¿Son obligatorias las pruebas de recorrido cuando tenemos que comprobar el diseño y la implementación?

Estimado Lector,

La pregunta, la plantea un compañero de profesión y la respuesta hay que reconocer que no es totalmente clara, pero voy a dar mi opinión, la norma en su apartado 26.d.ii nos dice que para cada uno de los controles identificados en el apartado a) (RS) o c)  "la determinación de si el control ha sido implementado aplicando procedimientos además de indagar ante el personal de la entidad."

Esto fue una importante aclaración, ya no sería suficiente indagar ante el personal, había que verificar que el control se estaba implementando.

La norma plantea en el apartado 177 de la guía de aplicación:

"Los procedimientos de valoración del riesgo para la obtención de evidencia de auditoría sobre el diseño e implementación de controles identificados en el componente de actividades de control pueden incluir:

• La indagación ante los empleados de la entidad.
• La observación de la aplicación de controles específicos.
• La inspección de documentos e informes.

Sin embargo, la indagación como único procedimiento no es suficiente para dichos fines."

Solicitar documentación sobre un control implica, lógicamente que el control está bien diseñado.

Observar la aplicación de controles o inspeccionar los documentos e informes, es lo que haces sobre cada control durante una prueba de recorrido, es cierto que la guía de aplicación no es un requerimiento, pero te está orientando en el sentido de que quiere que te levantes de la silla y mires lo que se está haciendo en la realidad, sin entrar en la eficacia operativa de controles que es otro tema.

¿Se os ocurre otros procedimientos a aplicar que no sea coger 1 item y hacer el recorrido por el ciclo aplicado los procedimiento indicados en el apartado 177 de la guía de aplicación?

Para el ROAC

Pensando en una pregunta para el teórico, se podría plantear si es obligatorio hacer pruebas de recorrido cuando tenemos que comprobar el diseño y la implementación y según las respuestas que ofrezcan, te podrían forzar a decir que no, porque la NIA-ES 315 R  te dice que tienes que aplicar procedimientos, pero no te dice cuales (aunque si te da una recomendación en el apartado 177 del la guía de aplicación).

Pero en un supuesto práctico (que es el examen que yo preparo), si tienes que conocer el diseño y la implementación, yo si creo que debes indicar que para un item vas a observar los controles e inspeccionar informes y documentación a lo largo del ciclo, siguiendo lo que dice el apartado 177 de la guía de aplicación.

Así que en el caso descrito, si no estás obligado, como si lo estuvieses, tienes que levantarte de la mesa y ver lo que está haciendo la empresa, observar los controles o revisar la documentación de los distintos controles a lo largo del ciclo.

Fue un tema que tuvimos la suerte de que nos ilustrara el auditor Mario Ballesteros, no es merito mío darme cuenta de que la norma te orientaba a no quedarte con la indagación al personal o archivando un flujograma, que había que tomar un item y hacer el recorrido.

Nota IAJ: Ante un Riesgo Significativo estamos obligados a verificar el diseño y la implementación, pero no estamos obligados a verificar la eficacia operativa del control. La prueba de recorrido en este caso se plantea para verificar la implementación.

Recibe un cordial saludo.

Ignacio Aguilar.

Preparador examen ROAC