Declaración sobre las normas de auditoría n.º 99: Consideración del fraude en una auditoría de estados financieros , comúnmente abreviada como SAS 99 , es una declaración de auditoría emitida por el Consejo de normas de auditoría del Instituto Americano de Contadores Públicos Certificados (AICPA) en octubre de 2002. El borrador de exposición original se distribuyó en febrero de 2002. Consulte la norma PCAOB AS 2401.
La SAS 99, que sustituye a la SAS 82, se emitió en parte como respuesta a los escándalos contables contemporáneos en Enron, WorldCom, Adelphia y Tyco. La norma incorpora recomendaciones de varios colaboradores, entre ellos el Consejo de Normas Internacionales de Auditoría y Aseguramiento. La SAS 99 entró en vigor para las auditorías de estados financieros correspondientes a períodos que comiencen a partir del 15 de diciembre de 2002.
La SAS 99 define el fraude como un acto intencional que da lugar a una inexactitud material en los estados financieros. Se consideran dos tipos de fraude : inexactitudes derivadas de la presentación fraudulenta de informes financieros (por ejemplo, falsificación de registros contables) y inexactitudes derivadas de la apropiación indebida de activos (por ejemplo, robo de activos o gastos fraudulentos). La norma describe el triángulo del fraude. En general, las tres condiciones del "triángulo del fraude" están presentes cuando se produce un fraude. En primer lugar, existe un incentivo o presión que proporciona una razón para cometer fraude. En segundo lugar, existe una oportunidad para que se cometa el fraude (por ejemplo, ausencia de controles, controles ineficaces o la capacidad de la dirección para anular los controles). En tercer lugar, las personas que cometen el fraude poseen una actitud que les permite racionalizarlo.
Este requisito es un concepto nuevo en las normas de auditoría y tiene dos objetivos principales. El primero es que el equipo del trabajo tenga la oportunidad de que los miembros experimentados del equipo compartan sus experiencias con el cliente y cómo se puede perpetrar y ocultar un fraude. El segundo objetivo es establecer el " tono adecuado desde arriba " para llevar a cabo el trabajo. La sesión de intercambio de ideas debe llevarse a cabo de una manera que modele el grado adecuado de escepticismo profesional y establezca la cultura para toda la auditoría.
La SAS 99 exige que los auditores hagan preguntas a la dirección sobre su conocimiento y comprensión del fraude. Los auditores tomarán entonces una decisión sobre si necesitan "educar" a la dirección sobre el fraude y los tipos de controles que disuadirán y detectarán el fraude. La norma también exige que los auditores realicen preguntas al comité de auditoría, al personal de auditoría interna y a otras personas dentro de la entidad.
Esta sección proporciona orientación y apoyo sobre cómo identificar y evaluar los riesgos. Desafía a los auditores a cambiar la forma en que piensan sobre la evaluación de los riesgos de fraude. Los auditores deben identificar los riesgos y sintetizar cómo esos riesgos podrían conducir a una declaración errónea material. Esta sección requiere específicamente que se considere el reconocimiento incorrecto de ingresos y la anulación de los controles por parte de la administración.
La norma SAS 99 ofrece ejemplos específicos de programas y controles tanto para empresas grandes como pequeñas. El auditor debe considerar qué controles mitigan los riesgos de fraude identificados.
La norma proporciona ejemplos de situaciones que pueden identificarse durante la auditoría y que podrían indicar fraude. Un ejemplo es que la dirección niegue a los auditores el acceso al personal clave de operaciones de TI, incluido el personal de seguridad, operaciones y desarrollo de sistemas. Los auditores deben determinar si los resultados de sus pruebas afectan a su evaluación.
La norma exige que cualquier evidencia de que pueda existir fraude se comunique a la dirección y a otras personas. El nivel de gravedad es insignificante.
La SAS 99 amplía significativamente los requisitos de documentación de la norma anterior. Los auditores deben documentar: (1) cómo y cuándo se llevó a cabo la sesión de intercambio de ideas y quién participó, (2) los procedimientos realizados para obtener información para identificar y evaluar el riesgo de fraude, (3) los riesgos específicos de incorrección material debido al fraude (debe incluir específicamente una discusión sobre el reconocimiento de ingresos) y la respuesta del auditor a esos riesgos, (4) los resultados de los procedimientos realizados para abordar el riesgo de que la administración eluda los controles, (5) las condiciones y relaciones analíticas que llevaron a procedimientos de auditoría adicionales u otras respuestas, y (6) la naturaleza de las comunicaciones sobre fraude realizadas a la administración y a otros.
La principal crítica a la norma es que muchos procedimientos son sugeridos en lugar de obligatorios. Por ejemplo, se sugiere que los auditores consideren procedimientos sorpresa como presentarse sin previo aviso para un recuento de inventario. En la práctica real, los auditores a menudo les dicen a los clientes qué ubicaciones de inventario van a "observar". Decirles a los clientes qué ubicaciones serán auditadas hace que sea más fácil cometer fraude de inventario. Una crítica similar es que SAS 99 no cierra las brechas de expectativas. Las pautas y sugerencias proporcionadas en la norma aumentan las expectativas sobre la profesión. Como resultado, los auditores deben considerar los requisitos de SAS 99 como el nivel mínimo de trabajo requerido para detectar el fraude. Deben estar preparados para defender cualquier decisión de no seguir uno de los procedimientos recomendados enumerados en SAS 99.
Auditoría de Tecnologías de la Información