lunes, 22 de abril de 2019

DIA 3: ¿Qué hacer cuando la Dirección elude controles?

Estimado Lector,

La siguiente entrada la basaremos en el libro Normas Internacionales de Auditoría Adaptadas para su aplicación en España. En este manual en la página 51 ya se consideró como un riesgo significativo en la matriz de riesgo, el riesgo de que la dirección incumpliera controles (explicación en la página 51 y aplicación práctica en la página 445).

En concreto la página 51 del manual dice:

"En todos los clientes existe la posibilidad de que la Dirección incumpla controles, en este sentido como ya indicaremos cuando expliquemos la NIA-ES 315, este riesgo debe considerarse en la matriz de riesgos".

Esta afirmación estaba respaldada por la norma, en concreto el R31 de la NIA-ES 240 literalmente dice:

"Aunque el nivel de riesgo de que la dirección eluda los controles variará de una entidad a otra, la existencia del riesgo en sí está presente en todas las entidades."

Además en la práctica, vemos casos como el de DIA donde la compañía afirma en sus cuentas anuales en la nota 1.1 en relació al fraude que se trata de "(..) prácticas irregulares que habrían sido realizadas por determinados empleados y directivos (incluyendo algunos de los anteriores miembros de la alta dirección del Grupo), eludiendo los controles internos establecidos por el Grupo. (...)"

Quería aprovechar la ocasión, para recordar algo que los lectores del libro ya tienen claro, pero que es importante que se aplique así, esto es,  que se considere el riesgo de que la Dirección eluda controles y que por tanto se incluya en la matriz de riesgos.

A continuación contestaremos a varias preguntas sobre el caso DIA, utilizando como fundamento la propia NIA-ES 240, el manual que hemos citado en la cabecera del artículo y el informe financiero anual del año 2018 publicado por DIA.

1.- ¿Qué es un fraude?

Aunque el "fraude" es un concepto jurídico amplio, a los efectos de la NIA al auditor le concierne el fraude que da lugar a incorrecciones materiales en los EEFF. 

Para el auditor son relevantes 2 tipos de incorrecciones:

a) las incorrecciones debidas a información financiera fraudulenta y 
b) las debidas a una apropiación indebida de activos

En el caso de DIA estaríamos ante un fraude que dió lugar a una incorrección material en forma de información financiera fraudulenta.

2.- ¿Qué partidas se vieron afectadas?

Según la nota 2 a) de las Cuentas Anuales el fraude afectó a descuentos comerciales a proveedores, facturas pendientes de recibir (compras), facturas pendientes de recibir (inmovilizado), provisiones y otros.

Lógicamente estas partidas deberían haber sido identificadas como riesgos significativos y de hecho algunas como los descuentos comerciales con proveedores fueron tratadas como Cuestión Clave de Auditoría en el informe de KPMG.

3.- ¿De qué es responsable la Dirección de DIA?

Los responsables del gobierno de la entidad y la dirección son los principales responsables de la detección y prevención del fraude, son ellos los primeros que deberían haber identificado el riesgo de que la propia dirección eluda controles.

4.- ¿De qué es responsable el auditor?

El auditor es responsable de la obtención de una seguridad razonable de que los estados financieros están libres de incorrecciones materiales debidas a fraude o error.

5.- ¿Pero que procedimientos puede hacer el auditor para cubrir el riesgo de que la Dirección eluda controles?

En las páginas 51 y 52 del manual de referencia se realiza un resumen de los procedimientos contenidos en los requerimientos 31, 32 y 33 de la NIA-ES 240 que reproducimos a continuación:

a) Comprobar la adecuación de los asientos del libro diario registrados en el libro mayor, así como de otros ajustes realizados para la preparación de los estados financieros.

b) Revisar las estimaciones contables en busca de sesgos y evaluar si las circunstancias que han dado lugar al sesgo, si lo hubiera, representan un riesgo de incorrección material debida a fraude.

c) En el caso de transacciones significativas ajenas al curso normal de los negocios de la entidad, o que, de algún modo, parezcan inusuales teniendo en cuenta el conocimiento que tiene el auditor de la entidad y de su entorno, el auditor evaluará el sentido económico o fundamento empresarial de las transacciones, para concluir si se pueden haber registrado con el fin de engañar a través de la información financiera fraudulenta o de ocultar una apropiación indebida de activos.

El auditor determinará si, para responder a los riesgos identificados de que la dirección eluda los controles, necesita aplicar otros procedimientos de auditoría adicionales a los mencionados.

