1. Introducción
1.1. El Comité de Prácticas Internacionales de Auditoría (CPIA) de la Federación Internacional de Contadores (IFAC) emite normas (NIA) sobre prácticas generalmente aceptadas de auditoría y de servicios relacionados con la misma y sobre la forma y contenido del informe de auditoría. Se pretende que tales normas contribuyan al incremento de la uniformidad de las prácticas de auditoría y de servicios relacionados con la misma a lo largo del mundo.
La finalidad de esta Declaración es suministrar criterios adicionales al auditor al interpretar y aplicar estas normas en el contexto de la auditoría de los bancos comerciales internacionales. No se pretende, sin embargo, que sea una lista exhaustiva de los procedimientos y prácticas utilizadas en las auditorías de este tipo.
1.2. Para el propósito de esta Declaración:
— un banco es una institución financiera que es reconocida como tal por las autoridades de los países en los que opera y que normalmente tiene el derecho de utilizar el término banco como parte de su nombre;
— un banco comercial es un banco cuya principal función es la aceptación de depósitos y la realización de préstamos; puede también ofrecer otros servicios financieros, tales como la adquisición y venta de metales preciosos, moneda extranjera o una amplia gama de instrumentos financieros, la emisión y aceptación de instrumentos negociables y la prestación de garantías; y
— un banco comercial internacional es un banco comercial que tiene oficinas operativas en países diferentes a aquel en que está establecido o cuyas actividades trascienden las fronteras nacionales.
1.3. Si bien esta Declaración está dirigida especialmente a la auditoría de los bancos comerciales internacionales, es relevante también para los que operan en un único país. El término "banco" se utilizará en lo sucesivo con el significado de banco comercial internacional.
1.4. Los bancos tienen las siguientes características, que normalmente las distinguen de otras empresas comerciales:
— Custodian grandes volúmenes de tesorería, incluido el efectivo e instrumentos negociables, cuya seguridad física debe estar garantizada. Tal seguridad debe alcanzar tanto al almacenamiento como a los movimientos de tesorería y sitúa a los bancos en una posición vulnerable a las apropiaciones indebidas y a los fraudes. Por lo tanto, deben establecer procedimientos formales en sus operaciones, límites bien definidos en cuanto a las atribuciones de las diferentes personas que intervienen en las mismas y rigurosos sistemas de control interno.
— Se implican en un amplio y variado volumen de transacciones, tanto en términos de número como de cantidades. Necesariamente requieren sistemas contables y de control interno complejos, así como una utilización amplia de sistemas informáticos.
— Normalmente operan mediante una amplia red de oficinas y departamentos geográficamente dispersos, lo cual necesariamente implica un alto grado de descentralización de autoridad y de dispersión de las funciones de control y contabilidad, con las consiguientes dificultades en el mantenimiento de prácticas operativas y sistemas contables uniformes. especialmente cuando la red de oficinas trasciende las fronteras nacionales.
— Con frecuencia asumen compromisos significativos sin transferencia de fondos. Tales operaciones, que normalmente originan apuntes al margen del balance (cuentas de orden) pueden no implicar entradas contables y, como consecuencia, su falta de registro puede ser difícil de detectar.
— Están regulados por las autoridades gubernamentales y los requerimientos procedentes de la regulación con frecuencia afectan a los principios de contabilidad generalmente aceptados y a las prácticas de auditoría habituales en el mundo empresarial.
1.5. En la auditoría de los bancos surgen consideraciones especiales, a causa de:
— la naturaleza particular de los riesgos asociados a las transacciones realizadas por los bancos;
— los diversos tipos de operaciones bancarias y la inherente exposición al riesgo que puede aparecer en períodos de tiempo relativamente cortos;
— la amplia dependencia de sistemas informáticos en el procesamiento de las transacciones;
— el efecto de la regulación en las diferentes jurisdicciones en las que opera; y
— el continuo desarrollo de nuevos productos y de prácticas bancarias, que no siempre pueden ser medidos con los niveles actuales de principios de contabilidad y de prácticas de auditoría.
1.6. En muchos países los bancos realizan actividades que no son estrictamente bancarias y que no pueden restringirse exclusivamente a los bancos. Tales actividades incluyen las de seguros, negociación o administración de títulos y servicios de arrendamiento financiero. Esta Declaración no pretende suministrar criterios para la auditoría de tales actividades.
1.7. Esta Declaración se ocupa de la discusión de las diferentes etapas de la auditoría de un banco, con especial atención a aquellas cuestiones tanto con características peculiares como de especial importancia en tal auditoría. También incluye, a efectos ilustrativos, anexos que contienen ejemplos de:
— ejemplos típicos de procedimientos de control interno en tres de las principales áreas operativas de un banco: préstamos, moneda extranjera y operaciones de deposito;
— ratios financieros normalmente utilizados en el análisis de la situación y del comportamiento financiero del banco; y
— procedimientos sustantivos de auditoría para la evaluación de las provisiones por créditos dudosos.
2. Objetivos y proceso de auditoría
Objetivos
2.1. La NIA 200, "Objetivo y Principios Básicos de la Auditoría de los Estados Financieros" afirma:
"El objetivo de la auditoría de los estados financieros es permitir al auditor expresar una opinión sobre si han sido preparados, en todos sus aspectos significativos, de acuerdo con un conjunto, perfectamente identificado, de principios contables para la información financiera".
2.2. El objetivo básico de la auditoría de un banco es, en consecuencia, suministrar una opinión, basada en las NIA o en las normas o prácticas significativas y habituales en un país ("normas de auditoría significativas") acerca de los estados financieros del banco, preparados de acuerdo con las Normas Internacionales de Contabilidad (NIC) o con normas nacionales significativas ("principios contables significativos"), en la medida en que resulten aplicables a los bancos.
