativo y administración las deficiencias encontradas en el control interno durante el desarrollo de la auditoría de estados financieros, para que ellos sigan las acciones pertinentes. Para esto el auditor debe tener un conocimiento claro del control interno de la entidad, para que al momento de evaluar los riesgos de representación errónea se apliquen los procedimientos de auditoría apropiados. Esto no significa que el auditor dará una opinión sobre la efectividad del control interno, si no que comunicará las deficiencias que se presenten durante las etapas de la auditoría.
El auditor debe informar las deficiencias al nivel apropiado de la administración, el cual se encargue del manejo del control interno; cuando existe alguna deficiencia que ponga en duda la integridad y competencia de la administración, el auditor deberá dirigirse directamente a los encargados del manejo corporativo.
Comunicación de deficiencias:
El auditor deberá determinar si se han presentado una o más deficiencias en el control interno durante el desarrollo de la auditoría, analizando así su importancia e influencia en los estados financieros. Una vez establezca las deficiencias, deberá comunicarlas por escrito oportunamente a los encargados del gobierno corporativo y administración de la entidad, incluyendo una descripción de las deficiencias y explicación de los efectos, para que se puedan tomar las acciones correctivas oportunamente. La comunicación tendrá una forma y contenido que establecerá el auditor de acuerdo a la naturaleza de la entidad, teniendo en cuenta las políticas o requisitos legales específicos de deficiencia en el control interno. Es importante aclarar que el auditor no expresara una opinión sobre la efectividad del control interno, si no que reportara las deficiencias que encuentre y que afectan los estados financieros para que la administración implemente una acción correctiva.
Recomendaciones a la hora de emitir cartas de deficiencias en el control interno al gobierno corporativo y a la administración
- Las sugerencias deben estar enfocadas a fortalecer el sistema de control interno y a promover la eficiencia y eficacia de las operaciones.
- Es recomendable elaborar dos cartas, una dirigida a la alta gerencia (Consejo de Administración y/o presidente) en donde se presentan las oportunidades de mejora identificadas con impacto alto para la organización y otra dirigida al director financiero y/o contador en donde se expone el detalle de los resultados, es decir, tanto las oportunidades con impacto alto como medio.
- La estructura de la carta de recomendaciones debe incluir, una introducción, el objetivo, el alcance, los procedimientos adelantados por el equipo auditor, la conclusión general sobre el informe, el detalle de las oportunidades de mejora identificadas, el riesgo y la calificación del riesgo que dichas oportunidades representan para la organización, las recomendaciones que permiten corregir las situaciones observadas y las cuales deben orientarse a la causa raíz que originó la oportunidad de mejora y los planes de acción.
- La materia prima para estructurar las recomendaciones deben ser las Buenas Prácticas.
- La oportunidad de mejora debe contener información suficiente para que el lector pueda determinar la magnitud del asunto, tales como, el alcance, irregularidades observadas, fechas, valores, etc.
- Las cartas de recomendación deben ser oportunas.
- La redacción de las cartas debe ser breve, concreta y fácil de entender
- Buena redacción y buena ortografía.
- Todas las oportunidades de mejora deben ser validadas con los dueños del área.
- El título de cada hallazgo debe ser el mensaje principal.
- Los hallazgos se deben organizar de mayor a menor importancia y si es posible por áreas.
- El auditor debe establecer un proceso de seguimiento para vigilar y asegurar que las acciones correctivas hayan sido implementadas de forma eficaz o que la administración haya aceptado el riesgo de no tomar medidas, situación que deberá ser informada a la alta gerencia.
Fuente: Auditool – Por Vladimir Martínez R.