NIA 265, Comunicación de deficiencias en el

control interno. Aspectos Clave

La norma internacional de auditoria 265 presenta la responsabilidad del auditor de comunicar
oportuna y apropiadamente a los encargados del gobierno corporativo y administración las
deficiencias encontradas en el control interno durante el desarrollo de la auditoria de estados
financieros, para que ellos sigan las acciones pertinentes.
Para esto el auditor debe tener un conocimiento claro del control interno de la entidad, para que
al momento de evaluar los riesgos de representación errónea se apliquen los procedimientos de
auditoria apropiados. Esto no significa que el auditor dará una opinión sobre la efectividad del
control interno, si no que comunicará las deficiencias que se presenten durante las etapas de la
auditoria.
El auditor debe informar las deficiencias al nivel apropiado de la administración, el cual se
encargue del manejo del control interno; cuando existe alguna deficiencia que ponga en duda la
integridad y competencia de la administración, el auditor deberá dirigirse directamente a los
encargados del manejo corporativo.
Comunicación de deficiencias:
El auditor deberá determinar si se han presentado una o más deficiencias en el control interno
durante el desarrollo de la auditoria, analizando así su importancia e influencia en los estados
financieros. Una vez establezca las deficiencias, deberá comunicarlas por escrito oportunamente
a los encargados del gobierno corporativo y administración de la entidad, incluyendo una
descripción de las deficiencias y explicación de los efectos, para que se puedan tomar las
acciones correctivas oportunamente. La comunicación tendrá una forma y contenido que
establecerá el auditor de acuerdo a la naturaleza de la entidad, teniendo en cuenta las políticas o
requisitos legales específicos de deficiencia en el control interno. Es importante aclarar que el
auditor no expresara una opinión sobre la efectividad del control interno, si no que reportara las
deficiencias que encuentre y que afectan los estados financieros para que la administración
implemente una acción correctiva.
Recomendaciones a la hora de emitir cartas de deficiencias en el control interno al gobierno
corporativo y a la administración
Las sugerencias deben estar enfocadas a fortalecer el sistema de control interno y a promover la
eficiencia y eficacia de las operaciones
Es recomendable elaborar dos cartas, una dirigida a la alta gerencia (Consejo de Administración
y/o presidente) en donde se presentan las oportunidades de mejora identificadas con impacto alto
para la organización y otra dirigida al director financiero y/o contador en donde se expone el
detalle de los resultados, es decir, tanto las oportunidades con impacto alto como medio.
La estructura de la carta de recomendaciones debe incluir, una introducción, el objetivo, el
alcance, los procedimientos adelantados por el equipo auditor, la conclusión general sobre el
informe, el detalle de las oportunidades de mejora identificadas, el riesgo y la calificación del
riesgo que dichas oportunidades representan para la organización, las recomendaciones que
permiten corregir las situaciones observadas y las cuales deben orientarse a la causa raíz que
originó la oportunidad de mejora y los planes de acción.
La materia prima para estructurar las recomendaciones deben ser las Buenas Prácticas
La oportunidad de mejora debe contener información suficiente para que el lector pueda
determinar la magnitud del asunto, tales como, el alcance, irregularidades observadas, fechas,
valores, etc.
Las cartas de recomendación deben ser oportunas.
La redacción de las cartas debe ser breve, concreta y fácil de entender
Buena redacción y buena ortografía
Todas las oportunidades de mejora deben ser validadas con los dueños del área
El título de cada hallazgo debe ser el mensaje principal
Los hallazgos se deben organizar de mayor a menor importancia y si es posible por áreas
El auditor debe establecer un proceso de seguimiento para vigilar y asegurar que las acciones
correctivas hayan sido implementadas de forma eficaz o que la administración haya aceptado el
riesgo de no tomar medidas, situación que deberá ser informada a la alta gerencia.
¡Hasta pronto!        
 