2.3. El auditor de un banco es requerido con frecuencia para la elaboración de informes con propósitos especiales dirigidos a las autoridades responsables de la supervisión o a cualquier otra. Los requisitos de tales informes varían significativamente en los diferentes países, de modo que esta Declaración no pretende suministrar criterios relativos a la responsabilidad del auditor en tales informes.
Proceso
2.4. Al realizar el trabajo necesario para formarse una opinión de los estados financieros de un banco, el auditor debe dividir su trabajo en diferentes etapas, tal como se contemplan en las Normas Internacionales de Auditoría.
2.5. Una representación esquemática de las fases puede ser la siguiente:
— Definición de los términos del compromiso;
— Planificación
a. obtención de conocimiento de la actividad del cliente;
b. desarrollo de un plan global;
c. coordinación del trabajo a realizar;
— Establecimiento del grado de confianza en el control interno
a. identificación, documentación y prueba de los procedimientos de control;
b. consideración de la influencia de los factores del entorno del control;
c. determinación de la naturaleza, alcance y extensión de los procedimientos sustantivos necesarios;
— Aplicación de los procedimientos sustantivos
— Informe de auditoría.
3. Definición de los términos del compromiso
3.1. Tal como se indica en la NIA 210, "Las Cartas Propuesta":
"La carta propuesta documenta y confirma la aceptación del auditor de los términos de su compromiso, los objetivos y alcance de la auditoría, los términos en que se establece su responsabilidad en relación con el cliente y la forma de su informe".
3.2. Al considerar el objetivo y alcance de la auditoría y los términos en que se establece su responsabilidad, el auditor necesita evaluar sus propias aptitudes y competencia y la de sus colaboradores, al objeto de realizar adecuadamente su compromiso. Al realizar tal evaluación, debe tener en cuenta los siguientes factores:
— la disponibilidad de suficiente experiencia en los aspectos del banco y de sus actividades relevantes para la auditoría;
— la adecuación de su experiencia en los sistemas informáticos (SI) y de transacciones informáticas de fondos (STIF) utilizado por el banco; y
— la idoneidad de los recursos y/o de los acuerdos entre diferentes firmas, necesarios para llevar a cabo el trabajo en los diferentes puntos, nacionales y extranjeros, dónde normalmente resultará necesaria la aplicación de procedimientos de auditoría.
3.3. Al emitir una carta propuesta, el auditor, además de tener en cuenta los criterios generales indicados en la NIA 210, "Las Cartas Propuesta", debe evaluar la posibilidad de incluir comentarios sobre los siguientes puntos:
— la utilización de principios contables específicos y la fuente de la que proceden, con especial referencia a:
a. cualquier requerimiento contenido en la ley o en la regulación, aplicable a los bancos;
b. pronunciamientos de las autoridades bancarias responsables de la supervisión o de cualquier otro tipo, así como los procedentes de las instituciones profesionales significativas; y
c. las prácticas habituales en el sector;
— el contenido y formato de cualquier informe con propósitos especiales requeridos adicionalmente en relación con los estados financieros anuales, incluida la aplicación de principios contables y/o de auditoría orientados a aquéllos propósitos; y
— la naturaleza de cualquier relación especial referente a la comunicación de información, que pueda existir entre el auditor, los responsables de la supervisión del banco o cualquier otra autoridad reguladora del mismo.
4. Planificación de la auditoría
Introducción
4.1. La NIA 300, "Planificación de la Auditoría" afirma:
"El auditor planificará su trabajo de manera que pueda realizar la auditoría de manera eficaz".
La planificación debe realizarse de manera que cubra, entre otras cuestiones:
— la obtención de un conocimiento suficiente de las actividades del cliente y de sus sistemas contable y de control interno;
— la evaluación del nivel de riesgo en la auditoría, que incluye el riesgo de que se produzcan irregularidades significativas (riesgo inherente), el riesgo de que el sistema interno del cliente no prevenga o detecte tales irregularidades (riesgo de control) y el riesgo de que las irregularidades significativas que pudieran existir no sean detectadas por el auditor (riesgo de detección);
— la determinación de la naturaleza, programación y alcance de los procedimientos de auditoría a aplicar; y
— la evaluación de la hipótesis de empresa en funcionamiento en relación con la posibilidad de que la entidad continúe sus operaciones en un futuro previsible, normalmente en un período que no excede del año desde la fecha del balance.
Los planes establecidos deben desarrollarse y revisarse posteriormente, durante la realización de la auditoría.
4.2. La NIA 300, "Planificación de la Auditoría" y la NIA 310, "Conocimiento de la Actividad del Cliente" amplían estas cuestiones básicas, especialmente en el contexto de auditorías recurrentes.
Conocimiento de la actividad del cliente
4.3. La adquisición del conocimiento de la actividad del banco requiere el entendimiento por el auditor de:
— el entorno económico y legal existente e cada país en el que opera el banco; y
— las condiciones de mercado existentes en cada uno de los sectores en los que actúa.
4.4. De modo similar, el auditor necesita adquirir y mantener un buen conocimiento de los procedimientos y servicios ofrecidos por el Banco. A tal objeto, necesita estar al tanto de las variaciones que puedan producirse en los tipos básicos de depósitos ofrecidos, en los servicios de préstamo y de tesorería ofrecidos y en los continuos desarrollos realizados por los bancos en respuesta a las condiciones del mercado. Para hacerlo, es preciso que comprenda la naturaleza de los servicios prestados mediante instrumentos tales como letras de crédito, aceptaciones, tipos de interés a futuro, contratos de futuros y otros instrumentos similares, al objeto de conocer los riegos inherentes y las implicaciones contables que estos servicios puedan tener.
4.5. Con frecuencia, la cartera de créditos de un banco está concentrada en industrias especializadas, como el sector inmobiliario, el de la navegación o el relativo a los recursos naturales. La evaluación de estos extremos requiere el conocimiento de las actividades y de las prácticas relativas a la información financiera de tales sectores.
