La evidencia suficiente y adecuada es la base fundamental de las conclusiones expresadas en el informe del auditor. Descubre hoy en ContArte lo que debes tener en cuenta para obtenerla en un enfoque de auditoría remota.

Por Juan David Hernández, asistente de investigación técnica del INCP

La NIA (Normas Internacionales de Auditoría) 500 – Evidencia de auditoría y la 210 – Acuerdo de los términos de los trabajos de auditoría establecen la obligación del auditor de obtener y presentar las evidencias necesarias y suficientes para alcanzar las conclusiones que requiere el trabajo de auditoría. Sin embargo, desde que se presentó la pandemia y la posterior emergencia sanitaria, cumplir con estas obligaciones se ha dificultado debido a que tales procesos se realizan de manera remota. Por ejemplo, las restricciones de viaje han afectado el acceso físico a los recuentos de inventario, la capacidad de obtener documentos originales (inspecciones de registros en busca de evidencia de autorización como prueba de controles) y la disponibilidad del personal del cliente.

Si bien es cierto que las condiciones especiales que se han presentado a lo largo de este periodo no son permanentes, sí han acelerado el proceso de digitalización de procesos, entre ellos la realización de auditorías. La conversación sobre nuevos enfoques de auditoría, el uso de la tecnología y las técnicas de auditoría remota ha durado varios años, pero en las condiciones actuales han encontrado su auge, por lo que es necesario comprender de qué manera se puede recolectar eficientemente la evidencia de auditoría en este escenario y cumplir los requisitos de la norma.

Aspectos por considerar para una auditoría remota efectiva

Los componentes de una auditoría remota son, en muchos sentidos, similares a una presencial. No obstante, el enfoque, las cargas y la ejecución de estas fases de auditoría difieren. A continuación, se destacan los aspectos a tener en cuenta generalmente como parte de la estrategia de respuesta al covid-19:

Planificación: tanto la planificación como el alcance son aspectos clave de las auditorías. Dado que la dificultad de planear se incrementa en las auditorías remotas, la reunión de planificación de las partes interesadas es muy importante y debe incluir una discusión sobre el alcance y la programación, así como sobre el enfoque de auditoría remota a los participantes. Para ello se debe incluir una explicación de las similitudes y diferencias previstas entre las auditorías presenciales a las que están acostumbrados los interesados y las remotas.

De igual manera, se deben aclarar aspectos logísticos importantes como la manera y el tiempo en el que se compartirá la información, qué tecnología se utilizará para tal fin, qué autorizaciones se deben obtener por adelantado para recopilar videos y fotografías y qué áreas confidenciales o restringidas deben considerarse o evitarse.

Así mismo se deben dejar claras las limitaciones de la auditoría remota y explicar que es posible que sea necesario realizar trabajos presenciales en el futuro basándose en los resultados obtenidos.

Revisión de documentos: pese a que estas revisiones de modo remoto son similares a las realizadas en las instalaciones del cliente u oficina, es necesario considerar algunas advertencias importantes como el tiempo de revisión; este puede ser mucho mayor gracias a la preparación y carga de documentos en plataformas de uso compartido de archivos. Dependiendo del método de documentación (registros en papel, sistema de almacenamiento de la base de datos, etc.), el auditor tendrá que tomar el tiempo necesario para convertir estos registros en un formato revisable (como PDF) y cargar los archivos.

Los auditores deben estar abiertos a recibir y revisar la información en cualquier formato que se obtenga, de modo que se reduzca al mínimo la carga para la instalación. Si es posible, se debe tener en cuenta la accesibilidad del sistema de archivos digitales utilizado para el almacenamiento de los registros. A menudo, el acceso directo puede concederse de forma temporal, únicamente durante la duración de la auditoría.

Se debe evaluar cuidadosamente la elaboración de estrategias eficaces para revisar los datos de modo remoto. Por ejemplo, dependiendo de la cantidad de registros a revisar, puede utilizarse el muestreo como la mejor opción. Ya sea revisando la totalidad o parte de los datos disponibles, la estrategia debe discutirse con los auditados para asegurar que proporcionan la información correcta para apoyar la estrategia de muestreo.

Reconocimiento del sitio: este es uno de los aspectos que más se dificultan durante el desarrollo de las auditorías remotas, por lo que se requiere de soluciones tecnológicas para un reconocimiento adecuado del sitio.

Algunas de las soluciones implican el uso de tecnología de comunicación en vivo y doble vía, incluyendo la transmisión en vivo y las gafas inteligentes de doble vía. No obstante, esta alternativa presenta varias dificultades, como el costo, la conectividad y los factores de iluminación y ruido del entorno, que podrían dificultar la calidad de la grabación.

Una segunda opción mas viable para entidades con menores recursos tecnológicos son las fotografías digitales y los registros fílmicos tomados utilizando teléfonos celulares de la empresa. La ventaja de este enfoque es que estos dispositivos están fácilmente disponibles y son compatibles con la mayoría de las soluciones de almacenamiento informático.

