Durante este periodo de confinamiento, con el teletrabajo a pleno rendimiento, el proceso normal de confirmaciones externas en nuestras auditorías se ha visto alterado, pasando a ser prácticamente la totalidad por medios electrónicos. De cara a realizar este procedimiento de auditoría, conforme a las NIA-ES en vigor para los trabajos de auditoría, ha sido necesario volver a hacer hincapié y refrescar a todos nuestros profesionales ciertas premisas para que esta prueba se adecúe a la normativa.
No hay que perder de vista que las confirmaciones de terceros es uno de los métodos más utilizados para obtener evidencia de auditoria de saldos, transacciones, u otros activos y pasivos, derechos y obligaciones de la entidad auditada. La NIA 505 sobre confirmaciones externas establece que la fiabilidad de la evidencia de auditoría se ve afectada por su origen y naturaleza, y depende de las circunstancias concretas en las que se obtiene. Dicha NIA también expone que la evidencia de auditoría es más fiable cuando se obtiene de fuentes independientes externas a la entidad siendo más fiable cuando existe en forma de documento, ya sea en formato papel, soporte electrónico u otro medio. Aunque es cierto también, que la NIA no hace referencia que se pueda realizar la circularización por este mismo medio.
Dentro de los requerimientos recogidos en esta NIA 505, indica que, al utilizar procedimientos de confirmación externa, el auditor mantendrá el control de las solicitudes de confirmación externa, lo que implicará:
1. la determinación de la información que ha de confirmarse o solicitarse
2. la selección de la parte confirmante adecuada
3. el diseño de las solicitudes de confirmación, incluida la comprobación de que las solicitudes estén adecuadamente dirigidas y contengan información que permita enviar las respuestas directamente al auditor; y
4. el envío de las solicitudes a la parte confirmante, incluidas las solicitudes de seguimiento, cuando proceda.
Pero, ¿cómo podemos cumplir estas premisas, si tenemos que hacer las confirmaciones de manera electrónica?. Los principales riesgos que nos enfrentamos y debemos mitigar a la hora de hacer las confirmaciones por medios electrónicos y así cumplir con los requerimientos exigibles son:
1. Validación de identidades de destinatarios/remitentes.
Analizar las direcciones de correo electrónico desde la que se envían los correos, así como las direcciones a donde se envían los correos es importante. Analizar los destinatarios, el dominio al que se envía el correo ya que, no debemos confiar en dominios genéricos tipo gmail.com/hotmail.com y otras empresas de correo electrónico, dando mayor seguridad a dominios empresariales. Además de realizar el seguimiento de las direcciones para que coincidan con los correos desde donde nos respondan a las confirmaciones.
2. Competencias de los emisores.
Otro punto importante que siempre debemos analizar es la capacitación de las personas que emiten los correos electrónicos. Las emisiones de los mismos son realizadas por los auditores tal y como indica la NIA 505 pero la información incluida debe estar firmada por personal con capacitación suficiente dentro del cliente auditado.
Así mismo, la persona receptora de los correos electrónicos debe también tener la capacitación suficiente, ya que no sería idóneo enviar una confirmación de saldos a una persona de un departamento que nada tiene que ver con la petición que estamos solicitando.
3. Autenticidad.
La autenticidad es clave para poder dar validez a una confirmación. Podemos analizar el origen del correo (que no sea de una dirección genérica de la empresa del tipo info@empresa.com) o incluso, solicitar que las confirmaciones tengan la firma digital.
4. Posibilidad de alteraciones.
Todas las respuestas tienen que dirigirse directamente de la empresa al auditor. El riesgo de alteración existe desde el momento en el que una confirmación de terceros ha sido reenviada por nuestro cliente. Además, puede existir riesgo de alteración si vemos que el correo electrónico en el que recibimos la confirmación tiene banners u otro tipo de información que nada tiene que ver con la empresa.
Si en este proceso se identifican factores que nos generan dudas sobre la fiabilidad de la respuesta, es obligatorio practicar el escepticismo profesional y contactar vía mail o vía telefónica para asegurarnos de la veracidad y procedencia de la confirmación, dejando evidencia de este procedimiento, o realizando procedimientos de auditoria relacionados para obtener un mayor confort en nuestro trabajo.
Juan Gomeza Garamendi
Socio Auditoría
Kreston Iberaudit Bilbao