4.6. Existe un buen número de riesgos asociados con las actividades bancarias que, aunque no únicamente para el banco, son suficientemente importantes como para configurar las operaciones bancarias. La comprensión de la naturaleza de estos riesgos es fundamental para la planificación del proceso de auditoría, en la medida en que permite al auditor la evaluación del riesgo inherente asociado con diferentes aspectos de las operaciones del banco y le ayuda en la determinación del grado de confianza en el control interno y en la naturaleza, programación y alcance de sus procedimientos de auditoría.
4.7. Con un criterio amplio, el riesgo asociado con las actividades bancarias puede agruparse en:
— riesgo procedente de los productos y servicios; y
— riesgos operativos.
Riesgos procedentes de productos y servicios
4.8. El riesgo más significativo derivado de los productos y servicios del banco es el relativo a los créditos, que es el riesgo de que un cliente o sus garantes no satisfaga su obligación por el importe debido, en el momento debido o en un plazo posterior. El riesgo por el crédito también incluye:
— riesgo país: riesgo de que los clientes extranjeros o sus garantes no cumplan sus obligaciones debido a circunstancias económicas, políticas o sociales del país en cuestión, ajenas al cliente o a sus garantes;
— riesgo de reemplazamiento: riesgo de incumplir los términos de un contrato. Este incumplimiento genera la necesidad de reemplazar la transacción fallida con otra, a precios actuales de mercado. Ello puede ocasionar al banco una pérdida equivalente a la diferencia entre el precio previamente contratado y el de mercado;
— riesgo de cancelación: riesgo de que una de las panes de la transacción cancele la misma, sin que se reciba valor alguno del cliente o de su garante, lo cual puede ocasionar para el banco la pérdida de la totalidad de su importe.
En la gestión del riesgo de créditos, los bancos cuentan con amplios y complejos sistemas destinados a los diferentes aspectos de la función de crédito, incluyendo las actividades relativas a:
— su origen y pago al cliente;
— su control;
— su cobro; y
— sus revisiones y evaluaciones periódicas.
4.9. Una amplia parte de los esfuerzos de auditoría normalmente deben encaminarse a evaluar el riesgo de los créditos y, en esta línea, el auditor debe ser consciente de que el riesgo puede existir también en activos diferentes a los créditos, tales como inversiones y saldos procedentes de otros bancos y también en compromisos al margen del balance.
4.10. Otros riesgos por productos y servicios incluyen:
— riesgo relativo a los tipos de interés; riesgo de pérdidas por la posible sensibilidad de los ingresos a los movimientos futuros de los tipos de interés. Incluye dos elementos
a) Riesgo en los resultados, que puede surgir si los movimientos en los tipos activos y pasivos no están perfectamente sincronizados; y
b) riesgo en la inversión, que es el que puede surgir de las inversiones con un rendimiento predeterminado, cuando se producen cambios en los tipos de interés;
— riesgo de liquidez; riesgo de pérdidas surgidas de la posibilidad de que el banco no tenga fondos suficientes para cumplir sus obligaciones;
— riesgo por tipos de cambio: riesgo de pérdidas resultantes de movimientos en los tipos de cambio aplicables a activos, pasivos, derechos y obligaciones expresados en moneda extranjera;
— riesgo de mercado: riesgo de pérdidas procedentes de movimientos en el precio de mercado de las inversiones; y
— riesgo en los depósitos: riesgo de pérdidas derivadas de factores tales como fallos de seguridad en la custodia de depósitos o de negligencia en el manejo de activos por cuenta de terceros.
4.11. Los riesgos por productos y servicios bancarios aumentan con el grado de concentración del riesgo en un cliente, sector, área geográfica o país.
Riesgos operativos
4.12. Los riesgos operativos proceden principalmente de:
— la necesidad de procesar con precisión altos volúmenes de transacciones en períodos de tiempo relativamente cortos. Tal procesamiento se hace normalmente mediante la utilización en gran escala de SI, que pueden ocasionar riesgos de
a. fallos en el proceso de ejecución de las transacciones en el período necesario, causando la imposibilidad de recibir o de efectuar los pagos correspondientes a tales transacciones;
b. errores a gran escala procedentes de averías en el control interno;
c. pérdidas de datos resultantes de fallos en el sistema;
d. deterioro de los datos causado por interferencias no autorizadas en el sistema; y
e. exposición a los riesgos de mercado surgidos de falta de actualización de la información financiera;
— la necesidad de utilizar STIF para transferir amplios volúmenes de tesorería, con el riesgo de pérdidas resultantes de pagos inadecuados por fraudes o errores;
— la realización de operaciones en un amplio número de puntos, con la consiguiente dispersión geográfica del proceso y de los controles internos. Como resultado:
a. existe el riesgo de que la exposición global del banco por razón de sus clientes y productos no sea adecuadamente agregada y controlada;
b. pueden producirse fallos en el control que no resulten detectados y corregidos, dada la separación física entre la dirección y quienes realizan las transacciones;
— la necesidad de controlar y gestionar riesgos significativos que pueden proceder de períodos de tiempo breves. El proceso de compensación de transacciones puede originar el reforzamiento de cuentas a cobrar o a pagar, muchas de las cuales se completan al finalizar el día. Tal situación suele denominarse riesgo de pagos intradía. La naturaleza de esta exposición puede proceder de transacciones con clientes y sus garantes, y puede incluir riesgos por tipos de interés, moneda extranjera y de mercado;
— la utilización de amplios volúmenes de tesorería, incluidos efectivo, instrumentos negociables y saldos transferidos a los clientes, con el riesgo inherente de pérdidas resultantes del hurto o fraude por empleados o por terceros;
— el mantenimiento de altos niveles de endeudamiento (medido, por ejemplo, en deudas frente a los recursos propios), que puede producir la exposición al riesgo de que:
a. un porcentaje relativamente pequeño de pérdidas en el valor de los activos pueda producir una erosión significativa en los fondos propios;
b. no se puedan obtener a un coste razonable los fondos necesarios para mantener la liquidez, como consecuencia de una pérdida de confianza de los depositantes; y
— la inherente complejidad y volatilidad del entorno en el que operan los bancos, que puede producir el riesgo de estrategias inadecuadas de la dirección en relación con estas cuestiones y en el desarrollo de nuevos productos y servicios;
— la necesidad de cumplir con la ley y la regulación, cuyo incumplimiento puede producir el riesgo de sanciones o restricciones operativas.