 NIA 265: Comunicación de deficiencias de control interno
La NIA 265 establece que el contador debe comunicar oportunamente a los responsables de
gobierno (persona u organización responsable de supervisar a la dirección de la entidad) los
aspectos de control interno vinculados a la dirección (persona o personas con la responsabilidad
de dirigir y supervisar las operaciones de la entidad) y las deficiencias encontradas en el proceso
de control interno durante el desarrollo de su encargo. A su vez, y dada la importancia de esta
información, se requiere que el contador esté al tanto de estas nuevas normas que ya deben
estarse aplicando en Colombia conforme al Decreto 2420 de 2015 y las modificaciones
introducidas por el Decreto 2132 de 2016.
Alcance, objetivo y requerimientos
Antes de iniciar con la exposición del alcance, objetivo y requerimientos de esta NIA, se invita al
lector a revisar las definiciones y términos contenidos en el Anexo 4, en especial el concepto de
deficiencia en control interno incluido en la norma:
“Deficiencia en el control interno– Existe una deficiencia en el control interno cuando:
(a) un control está diseñado, se implementa u opera de forma que no sirve para prevenir, o
detectar y corregir incorrecciones en estados financieros oportunamente; o
(b) no existe un control necesario para prevenir, o detectar y corregir, oportunamente,
incorrecciones en los estados financieros.”
“una deficiencia es un resultado insatisfactorio que surge de la aplicación de un control que
impide detectar, identificar o prevenir algún tipo de riesgo o inexactitud en la información
financiera”
De acuerdo a esta definición, se podría concluir que una deficiencia es un resultado
insatisfactorio que surge de la aplicación de un control que impide detectar, identificar o prevenir
algún tipo de riesgo o inexactitud en la información financiera.
Dado lo anterior, el alcance de esta NIA es entregar los lineamientos para que el auditor pueda
cumplir el objetivo de comunicar a la dirección y a los responsables de gobierno todos los
aspectos relacionados con deficiencias en los procesos de control interno, con el fin de que estos
actores realicen una adecuada planeación, incluyendo las mejoras a que den lugar, para disminuir
o eliminar estas deficiencias.
Para cumplir con este objetivo se requiere que el auditor revise otras informaciones contenidas
en el Anexo 4 como la NIA 315, que expone la manera en la que el contador puede identificar y
valorar los riesgos de incorrección significativa mediante el diagnóstico de su entorno, y la NIA
260, que incluye la definición de los actores que intervienen en la comunicación de situaciones
de la entidad.
A continuación, se mencionan algunos requerimientos con los que debe cumplir el auditor:
Comunicar a los responsables de gobierno, por escrito y oportunamente, las deficiencias
encontradas.
Determinar gracias a su experticia y conocimientos si la información obtenida tiene la
importancia suficiente para que merezca ser comunicada.
Comunicar el nivel de responsabilidad de la administración o dirección de la empresa en el
proceso de control interno.
Incluir en su comunicación escrita una descripción de las deficiencias encontradas y la
explicación de las consecuencias que estas pueden traer a la organización.
Sea claro en la información suministrada en su informe.
Dirigirse directamente a los encargados del gobierno corporativo en caso de que alguna
deficiencia ponga en duda la integridad y competencia de la dirección.
“no impide que el auditor comunique a los responsables del gobierno de la entidad y a la
dirección cualquier otra situación que haya identificado durante su labor de auditoría”
Es importante tener presente que, si bien esta NIA 265 abarca la comunicación de deficiencias,
no impide que el auditor comunique a los responsables del gobierno de la entidad y a la dirección
cualquier otra situación que haya identificado durante su labor de auditoría y que considere
necesario divulgar.
Criterios para identificar si una deficiencia es significativa
En el momento en que el auditor encuentre una deficiencia y requiera evaluar si esta es
significativa, debe tener en cuenta los siguientes argumentos expuestos en el párrafo A6 de la
NIA 260:
La probabilidad de que la deficiencia dé lugar a incorrecciones materiales en un futuro.
La exposición de activos y pasivos a fraude o pérdida.
La subjetividad y complejidad a la hora de realizar estimaciones ya que en muchas ocasiones las
estimaciones se convierten en una suposición; se debe tener en cuenta que estas deben tener un
fundamento que argumente su validez.
Cuando las deficiencias afecten directamente rubros de los estados financieros o los movimientos
de las cuentas y saldos de las partidas.
Además de los anteriores argumentos el auditor debe tener especial detalle en los indicadores de
deficiencias significativas, entre estos se encuentran:
La evidencia de poca efectividad o poca eficacia en los controles.
La ausencia de procesos de evaluación del riesgo.
Respuestas ineficaces ante los riesgos significativos que se hayan detectado anteriormente y
sobre los cuales no se realizó ningún control.
Evidencia de que los encargados de la supervisión no realizan adecuados controles, entre otros
indicadores.
Para concluir, la importancia de esta labor de auditoría no es como tal la emisión de una opinión
sobre la entidad, sino más bien que con la comunicación realizada por el auditor (donde se
reportan las deficiencias encontradas) la administración y el gobierno corporativo implementen
acciones correctivas y lleven el proceso de control interno a un enfoque integral y
funcional como lo exigen las normas de aseguramiento de la información.
 NIA 265
Alcance de esta NIA
Esta Norma Internacional de Auditoria (NIA) trata de la responsabilidad que tiene el auditor de
comunicar, de manera apropiada, a los encargados del gobierno corporativo y a la administración
las deficiencias en el control interno que el auditor ha identificado en una auditoría de estados
financieros. Esta NIA no impone responsabilidades adicionales al auditor respecto de obtener un
entendimiento del control interno y planear y llevar a cabo pruebas de controles sobre y por
encima de los requisitos de la NIA 315 y la NIA 330.
 
