DOCUMENTACIÓN DE AUDITORIA

Hace unos días un amigo auditor me visitó para comentar el proceso de implantación del sistema de control de calidad que está llevando a cabo en su firma. Revisamos el manual y los diferentes pasos que había realizado, sugiriéndole algún que otro consejo que espero le haya sido de utilidad. Sin embargo uno de los temas más relevantes que surgió en la reunión se refería a la omisión en su manual de los procedimientos a aplicar sobre la documentación de auditoria, lo que ha motivado las notas y comentarios que expongo en este documento que espero sean útiles para otros compañeros que se encuentran en el mismo proceso.

Vayamos por partes. La norma de control de calidad NICC1 publicada el pasado octubre y que debemos ponerla en marcha antes del próximo 1 de enero de 2013, es decir dentro de 10 meses, establece una serie de requerimientos  que han de recogerse en el sistema de gestión y control de calidad que diseñemos. Uno de ellos es el que se refiere a la documentación de auditoría y en concreto respecto a cómo se han de confeccionar, controlar, conservar y salvaguardar los papeles de trabajo que constituyen la evidencia de auditoría. Es más, la norma  concede una especial relevancia a la necesidad de regular adecuadamente este aspecto en el sistema de control de calidad de los despachos y firmas de auditoría.

REGULACIÓN APLICABLE

El tratamiento de los papeles de trabajo del auditor lo podemos encontrar en las trasnochadas normas técnicas emitidas por el ICAC en 1991[1] y más recientemente en el Texto Refundido de la Ley de Auditoría de Cuentas publicado en julio de 2011 en los artículos 24 y 25,  así como en otros que abordan el deber de mostrar los papeles a otros auditores en determinadas circunstancias. El Reglamento (RTRLAC) publicado el pasado octubre desarrolla y concretiza lo establecido por la Ley en una serie de artículos 13, 14, 58, 59, que han de ser tenidos en cuenta en el diseño del manual de calidad.

En cuanto a la normativa internacional es especialmente aconsejable el consultar la NIA 230 relativa a la documentación de auditoría.

Por último y como se ha comentado antes, la norma NICC1 aborda este tema en diferentes requerimientos:

  • Nº 45 Finalización de la compilación del archivo final del encargo
  • Nº 46 Confidencialidad, custodia segura, integridad, accesibilidad y recuperación de la documentación de los encargos
  • Nº 47 Conservación de la documentación del encargo

Al objeto de desarrollar y explicar los anteriores requerimientos la norma aporta como material de aplicación una serie de notas que van desde la A54 a la A63 a.i.

Las referencias anteriores conforman el marco normativo sobre el que debemos basarnos para diseñar nuestro propio procedimiento sobre la documentación de auditora a incorporar en nuestro manual de control de calidad.

DÓNDE INCLUIR ESTE PROCEDIMIENTO

Partiendo de la base de la necesidad de disponer de políticas y procedimientos  sobre cómo confeccionar, archivar, conservar y salvaguardar los papeles de trabajo, hemos de decidir dónde y cómo ubicarlos dentro del manual de calidad. La norma sitúa los requerimientos antes citados en la sección relativa a la Ejecución del encargo de auditoría por lo que parece lógico seguir el mismo esquema de la norma y tratarlo como un elemento más del manual operativo del que todo auditor debe disponer.

Su tratamiento  e inclusión dentro del procedimiento general de ejecución de los encargos puede no ser conveniente, por lo que se sugiere se aborde en un procedimiento específico que describa de forma exclusiva y diferenciada todo lo relacionado con los papeles de trabajo. Dicho de otra manera, el procedimiento general desarrollaría las grandes líneas de actuación del auditor en la realización de los trabajos, mientras que los pasos concretos a seguir constarán en procedimientos específicos, que serán obviamente vinculados y referenciados al procedimiento general.

QUÉ DEBE DE CONTENER EL PROCEDIMIENTO ESPECÍFICO

El procedimiento específico relativo a la documentación de auditoría debería contener los siguientes aspectos:

TITULO

DESCRIPCION

Política de la firma Describir los objetivos que a conseguir con el procedimiento.
Alcance Fijar a quién compete y sobre qué tipo de trabajos se ha de aplicar el procedimiento.
Indicadores Índices mediante los cuales se medirá el grado de cumplimientación del procedimiento. Uno de ellos puede ser el número de días de compilación de los papeles de trabajo desde la fecha de emisión del informe.
Responsabilidades Definición de las responsabilidades a asumir tanto por la dirección como y sobre todo por el equipo de auditoría.
Definiciones y conceptos A fin de evitar confusiones y fijar claramente los términos  a utilizar por la firma, el procedimiento ha de explicar con carácter previo los siguientes términos relacionados con la documentación de auditoría:

  • Finalidad.
  • Definición.
  • Propiedad.
  • Contenido.
  • Requisitos cumplimentación.
  • Tipos de archivos.
  • Normalización y organización.
  • Sistemas de referenciación y vinculación.
Desarrollo Este apartado aborda de forma detallada los diferentes pasos y procesos a segur y en concreto los siguientes:

  • Los aspectos formales que han de cumplir los papeles de trabajo así como sobre su contenido mínimo.
  • Custodia de la documentación, tanto durante la ejecución del encargo como una vez terminado éste.
  • Envío y recepción de documentación por vía telemática.
  • Escaneo de documentación[2].
  • Proceso de compilación de los PT (verificaciones previas, comprobaciones y copias de seguridad).
  • Confidencialidad y deber de secreto profesional.
  • Acceso a los papeles de trabajo por terceros.
  • Recuperación de la información[3].
  • Modificación de la documentación de trabajos terminados.
  • Conservación de la documentación.
  • Proceso de destrucción de los PT.
Seguridad[4] Medidas y salvaguardas relacionadas con el acceso y manipulación de la documentación de auditoría:

  • De acceso al archivo de papeles.
  • Sistemas de seguridad lógica y física.
  • De acceso a la documentación en soporte informático (claves de usuario y password).
  • Sistemas de copias de seguridad tanto de la información corriente en el servidor como de la ya compilada de los trabajos terminados.
  • Sistema de protección de accesos no autorizados y antivirus (internet).
Modelos y formularios Relación de modelos a utilizar en el procedimiento.

 

En algunos casos puede ser necesario desarrollar aspectos concretos que puedan darse bajo determinadas circunstancia y que con el fin de no complicar el procedimiento específico de documentación de auditoría, puede exigir el disponer de una o varias instrucciones técnicas donde se describa los procesos a seguir en tales casos. Un ejemplo de este tipo de situaciones se encuentra en el tratamiento que la nueva regulación concede al acceso a la documentación de auditoría por parte de otros auditores en los supuestos de cambio de auditores o, auditoría de cuentas anuales consolidadas o de participaciones financieras significativas. Tema éste que será tratado en un nuevo artículo en este blog.

ALGUNAS REFERENCIAS

Para los que quieran profundizar sobre este tema sugiero las siguientes  fuentes:

Circular E29/2010 emitida por el ICJCE del 21 de octubre de 2010 de “Conservación de papeles en versión electrónica”.

Artículo de Ignacio Aguilar sobre “Documentación de la Auditoría (NIA 230

Matriz de referencias para verificar que lo dispuesto en la legislación y normativa aplicable, ha sido debidamente contemplado en nuestro manual de calidad audiQ (Audinfor)

Documentación de auditoría  (Standard de auditoría nº 3) (vía Deloitte)

Obligaciones de los auditores. La confidencialidad de los papeles de auditoría (Adolfo Millán Aguilar, Universidad Complutense De Madrid, Partida Doble, N.º 221, Mayo 2010.)

Guía de actuación ante solicitudes de acceso a papeles de trabajo referentes a encargos de auditoría de cuentas (Mayo de 2007 Revisada en noviembre de 2011), publicada por el ICJCE.



[1] Mencionar también la norma “Evidencia de auditoría. Consideraciones adicionales en determinadas áreas” publicada en el BOICAC Nº 51/Septiembre 2002.

[2] Animo encarecidamente a la implantación de estos sistemas de seguridad que, entre otros aspectos, reducirán los riesgos de manipulaciones indebidas, sustracción de información confidencial, infecciones por virus, etc. Los accesos a Internet han de estar debidamente regulados así como la utilización de programas por el personal de la firma y de los recursos informáticos que les han sido entregados. Sugiero la lectura de la circular E29/2010 emitida por el ICJCE sobre este tema el 21 de octubre de 2010.

[3] Se refiere a que la documentación de auditoría ha de ser recuperable en todo momento. Ello supone que, cuando se utilicen sistemas informáticos para compilar, comprimir o encriptar información en soportes digitalizados, se garantizará que se dispone de los programas y de las herramientas actualizadas necesarias para su correcta e íntegra recuperación.

[4] Dado que en el manual de calidad se hace mención en diferentes apartados a las medidas de seguridad y a las salvaguardas que han de adoptarse en relación con la confidencialidad e integridad de la información y de la documentación, se aconseja habilitar una  sección dedicada a la Seguridad al que acceder desde las diferentes secciones del manual.

Posts recomendados
Comments
pingbacks / trackbacks

Deja un comentario