Desarrollo de un plan global de auditoría
4.13. Fin el desarrollo de un plan global de auditoría, el auditor debe prestar especial atención a:
— la evaluación de los niveles de importancia relativa;
— la evaluación de los riesgos de auditoría;
— el grado esperado de confianza en los controles internos;
— la medida en que se utilizan por el banco SI y STIF;
— el trabajo del auditor interno;
— la complejidad de las transacciones realizadas por el banco y la manera en que estén documentadas;
— la existencia de áreas de interés significativo para la auditoría, no identificables fácilmente a partir de los estados financieros del banco;
— la existencia de transacciones con terceros vinculados;
— la colaboración con otros auditores;
— las declaraciones de la dirección; y
— el trabajo de los supervisores.
Estas cuestiones se comentan en los párrafos siguientes.
Importancia relativa
4.14. Al realizar la evaluación de la importancia relativa, además de las consideraciones que pueden encontrarse en la NIA 320, "Importancia relativa en la auditoría", el auditor debe tener en cuenta que:
— dados los niveles de endeudamiento, los errores relativamente pequeños pueden tener efectos significativos en el estado de resultados y en el capital, aunque tengan un efecto no significativo sobre el total de las cifras de balance;
— en la medida en que el beneficio neto de un banco es bajo si se compara con el total de sus activos y pasivos brutos y sus compromisos al margen del balance, los errores relativos sólo a los activos, pasivos y compromisos pueden ser menos significativos que los que se relacionan con el estado de resultados; y
— los bancos están con frecuencia sujetos a requerimientos legales o administrativos, tales como la obligación de mantener unos niveles mínimos de capital; por tanto, puede ser necesario establecer niveles de materialidad que puedan identificar errores y diferencias que, si no se corrigen, podrían implicar contravenciones significativas de tales requerimientos.
Riesgo de auditoría
4.15. Los tres componentes del riesgo en la auditoría, definidos en la NIA 400, "Evaluación del Riesgo y Control Interno", y contemplados con mayor amplitud en la NIA 320, "Importancia relativa en la auditoría", son los siguientes:
— riesgo inherente (riesgo de que puedan producirse errores significativos);
— riesgo de control (riesgo de que el sistema de control interno del banco no impida o corrija tales errores); y
— riesgo de detección (riesgo de que los errores materiales que puedan producirse no sean detectados por el auditor).
Los riesgos asociados con las actividades bancarias, tal como han sido comentados en los párrafos 4.7 y 4.12, indican que el riesgo inherente en la mayoría de los casos puede ser claramente alto. Es, por tanto, necesario, asegurar mediante el adecuado sistema de control interno, que el riesgo de control se mantenga a niveles bajos.
Los riesgos inherentes y de control existen independientemente de la auditoría de la información financiera y no pueden ser controlados por el auditor. Sin embargo, puede evaluar tales riesgos y diseñar sus procedimientos sustantivos de manera que se sitúe en un nivel aceptable de riesgo de detección.
La medida en que se utilizan SI y STIF
4.16. El alto volumen de transacciones y el corto período de tiempo en que deben procesarse origina normalmente la amplia utilización por los bancos de sistemas informáticos (SI) y de sistemas de transacciones informáticas de fondos (STIF).
Las características y áreas del control que deben tenerse en cuenta cuando se utiliza un SI normalmente son las mismas que surgen en situaciones similares en otro tipo de organizaciones. No obstante, entre las cuestiones que son de especial interés para el auditor de un banco pueden citarse:
— la utilización del SI para calcular y registrar todos los ingresos y gastos por intereses, que son normalmente los dos elementos más importantes en la determinación del resultado de los bancos;
— la utilización del SI para determinar los tipos de cambio y las posiciones en los mercados y para calcular y registrar las pérdidas y las ganancias de tales operaciones; y
— la amplia, cuando no total, dependencia, de los registros realizados por el SI, dado que representan la única fuente accesible para obtener información detallada y actualizada de los activos y pasivos del banco, tales como préstamos a los clientes y saldos de depósitos.
Los STIF se utilizan por los bancos tanto en sus operaciones internas (por ejemplo, para transferencias entre sucursales y entre el ordenador central y las terminales situadas en aquéllas, como en sus operaciones externas con otras instituciones financieras, por ejemplo, entre redes institucionalizadas entre ellas.
Al objeto de evaluar adecuadamente el sistema de control interno y de determinar la naturaleza, programación y alcance de los procedimientos sustantivos de auditoría, el auditor ha de tener en cuenta la medida y la manera en que los SI y STIF se utilizan por los bancos.
La confianza en el control interno
4.17. Al configurar su opinión, el auditor normalmente no puede confiar exclusivamente en los resultados de sus pruebas sustantivas, a causa de:
— el alto volumen de transacciones realizadas por el banco;
— la manera en que se producen;
— la dispersión geográfica de las operaciones del banco; y
— la amplitud con que se utilizan los SI y STIF
En muchas situaciones el auditor necesita, por tanto, otorgar confianza significativa al sistema de control interno del banco. Para ello necesita evaluar cuidadosamente tal sistema, para determinar el grado de confianza que puede depositar en el mismo al establecer la naturaleza, programación y alcance de sus restantes procedimientos de auditoría.