La NIA 260. establece requisitos adicionales y da lineamientos respecto de la responsabilidad del
auditor de comunicarse con los encargados del gobierno corporativo en relación con la
auditoría.2. Se requiere que el auditor obtenga un entendimiento del control interno relevante a la
auditoría cuando identifica y evalúa los riesgos de errores materiales. Al hacer estas evaluaciones
del riesgo, el auditor considera el control interno para planear los procedimientos de auditoría
que son apropiados en las circunstancias, pero no para el propósito de expresar una opinión sobre
la efectividad del control interno. El auditor puede identificar deficiencias en el control interno
no solo durante el proceso de evaluación del riesgo sino en cualquier otra etapa de la auditoría.
Esta NIA especifica qué deficiencias identificadas se requiere que el auditor comunique a los
encargados del gobierno corporativo y a la administración.3. Nada en esta NIA impide al auditor
comunicar a los encargados del gobierno corporativo y a la administración otros asuntos de
control interno que el auditor haya identificado durante la auditoría.

Objetivo
El objetivo del auditor es comunicar de forma apropiada a los encargados del gobierno
corporativo y a la administración las deficiencias en el control interno que el auditor haya
identificado durante la auditoría y que, a juicio profesional del auditor, son de suficiente
importancia para merecer sus respectivas atenciones.

Definiciones
 
Para fines de las NIA, los siguientes términos tienen los significados que se les atribuyen a
continuación:
 
a)Deficiencia en el control interno. Existe cuando: Un control se diseña, implementa u opera de
manera tal que no tenga capacidad de prevenir o detectar y corregir, errores en los estados
financieros oportunamente; Falta un control necesario para prevenir o detectar y corregir errores
en los estados financieros oportunamente;
 
b) Deficiencia significativa en el control interno. Una deficiencia o combinación de deficiencias
en el control interno que, a juicio profesional del auditor, es de suficiente importancia para
ameritar la atención de los encargados del gobierno corporativo.
 
Requisitos
El auditor deberá determinar si, sobre la base del trabajo de auditor desempeñado, el auditor ha
identificado una o más deficiencias en el control interno. (Ref. A1-A4.)8. Si el auditor ha
identificado una o más deficiencias en el control interno, el auditor deberá determinar, sobre la
base del trabajo de auditoría desempeñado, si, en lo individual o en combinación, constituyen
deficiencias significativas. (Ref. A5-A11.)9. El auditor deberá comunicar por escrito las
deficiencias significativas en el control interno identificadas durante la auditoría a los encargados
del gobierno corporativo oportunamente.

[Link]

[Link]