Las fotos y los videos son revisados por el director de auditoría y compilados en un álbum, que luego es revisado por cada auditor. Los auditores toman notas y preparan las preguntas que se deben hacer durante las entrevistas remotas.

Entrevistas remotas: se realizan de la misma forma que las presenciales, para ello se programan con personal clave de la entidad utilizando cualquier plataforma tecnológica disponible, como Microsoft, Skype, Zoom, Google Meet, etc. La duración de las videollamadas varía de acuerdo con el personal que se entreviste. Las videollamadas se prefieren por encima de las llamadas de voz porque las señales no verbales son una parte importante de la comunicación y a menudo se pierden sin video.

Cada auditor debe preparar una lista de preguntas y puntos sobre qué información adicional se necesita, basada en la información de la revisión del documento.

Reunión de clausura: la reunión de cierre de la auditoría se realiza de la misma manera que en las auditorías presenciales, se sugiere programarlas de uno a dos días después de la realización de las entrevistas remotas, de esta manera los miembros del equipo pueden hacer una revisión de sus propias notas y conclusiones, así como llevar a cabo una reunión remota del equipo de auditoría para compilar los resultados preliminares de las auditorías. En estas reuniones se abre una posibilidad de compartir los resultados preliminares a las partes interesadas para resolver dudas e inquietudes y discutir el paso a seguir para la finalización de los resultados de la auditoría y el desarrollo de procesos de mejora continua.

Recolección de evidencia

Si el auditor no puede obtener evidencia de la manera en que se obtenía antes, debe considerar algunos de los procedimientos alternativos que se describieron anteriormente. Cuando el auditor no pueda obtener evidencia de auditoría suficiente y apropiada para llegar a una conclusión, deberá analizar el impacto en el dictamen, incluyendo si se necesita una opinión modificada. En el entorno actual, la obtención de evidencia de auditoría es más desafiante. Sin embargo, los principios básicos de las normas continúan aplicándose, y es posible que el auditor deba tener en cuenta consideraciones adicionales sobre la confiabilidad de la evidencia de auditoría proporcionada; es decir, debe verificarse que la evidencia ha sido:

Los auditores necesitarán ejercer un escepticismo profesional acerca de la evidencia que obtienen electrónicamente y pueden verse en la necesidad de diseñar otros procedimientos de auditoría para probar la confiabilidad de dicha evidencia. Actualmente se utilizan portales web seguros para revisar los documentos de los clientes y algunos tienen la funcionalidad de permitir preguntas y respuestas entre el auditor y el cliente.

Puntos de mayor dificultad en la recolección de evidencia remota

Acceso a la información:

De acuerdo con la NIA 210, la administración del cliente se compromete a proporcionar al auditor acceso a toda la información que la administración conozca y que sea relevante para la preparación de los estados financieros; el auditor puede solicitar a la administración cualquier tipo de información adicional para el propósito de la auditoría. Adicionalmente, puede solicitar el acceso a personas dentro de la entidad que el auditor considera necesarias para obtener evidencia de auditoría.

Inventarios:

De acuerdo con la NIA 501 – Consideraciones específicas de la evidencia de auditoría para elementos seleccionados, si el inventario es importante para los estados financieros, se requiere que el auditor obtenga evidencia de auditoría suficiente y apropiada con respecto a la existencia y condición de este.

El auditor debe realizar procedimientos de auditoría alternativos, por ejemplo, la inspección de la documentación de la venta posterior de artículos específicos del inventario adquiridos o comprados antes del recuento físico del inventario; la revisión y la prueba de las actualizaciones del inventario, obteniendo la seguridad de que la ubicación del inventario no fue accesible durante un período de tiempo, por ejemplo, de imágenes de cámaras de seguridad.

Auditorías grupales:

Dadas las restricciones de desplazamiento, es posible que los auditores de grupo no puedan visitar el equipo de auditoría del componente, en que originalmente había planeado hacerlo, para evaluar y revisar los papeles de trabajo de auditoría clave, causando demoras significativas y afectaciones en el trabajo y la capacidad para obtener pruebas suficientes y apropiadas.

Si no es posible revisar los documentos de trabajo de auditoría de componentes necesarios (ya sea en persona o electrónicamente), el auditor del grupo deberá tomar otras medidas, como:

  • Subida de archivos a la nube con acceso proporcionado al equipo de trabajo de la auditoría de grupo.
  • Videollamadas y/o pantalla compartida para revisar el trabajo del auditor del componente.
  • Información del cliente, proporcionada directamente al equipo del encargo del grupo para que pueda realizar sus propios procedimientos sobre la información financiera del componente cuando sea posible.

Documentación:

La NIA 230 requiere que el auditor prepare documentación que proporcione un registro suficiente y apropiado de la base de su informe y evidencia de que la auditoría fue planificada y realizada de acuerdo con las normas profesionales y los requisitos legales y reglamentarios aplicables. Para cumplir este requerimiento desde la virtualidad, es fundamental documentar los juicios profesionales y el ejercicio del escepticismo profesional, así como las discusiones con la gerencia y los encargados del gobierno corporativo relacionadas con el impacto de la pandemia.