El trabajo del auditor interno
4.18. Aunque el alcance y los objetivos de la auditoría interna pueden variar ampliamente dependiendo del tamaño y de la estructura del banco y de los requerimientos al respecto del consejo de administración y de la dirección, su papel normalmente incluye la revisión del sistema contable y de los controles internos relacionados con el mismo, así como el control de las operaciones y la formulación de recomendaciones para mejorar todos estos extremos.
También incluye normalmente la revisión de los sistemas utilizados para identificar, medir y presentar información financiera y operativa, así como investigaciones concretas sobre cuestiones específicas, incluidas pruebas detalladas de transacciones, saldos y procedimientos. Los factores que con frecuencia llevan al auditor a confiar significativamente en el sistema de control interno del banco también suelen requerir que utilice el trabajo del auditor interno.
Ello es especialmente relevante en el caso de los bancos con una amplia dispersión geográfica en sus oficinas. Con frecuencia, como parte del departamento de auditoría interna o como una dependencia separada, un banco puede tener un departamento de revisión de créditos, que informa a la dirección de la calidad de los préstamos y del cumplimiento de los procedimientos previamente establecidos al respecto. En cualquier caso, el auditor puede utilizar con frecuencia el trabajo de tal departamento. Criterios detallados sobre la utilización del trabajo del auditor interno pueden encontrarse en la NIA 610, "Consideración del Trabajo del Auditor Interno".
La complejidad de las transacciones realizadas
4.19. Los bancos realizan transacciones que tienen características complejas e importantes, que pueden no ser aparentemente visibles en la documentación utilizada para procesarlas y para introducirlas en los registros contables. Ello puede ocasionar que no todos los aspectos de la transacción sean registrados correctamente, con el consiguiente riesgo de que:
— se produzcan pérdidas por no emprender en el momento oportuno las necesarias acciones correctoras;
— no se registren en el momento adecuado las provisiones necesarias para cubrir las posibles pérdidas;
— se produzca una inadecuada o indebida presentación en los estados financieros y en otra información.
De acuerdo con ello, el auditor necesita adquirir un buen conocimiento de la naturaleza de las transacciones y del tipo de documentación que debe examinar.
La existencia de áreas significativas de interés para la auditoría, no identificables fácilmente
4.20. Los bancos también emprenden transacciones que:
— suministran pequeños importes de beneficios en relación con el capital expuesto a riesgo; y
— puede no ser obligatoria, a tenor de la regulación al respecto, su inserción en el balance ni, incluso, en la memoria.
Ejemplos de tales transacciones son las garantías, las letras de crédito, los tipos de interés en los "swaps" y las opciones de compra o venta de moneda extranjera.
4.21. El auditor debe revisar las fuentes de ingresos del banco, evaluar los sistemas de control interno relacionados con esas fuentes y aplicar los procedimientos de auditoría necesarios para obtener seguridad razonable en relación con:
— la completitud de los registros contables relativos a tales transacciones;
— la existencia de adecuados controles para limitar los riesgos bancarios resultantes de las mismas;
— la idoneidad de las provisiones que puedan ser necesarias por pérdidas;
— la idoneidad de la información necesaria al respecto en los estados financieros.
Transacciones con terceros vinculados
4.22. El auditor debe prestar especial consideración al riesgo de que, cuando existan transacciones con terceros vinculados, no se hayan tomado las normales medidas de prudencia bancaria, tales como la evaluación del crédito o la prestación de garantías. La dirección es responsable de la identificación de los terceros vinculados y de la información relativa a las transacciones realizadas con ellos.
El auditor debe aplicar los procedimientos necesarios para obtener seguridad razonable de que:
— se han identificado todos los terceros vinculados y las transacciones realizadas con ellos;
— la totalidad de estas transacciones, junto con sus características y condiciones, se ha registrado adecuadamente y se ha puesto de manifiesto debidamente en los estados financieros; y que
— los saldos resultantes son recuperables.
El auditor también debe estar al tanto de cualquier criterio o restricción que pueda proceder del ordenamiento legal, relativo a las transacciones de este tipo. La NIA 550, "Terceros Vinculados" define qué debe entenderse por tales y suministra criterios detallados sobre las cuestiones que deben de tenerse en cuenta y sobre los procedimientos a aplicar a este respecto.
La colaboración con otros auditores
4.23. Como resultado de la amplia dispersión geográfica de la mayoría de los bancos, frecuentemente será necesario que el auditor utilice los servicios de otros auditores en determinado número de puntos en los que opere el banco. Probablemente esta cuestión se solventará mediante la utilización de otras oficinas de la misma firma de auditoría o de otras sociedades de auditoría que actúen en tales puntos.
4.24. Cuando el auditor confíe en el trabajo de otro auditor, debe:
— obtener la necesaria satisfacción sobre su independencia y competencia para acometer el trabajo necesario (incluido su conocimiento de la actividad bancaria;
— asegurarse de que los términos del compromiso, los principios contables a aplicar y los compromisos de información son claramente comunicados al otro profesional; y
— aplicar procedimientos para obtener seguridad razonable de que el trabajo llevado a cabo por el otro auditor es adecuado a sus objetivos, discutiendo con él esta cuestión, mediante un resumen escrito de los procedimientos aplicados y de los resultados obtenidos, a través de la revisión de sus papeles de trabajo, o de cualquier otra manera adecuada a las circunstancias.
La NIA 600, "Utilización del trabajo de otro auditor" suministra criterios detallados sobre las cuestiones a tener en cuenta y sobre los procedimientos a aplicar en tales situaciones.