6.- Una vez descubierto el fraude y evaluado por un equipo de Forensic ¿Qué respuesta dió KPMG al fraude?

Como el tema del fraude y la re-expresión se contenía en las Cuentas Anuales se incuyó como una Cuestión Clave de Auditoría, sabemos que procedimientos siguió KPMG:

 – entendimiento del proceso de identificación por parte de la Dirección, de las incorrecciones que han motivado la reexpresión de las cifras comparativas así como las circunstancias en las que han tenido lugar, en particular, aquellas relacionadas con prácticas contables irregulares con efecto de incrementar de forma artificial el margen comercial. 
– evaluación del adecuado registro de los ajustes por reexpresión realizados por la Sociedad en las cifras comparativas. 
análisis del trabajo de investigación forense llevado a cabo en España por los asesores externos contratados por la Sociedad con el objetivo de evaluar las posibles implicaciones en nuestro enfoque del trabajo de auditoría y en el análisis de nuestras evidencias de auditoría. 
especial atención en las áreas afectadas, incluyendo incrementar las pruebas de detalle en las cuestiones identificadas como de mayor riesgo de incorrección material, obtener evidencias de auditoría adicionales mediante confirmaciones de terceros, mayor involucración reforzada en la auditoría de profesionales con más experiencia, identificación de aquellas áreas en las que se requieren conocimientos especializados a efectos de involucrar a los especialistas que se han considerado necesarios para responder de manera adecuada al riesgo de incorrección, así como el uso de herramientas de auditoría asistidas por ordenador en la ejecución de determinadas pruebas de auditoría. 
– evaluación de si la información revelada en las cuentas anuales en relación con la reexpresion de las cifras comparativas cumple con los requerimientos del marco normativo de información financiera aplicable a la Sociedad.

7.- ¿Qué manifestaciones escritas serían necesarias?

En la página 53 del manual de referencia se indican las manifestaciones escritas que debe obtener el auditor de los responsables del gobierno de la entidad donde estos:

a) Reconocen su responsabilidad en el diseño, la implementación y el mantenimiento del control interno para prevenir y detectar el fraude.

b) Han revelado al auditor:

1. Los resultados de la valoración realizada por la Dirección del riesgo de incorrecciones materiales deibda a fraude en los EEFF.

2) Su conocimiento de un fraude o de indicios de fraude que afecten a la entidad y en el que estén implicados:
  • la dirección,
  • empleados con funciones significativas de control interno u
  • otras personas (cuando el fraude tenga un efecto material en los EEFF).
c) Su conocimiento de cualquier denuncia de fraude, o de indicios de fraude, que afecten a los EEFF de la entidad, realizada por empleados, antiguos empleados, analistas, autoridades reguladoras u otros.

De lo anterior se deduce que KPMG debió obtener manifestaciones especificas sobre los hechos que llevaron a la re-expresión de las cifras contenidas en los estados financieros del 2017 de DIA.

8.- ¿Estaban obligados a comunicar a la CNMV sobre este fraude?

El R43 de la NIA-ES 240 dice:

"Si el auditor ha identificado un fraude, o tiene indicios de que lo haya, determinará si tiene la responsabilidad de informar de ello a un tercero ajeno a la entidad. Aunque es posible que el deber del auditor de mantener la confidencialidad de la información de su cliente le impida hacerlo, en algunas circunstancias la responsabilidad legal del auditor puede prevalecer sobre el deber de confidencialidad. (Ref: Apartados A65-A67"

En el acaso de España, tratandose de una compañía cotizada y de acuerdo con el artículo 12 del RUE y el 38 de la LAC, tal como se explica en la Consulta 2 del BOICAC 109, el auditor debería informar al supervisor, en este caso la CNMV del fraude detectado. Claro está, se entiende que esta comunicación es relevante si la información no es pública, si ya se publicó en un hecho relevante previo y es algo conocido por el mercado tiene menos sentido.

Espero que te haya resultado de utilidad.

Recibe un cordial saludo.
Ignacio Aguilar.

No hay comentarios:

Publicar un comentario

Responsable » Ignacio Aguilar Jara
Finalidad » gestionar los comentarios.
Legitimación » tu consentimiento.
Destinatarios » los datos que me facilitas estarán ubicados en los servidores de Google LLC , con domicilio en EEUU. Más información en: http://www.blogger.com/ (Google LLC ). Google LLC trata los datos con la finalidad de realizar sus servicios de plataforma web a Ignacio Aguilar Jara.
Derechos » podrás ejercer tus derechos, entre otros, a acceder, rectificar, limitar y suprimir tus datos.