La norma revisada de auditoría de grupos entró en vigor para los periodos iniciados a partir del 15 de diciembre de 2023. Esta norma redefine fundamentalmente la forma en que los auditores abordan el alcance, la supervisión, la comunicación y la documentación en los encargos con múltiples componentes. Esta guía ofrece una visión general orientada a los profesionales sobre los cambios más significativos y sus consecuencias prácticas para los auditores del grupo y de los componentes.
Enfoque de auditoría de grupo basado en el riesgo
Cambio principal
La norma introduce un enfoque descendente (top-down) basado en el riesgo y dirigido por el auditor del grupo. El encargo se planifica en función de dónde existan riesgos de incorrección material a nivel de grupo. El trabajo de auditoría sigue a estos riesgos, independientemente del tamaño o la ubicación del componente.
Enfoque tradicional frente al nuevo enfoque
El método anterior comenzaba identificando los componentes «significativos» frente a los «no significativos». El nuevo método elimina esta distinción. En su lugar, se centra en la evaluación de riesgos a nivel de grupo.
Esto alinea la HKSA 600 con la HKSA 315 (Revisada en 2019), la HKSA 330 y la HKSA 220 (Revisada).
Implicaciones prácticas
- La determinación del alcance se basa en el riesgo, no en umbrales. El enfoque de la auditoría puede dirigirse a unidades pequeñas si conllevan riesgos cualitativos más elevados.
- Algunos ejemplos son las funciones de tesorería, los centros de servicios compartidos o las sucursales.
- Los auditores de los componentes participan en todas las fases de la auditoría. Esto incluye la evaluación de riesgos, el trabajo de campo y los procedimientos de finalización.
Cambios en las definiciones y el alcance
Redefinición de componente
Un componente puede ser una entidad, unidad de negocio, función o actividad empresarial. El auditor del grupo determina los componentes basándose en la planificación y la realización de procedimientos. La etiqueta de «componente significativo» ya no existe.
Aplicabilidad ampliada
La norma se aplica a sucursales, divisiones, centros de servicios compartidos y entidades no controladas cuando sean relevantes para la consolidación. Los riesgos del grupo determinan dónde y cómo se realiza el trabajo.
Adopción en Hong Kong
La HKSA 600 (Revisada) refleja la NIA 600 (Revisada) con la misma fecha de entrada en vigor. El HKICPA destaca la alineación con la HKSQM 1, la HKSA 220 (Revisada) y la HKSA 315 (Revisada en 2019).
Calidad del encargo y estructura del equipo
Auditores de componentes como miembros del equipo
La norma trata explícitamente a los auditores de los componentes como parte del equipo del encargo. El socio del encargo del grupo es responsable de la dirección, supervisión y revisión en todo el grupo.
Responsabilidades clave
- Evaluar la competencia y las capacidades de los auditores de los componentes
- Garantizar recursos suficientes y adecuados para lograr la calidad
- Mantener una comunicación bidireccional sólida entre los auditores del grupo y de los componentes
Expectativas regulatorias
Los reguladores hacen hincapié en una participación suficiente y adecuada durante toda la auditoría. Esto incluye la determinación del alcance, el calendario, la evaluación de los resultados y la conclusión sobre la suficiencia de la evidencia.
Importancia relativa y riesgo de agregación
Definición del riesgo de agregación
El riesgo de agregación es la probabilidad de que el conjunto de incorrecciones no corregidas y no detectadas supere la importancia relativa del grupo. La norma aclara cómo se aplica esto en las auditorías de grupo.
Importancia relativa del desempeño de los componentes
El auditor del grupo establece la importancia relativa del desempeño de los componentes para determinar el alcance del trabajo. Para ello se tiene en cuenta el riesgo de agregación a nivel de grupo y los riesgos evaluados de incorrección material.
Resultados prácticos
- Importancia relativa del desempeño más adaptada en los componentes
- Procedimientos específicos sobre afirmaciones con mayor riesgo, incluso en componentes anteriormente considerados «no materiales»
Restricciones de acceso
Reconocimiento de barreras
La norma reconoce las restricciones de acceso a las personas, la información o los auditores de los componentes. Las barreras pueden ser legales, reglamentarias o basarse en la confidencialidad.