Declaraciones de la dirección
4.25. Las declaraciones de la dirección son significativas en el contexto de la auditoría de un banco, al objeto de ayudar al auditor a determinar si la información y la evidencia producida por su trabajo es completa en relación con la finalidad perseguida. Ello es especialmente cierto en las transacciones del banco que no se reflejan normalmente en los saldos, pero que pueden quedar evidenciadas en otros registros a los que el auditor preste menos atención. También es con frecuencia necesario obtener declaraciones de la dirección relativas a cambios significativos en la actividad del banco y en sus líneas de riesgo y también identificar áreas de sus operaciones en las que la evidencia de auditoría que pueda obtenerse requiera ser suplementada mediante declaraciones.
La NIA 580, "Declaraciones de la dirección" suministra criterios sobre la utilización de estas declaraciones como evidencia de auditoría, sobre los procedimientos que el auditor debe aplicar en su evaluación y documentación, y sobre las circunstancias en las que tales declaraciones deben realizarse por escrito.
El trabajo de los supervisores
4.26. Existen diferentes tipos de tareas llevadas a cabo por auditores y supervisores que tienen rasgos comunes, tales como:
— la aplicación de procedimientos analíticos;
— la obtención de garantías relativas a la existencia de una estructura de control interno satisfactoria; y
— la evaluación de la calidad de los activos y de los riesgos del banco.
El auditor en consecuencia normalmente encontrará conveniente actuar en coordinación con los supervisores y tener acceso a las comunicaciones que puedan haber enviado a la dirección del banco sobre los resultados de su trabajo. La evaluación realizada por los supervisores en áreas importantes, tales como la adecuación de las provisiones por créditos dudosos y los ratios que utilizan, basados en criterios prudentes, pueden ser una ayuda útil en la realización de la revisión analítica y pueden llamar su atención sobre áreas específicas de interés para los supervisores.
La Declaración Complementaria de Auditoría Internacional 1004, "Relación entre las Autoridades Encargadas de la Supervisión y los Auditores Externos", emitida en julio de 1989 por el CPIA junto con "The Basle Committee", suministra información y criterios acerca de las relaciones entre los auditores y los supervisores de los bancos.
Coordinación del trabajo a realizar
4.27. Dado el tamaño y la dispersión geográfica de la mayoría de los bancos, la coordinación del trabajo a realizar puede ser importante para la consecución de una auditoría efectiva y eficaz. La coordinación requerida debe tener en cuenta los siguientes factores:
— el trabajo a realizar por:
a. los diferentes colaboradores del auditor;
b. otro personal de la firma de auditoría; y
c. otras firmas de auditoría;
— la amplitud con que se espera poder utilizar el trabajo del auditor interno;
— los datos que deban comunicarse a los accionistas y a las autoridades reguladoras; y
— la necesidad de cualquier análisis especial y de otra documentación a suministrar por la dirección del banco.
4.28. El nivel más adecuado de coordinación entre el personal de alto nivel implicado en la auditoría normalmente puede obtenerse planificando adecuadamente la auditoría y manteniendo el necesario contacto regular entre los intervinientes. Sin embargo, dado el elevado número de personas que pueden participar en una auditoría y el número de puntos en los que debe realizarse, normalmente el auditor puede encontrar más eficaz comunicar por escrito las partes más significativas del plan de auditoría. Cuando lo haga de este modo debe tener en cuenta la inclusión de comentarios sobre cuestiones tales como las siguientes:
— los estados financieros y otra información que ha de ser sometida a auditoría (y si se considera necesario, la autoridad que se va a ocupar de dirigir la auditoría);
— detalles de cualquier información necesaria para el auditor (por ejemplo, sobre determinados préstamos, composición de la cartera, comentarios escritos sobre el trabajo realizado, especialmente en las áreas de riesgo descritas en los párrafos 4.7 a 4.12 que resulten importantes para el banco, resultados de tales trabajos, puntos a incluir en las declaraciones de la dirección sobre el control interno, cuestiones relativas a la regulación local, información sobre la situación legal de la imposición sobre beneficios) y, en su caso, de los formatos de los informes que deban formularse;
— las normas de auditoría significativas que deban aplicarse al trabajo realizado (y, si se considera necesario, información sobre tales normas);
— los principios contables significativos que han de seguirse en la preparación de los estados financieros y de otra información (y, si se considera necesario, detalles de tales principios);
— situación en cuanto a los requerimientos y plazos de posibles informes intermedios de auditoría exigidos por la regulación;
— individuos del personal del cliente que han de ser contactados;
— acuerdos en cuanto a gastos y facturación; y
— cualquier cuestión que el auditor local deba tener presente en relación con la regulación y el control interno, o sobre cualquier otra cuestión relacionada con la contabilidad o la auditoría.
5. Establecimiento del grado de confianza en el control interno
Introducción
5.1. Las responsabilidades de la dirección incluyen el mantenimiento de los registros contables adecuados y de los controles internos necesarios, la selección y aplicación de las políticas contables y la custodia de los activos de la entidad.
El auditor debe obtener un conocimiento del sistema contable y de control interno suficiente para planificar la auditoría y para desarrollar un enfoque adecuado de la misma. Después de obtener tal conocimiento, debe tener en cuenta la evaluación del riesgo de control para determinar el nivel adecuado de riesgo de detección a aceptar para las diferentes partidas de los estados financieros y para determinar la naturaleza, programación y alcance de los procedimientos sustantivos a aplicar a tales partidas.
Cuando el auditor evalúa el riesgo de control a un nivel bajo, los procedimientos sustantivos normalmente deben ser menos extensos que en el caso contrario, y normalmente también difieren en cuanto a su naturaleza y programación.
Identificación, documentación y ejecución de los procedimientos de control
5.2. La NIA 400, "Evaluación del Riesgo y Control Interno" enumera los cuatro siguientes objetivos del control interno:
— que las transacciones se realicen de acuerdo a la autorización, general o específica, de la dirección;
— que todas las transacciones y hechos se registren con prontitud por el importe correcto, en la cuenta adecuada y en el período en que han tenido lugar, de modo que sea posible la preparación de los estados financieros en el marco de un conjunto de principios contables adecuadamente identificados;
— que el acceso a los activos y registros solo se permita con autorización de la dirección; y
— que los saldos de los activos se comparen con la existencia real de los mismos a intervalos razonables, y que se tomen las medidas oportunas cuando se detecten diferencias.
En el caso de los bancos, un objetivo adicional es asegurar que el banco satisface adecuadamente sus responsabilidades en relación con los depósitos que le han sido confiados.
En los puntos sucesivos se comentan algunas consideraciones aplicables a la auditoría, en relación con cada uno de estos objetivos.
Que las transacciones se realicen de acuerdo a la autorización general o especifica de la dirección
5.3. La responsabilidad de la estructura de control en un banco corresponde en primer lugar al consejo de administración y a sus comités, que son responsables del gobierno de las actividades del banco. Sin embargo, dado que las operaciones de los bancos generalmente son extensas y están dispersas geográficamente, la función de toma de decisiones estará también descentralizada y la autoridad para establecer compromisos en nombre del banco en transacciones significativas normalmente estará igualmente dispersa y estará delegada en niveles diversos de dirección y de personal. Tales dispersión y delegación casi siempre se referirán a las funciones de préstamo y de transferencias de fondos, dónde, por ejemplo, las instrucciones relativas a los pagos deben enviarse a través de los medios adecuados.
Esta característica de las operaciones del banco crea la necesidad de un sistema estructurado de delegación de autoridad, resultante de la identificación y documentación formal de:
— los empleados que pueden autorizar transacciones específicas;
— los procedimientos que deben seguirse en la concesión de tales autorizaciones; y
— las limitaciones en los importes que pueden ser autorizados por los empleados y/o por el personal de alto nivel, así como los requisitos que deben darse para que tal autorización pueda producirse.
También crea la necesidad de asegurar que existen los procedimientos adecuados para controlar el nivel de riesgos. Ello implica normalmente la agregación de riesgos en las diferentes actividades, departamentos y oficinas del banco, así como en su conjunto.
5.4. El examen de los controles relativos a las autorizaciones resulta de importancia para el auditor, al objeto de comprobar que todas las transacciones se han realizado de acuerdo con las políticas establecidas por el banco y, por ejemplo, en el caso de la función de préstamo, que se han sometido a los adecuados procedimientos de evaluación antes de su concesión.
El auditor debe comprobar tales límites para los diferentes niveles de riesgo que puedan existir en relación con los diferentes tipos de transacción. En especial, debe tratar de asegurar que tales límites son razonables, que se cumplen y que cuando se superan, se informa de manera adecuada y oportuna al correspondiente nivel de la dirección.
5.5. Desde el punto de vista de la auditoría, el adecuado funcionamiento de los controles de las autorizaciones en el banco resulta especialmente importante en relación con las transacciones realizadas en plazos próximos a la fecha de cierre de los estados financieros, en los que determinados aspectos de la transacción pueden no haber sido completados, o cuando exista una falta de evidencia para evaluar el valor del activo adquirido o del pasivo en el que se han incurrido.
Ejemplos de tales transacciones son los compromisos de comprar o vender determinados valores después del cierre del ejercicio, y los préstamos cuyo principal e intereses no se hayan satisfecho en la fecha debida.
"Que todas las transacciones y hechos se registren con prontitud por el importe correcto, en la cuenta adecuada y en el período en que han tenido lugar, de modo que sea posible la preparación de los estados financieros en el marco de un conjunto de principios contables adecuadamente identificados"
5.6. En la evaluación de la adecuación de los controles internos individuales utilizados para asegurar que todas las transacciones son registradas adecuadamente, el auditor debe tener en cuanta un número de factores que tienen especial importancia en los bancos. Son los siguientes:
— Los bancos realizan amplios volúmenes de transacciones que pueden suponer, individualmente o de manera agregada, grandes volúmenes de efectivo. De acuerdo con ello, el banco debe tener procedimientos de comprobación de saldos y de reconciliación que operen en períodos cortos de tiempo y que tengan la capacidad suficiente para detectar errores y discrepancias, de manera que puedan ser investigados y corregidos con el mínimo riesgo posible de pérdidas para el banco. Tales procedimientos pueden actuar cada hora, cada día, cada semana o cada mes, dependiendo del volumen y naturaleza de las transacciones, de sus niveles de riesgo y del momento en que se liquidan.
— Muchas de las transacciones realizadas por los bancos están sujetas a reglas contables especiales. Puede resultar necesario, en consecuencia, tener procedimientos de control que aseguren que tales reglas se aplican de la manera y en el momento adecuados, de modo que se originen las anotaciones contables necesarias para la preparación de la información financiera adecuada para la dirección y para los estados financieros externos. Ejemplos de tales procedimientos de control son los aplicables a las operaciones en moneda extranjera cuando se producen alteraciones en el tipo de cambio, o los compromisos de compras o ventas de títulos, al objeto de asegurar que los beneficios y pérdidas no realizados se registran adecuadamente.
— Muchas de las transacciones realizadas por los bancos no figuran en el balance e, incluso, en ocasiones, tampoco en la memoria. De acuerdo con ello, los procedimientos de control deben actuar de manera que aseguren que tales transacciones se registran y controlan de manera que suministren a la dirección el necesario grado de control sobre ellas y que permitan la rápida determinación de cualquier cambio en sus condiciones que pueda implicar el registro de un beneficio o de una pérdida.
— Los bancos desarrollan constantemente nuevos productos y servicios. El auditor debe obtener razonable seguridad de que se realizan las necesarias revisiones de los procedimientos contables y de los correspondientes controles internos.