Superación de las restricciones
- Negociar el acceso en una fase temprana del encargo
- Realizar procedimientos alternativos cuando no se disponga de acceso directo
- Documentar las restricciones, las alternativas utilizadas y la evaluación de la suficiencia de la evidencia
Enfoque regulatorio
Los reguladores esperan una documentación clara de lo que se restringió, qué alternativas se utilizaron y cómo se evaluó la suficiencia de la evidencia.
Requisitos de documentación mejorados
Expectativas más sólidas
Los requisitos de documentación son más detallados y explícitos. El vínculo con la HKSA 230 es claro. El auditor del grupo debe demostrar varios elementos clave.
Documentación requerida
- Conclusiones de aceptación y continuidad que demuestren que se puede obtener evidencia de auditoría suficiente y adecuada
- Evaluación de riesgos y respuestas a nivel de grupo
- Participación en el trabajo de los componentes, incluidas las comunicaciones, las instrucciones y la revisión de los resultados
- Evaluación de la competencia e independencia de los auditores de los componentes
- Escepticismo profesional ejercido durante todo el encargo
- Decisiones sobre importancia relativa y consideraciones sobre el riesgo de agregación
Lo que los auditores del grupo solicitan ahora a los auditores de los componentes
Basándose en la experiencia de las primeras aplicaciones, los auditores del grupo suelen solicitar información y documentación específica a los auditores de los componentes.
Información temprana sobre riesgos
- Narrativa y datos sobre dónde existen riesgos (estimaciones complejas, dependencias de TI, riesgos de corte)
- Información a nivel de proceso (asientos de consolidación, conciliaciones intercompañía, controles de conversión a las NIIF)
Evidencia de competencia e independencia
- Evidencia de experiencia relevante en el sector
- Confirmación del cumplimiento de las normas éticas
Acuerdo sobre importancia relativa
- Acuerdo sobre la importancia relativa del desempeño de los componentes y afirmaciones con un alcance claramente definido vinculadas a los riesgos del grupo
Artefactos de comunicación
- Instrucciones y plazos formales
- Actualizaciones de estado alineadas con los hitos del grupo
- Disponibilidad de papeles de trabajo o alternativas acordadas para el acceso restringido
Documentación del escepticismo
- Evidencia de cómo se evaluaron las excepciones frente al riesgo de agregación del grupo
Cambios en la práctica
Participación e integración más tempranas
Los auditores del grupo colaboran con los equipos de los componentes antes, normalmente en la fase de evaluación de riesgos. Alinean los planes de pruebas con los riesgos a nivel de grupo y programan comunicaciones por hitos para evitar problemas de última hora.
Cambio de un enfoque ascendente a uno dirigido por el grupo
La estrategia del encargo se define de forma centralizada. El auditor del grupo define los componentes, establece la importancia relativa del desempeño y coordina los procedimientos por afirmación y riesgo. La determinación del alcance tradicional por tamaño está dando paso a una determinación por riesgo cualitativo.
Aumento del volumen de documentación
Los registros deben mostrar la cadena de razonamiento desde los riesgos del grupo hasta el alcance de los componentes, las instrucciones, los resultados y las conclusiones. Se requiere una evidencia clara de dirección, supervisión y revisión de todos los miembros del equipo.
Planificación del acceso por adelantado
Los equipos planifican las estrategias de acceso en la fase de aceptación y continuidad. Documentan procedimientos de contingencia cuando no se puede lograr un acceso total. Esto incluye salas de datos, obstáculos de confidencialidad o límites jurisdiccionales.
Enfoque en la consolidación y las TI
La comprensión y las pruebas de los procesos de consolidación se realizan antes en el cronograma. Esto incluye los controles de eliminación intercompañía y las dependencias de TI de todo el grupo. Los equipos de los componentes que procesan o suministran datos de consolidación participan en procedimientos específicos.
Impactos específicos en la documentación
Memorandos de aceptación y continuidad
Conclusión explícita de que se puede obtener evidencia de auditoría suficiente y adecuada a nivel de grupo. Esto incluye el trabajo de los componentes y la consolidación, con las limitaciones de acceso identificadas y su mitigación.
Archivos de evaluación de riesgos del grupo
Mapeo de los factores de riesgo inherente y las consideraciones de TI con las afirmaciones de los estados financieros del grupo. Vínculo explícito con los procedimientos a nivel de componente.
Cartas de instrucciones a los componentes
Instrucciones ancladas en el riesgo, importancia relativa del desempeño, expectativas de muestreo, plantillas de informes y protocolos de acceso a los papeles de trabajo.
Registros de comunicación
Evidencia de comunicación bidireccional que incluya solicitudes, aclaraciones y actualizaciones de estado. Revisiones de hitos y evaluación de los resultados de los componentes. Documentación de cómo se escalaron y resolvieron las excepciones a nivel de grupo.
Memorandos de conclusión
Una evaluación consolidada de suficiencia y adecuación. Integra la evidencia de los componentes y aborda el riesgo de agregación.
Implicaciones para los equipos financieros y los comités de auditoría
Solicitudes de planificación detalladas
Los auditores del grupo solicitarán un acceso más temprano a los modelos de consolidación, los procesos de eliminación intercompañía y el linaje de datos. Esto incluye los controles de TI.
Mayor esfuerzo de coordinación
La coordinación entre jurisdicciones es más intensiva. Esto incluye comprobaciones de independencia, evaluaciones de competencia y alineación de calendarios. Los auditores de los componentes funcionan como un único equipo de encargo bajo el liderazgo del socio del grupo.
Trabajo de componentes con alcance redefinido
Ubicaciones anteriormente «no materiales» pueden ahora incluirse en el alcance para procedimientos específicos sobre afirmaciones de alto riesgo. Por el contrario, en algunos componentes grandes se puede reenfocar el trabajo si sus riesgos son menores.
Supervisión del comité de auditoría
Los comités de auditoría deben esperar una articulación clara de los riesgos del grupo y las respuestas planificadas. Esto incluye las limitaciones de acceso y cómo el equipo del grupo supervisa el trabajo de los componentes. La evidencia del escepticismo profesional es esencial.
Cinco puntos de acción para los auditores de grupo
- 1. Rediseñar la planificación para priorizar el riesgo
Comience con los riesgos de incorrección material y las afirmaciones a nivel de grupo. A continuación, defina los componentes, la importancia relativa y los procedimientos en consecuencia. Integre este flujo en las plantillas de planificación e instrucciones.
- 2. Tratar a los auditores de los componentes como equipo del encargo
Formalice las evaluaciones de competencia y las confirmaciones de independencia. Establezca líneas claras de dirección, supervisión y revisión.
- 3. Asegurar el acceso y las alternativas con antelación
Documente las limitaciones previstas y las soluciones acordadas. Esto incluye el acceso seguro, las redacciones o los resúmenes. Refleje esto en la planificación de la aceptación, la continuidad y el cronograma.
- 4. Elevar el enfoque en la consolidación y las TI
Incorpore especialistas en la planificación temprana cuando sea necesario. Vincule las pruebas de controles al proceso de consolidación y a los sistemas del grupo.
- 5. Mejorar la disciplina de documentación
Utilice plantillas adecuadas para evidenciar la cadena riesgo-respuesta-resultado-conclusión. Documente cómo se consideró el riesgo de agregación y cómo se ejerció el escepticismo.
Fecha de entrada en vigor en Hong Kong
La HKSA 600 (Revisada) es aplicable en Hong Kong para las auditorías de estados financieros de periodos iniciados a partir del 15 de diciembre de 2023. Para muchos cierres de ejercicio al 31 de diciembre de 2024, este es el primer ciclo bajo los requisitos revisados.
Conclusión
La HKSA 600 (Revisada) transforma las auditorías de grupo en un único encargo coordinado por el riesgo. El auditor del grupo debe asumir la planificación, dirección, supervisión y revisión de todos los componentes.
Los equipos deben esperar una participación más temprana, una integración más profunda, una documentación más sólida y una rendición de cuentas más clara. La norma exige evidencia suficiente para sustentar la opinión del grupo.
Los equipos que adopten el cambio de una visión de libro mayor por componentes a una mentalidad consolidada y centrada en el riesgo encontrarán que la norma es escalable y práctica. Estarán mejor posicionados para la inspección regulatoria y la confianza de las partes interesadas.
Referencias
Esta guía se basa en las orientaciones de:
- Instituto de Censores Jurados de Cuentas de Hong Kong (HKICPA)
- Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB)
- Instituto de Contables Colegiados de Inglaterra y Gales (ICAEW)
- Orientación de la Comisión Europea sobre auditorías de grupo
- Diversas firmas profesionales de contabilidad y organismos reguladores