— Los saldos de cierre diarios pueden no ser indicativos del volumen de transacciones procesados por los sistemas o de los niveles máximos de riesgo de exposición a pérdidas durante el curso de las actividades del día. Esta circunstancia es especialmente relevante en la realización y procesamiento de transacciones en moneda extranjera y en títulos negociables. La evaluación de los controles en estas áreas debe tener en cuenta su capacidad de mantener el control durante el período de volúmenes máximos o de máximo riesgo financiero.
— La mayoría de las transacciones de los bancos deben registrarse de manera que sean susceptibles de verificación interna y por los clientes y sus garantes. El nivel de detalle que debe registrarse y mantenerse en las transacciones individuales debe permitir a la dirección, a las partes intervinientes en las transacciones y a los clientes del banco verificar la precisión de los correspondientes importes. Un ejemplo de tales controles es la verificación continua de los justificantes de las operaciones de cambio de moneda extranjera contando con un empleado independiente que case las confirmaciones con sus contrapartidas.
5.7. La amplia utilización de SI y de STIF puede tener un efecto significativo en la manera en que el auditor evalúa el sistema contable del banco y los correspondientes controles internos. La NIA 400, "Evaluación del Riesgo y Control Interno" y la Declaración Complementaria 1008, "Evaluación del Riesgo y Control Interno en un Contexto Informatizado, Características y Consideraciones", suministran criterios sobre los aspectos á tener en cuenta en tal evaluación. Al realizar su estudio y evaluación de los sistemas informáticos, el auditor debe asegurar que sus procedimientos incluyen una evaluación de los controles que afectan al desarrollo y modificaciones del sistema, al acceso y entrada de datos en el mismo, a la seguridad de las redes de comunicación y a la planificación de contingencias. Similares consideraciones deben hacerse en relación con la utilización de los STIF.
En la medida en que tales sistemas sean externos al banco, el auditor necesitará prestar atención adicional a la evaluación de la integridad de los controles de supervisión previos y posteriores a las transacciones y de confirmación y reconciliación de las mismas.
"Que el acceso a los activos y registros solo se permita con autorización de la dirección
5.8. Los activos de los bancos con frecuencia son fácilmente transferibles, de alto valor y de naturaleza tal que no pueden ser custodiados únicamente por procedimientos físicos. En consecuencia, al objeto de asegurar que el acceso a tales activos solo se permite de acuerdo con la autorización de la dirección, los bancos utilizan normalmente controles tales como:
— códigos individuales y acuerdos de acceso conjunto para limitar la utilización del SI y del STIF a las personas autorizadas;
— separación de las funciones de registro y acceso (incluida la utilización de informes de confirmación de las transacciones generados por el SI disponibles de inmediato y únicamente por el empleado encargado de las funciones de registro); y
— confirmaciones y reconciliaciones frecuentes de terceros sobre la situación de los activos, realizadas por un empleado independiente.
5.9. El auditor necesita obtener seguridad razonable de que cada uno de estos controles actúa de manera eficaz. Sin embargo, dada la importancia relativa y la posibilidad de transferencia de los importes implicados, debe normalmente revisar y/o participar en los procedimientos de confirmación y reconciliación que se apliquen en relación con la preparación de los estados financieros anuales.
"Que los saldos de los activos se comparen con la existencia real de los mismos a intervalos razonables, y que se tomen las medidas oportunas cuando se detecten diferencias"
5.10. El elevado importe de activos manejados por los bancos, el volumen de transacciones realizadas, la posibilidad de cambios en el valor de tales activos debidas a fluctuaciones en los precios de mercado y la importancia de confirmar los controles de autorización y acceso requieren la utilización frecuente de controles de reconciliación. Ello puede ser de especial importancia en relación con:
— Activos negociables, tales como efectivo, títulos al portador y activos en forma de depósitos y de posiciones con otras instituciones en los que los posibles fallos en detectar errores y discrepancias en el momento oportuno (que puede ser diario cuando se trate de transacciones en el mercado monetario) pueden ocasionar pérdidas irrecuperables. Los procedimientos de reconciliación utilizados para satisfacer estos objetivos de control normalmente están basados en el inventario físico y en la confirmación por terceros; y
— Activos cuyo valor se determina por referencia a precios externos de mercados, tales como las acciones o los contratos en moneda extranjera.
5.11. Al diseñar una estrategia de auditoría para evaluar la efectividad de los controles de reconciliación del banco, deben tenerse en cuenta las siguientes consideraciones:
— Dado el número de saldos que requieren reconciliación y la frecuencia con la que deben realizarse
a. una parte importante de los esfuerzos de auditoría deben dirigirse a la documentación, comprobación y evaluación de los controles de reconciliación; y
b. el trabajo del auditor interno puede estar dirigido en la misma dirección, por lo que el auditor puede normalmente hacer uso del mismo.
— Dado que las reconciliaciones son acumulativas en sus efectos, la mayoría de ellas pueden ser auditadas satisfactoriamente en la fecha de cierre, asumiendo que han sido preparadas hasta esa fecha, con una referencia temporal útil para el auditor y que pueden garantizarle que los procedimientos de control de las reconciliaciones son efectivos.
— El auditor necesita obtener seguridad razonable al examinar una reconciliación de que las partidas no han sido inadecuadamente transferidas a otras cuentas no sometidas a reconciliación o a investigación en el mismo período de tiempo.
"Las obligaciones relativas a los depósitos se llevan a cabo adecuadamente"
5.12. Los objetivos principales de control interno relativos a las actividades de depósito del banco persiguen asegurar que:
— todas las obligaciones que surgen de las relaciones de depósito se cumplen adecuadamente, y
— todos los activos que están confiados al banco, consecuencia de este tipo de actividades, están adecuadamente custodiados y registrados.
Un rasgo esencial del sistema es la adecuada separación entre los activos
depositados y los propios activos del banco y la atribución de las responsabilidades
derivados de aquellos a un departamento separado o a una filial del banco.