La respuesta del auditor a los riesgos de auditoría

deteccion-fraude-auditor
¿Porqué el auditor no detectó el fraude? La NIA-ES 240 nos responde
10 septiembre, 2018
examen-roac-2019-novedades
Primeras novedades normativas para la preparación del examen ROAC 2019
4 octubre, 2018
Mostrar todo

La respuesta del auditor a los riesgos de auditoría

riesgo-auditores

La adaptación introducida en España de las Normas Internacionales de Auditoría (NIA-ES) dio lugar a un nuevo paradigma de la auditoría, poniendo el riesgo de incorrección material en el centro de atención del auditor, modificando sustancialmente los enfoques de las auditorías y dando lugar a nuevas estrategias y planificación de los trabajos a realizar. Del mismo modo y en el mismo sentido, estos cambios también impactan en la preparación del examen ROAC.

Un nuevo enfoque que parte del requerimiento impuesto al auditor de identificar riesgos de incorrección material a nivel de cuentas anuales en su conjunto: fraude o negocio, e identificar riesgos de incorrección material a nivel de afirmaciones en saldos, transacciones y/o información a revelar en memoria (apartado 25 NIA-ES 315); siendo el concepto de riesgo de incorrección material (RIM) que un saldo, una transacción, una manifestación o cualquier otro punto de las cuentas anuales sea objeto de un error tal que pueda conducir a un usuario de la información financiera a tomar una decisión diferente de la que hubiese tomado en caso de disponer de la información “real”.

De esta manera, un riesgo se divide en dos principales componentes (1) Riesgo Inherente que dependerá de la probabilidad de ocurrencia y del impacto monetario y (2) Riesgo de Control que depende de la eficiencia operativa de los controles existentes; finalmente la combinación en la evaluación de estos componentes determinará la valoración del riesgo general identificado; en función de la cual el auditor diseñará los procedimientos adecuados para dar respuesta a dicho riesgo.

20180923 1 Componentes del riesgo

Sin embargo, existen riesgos que por requerir una atención especial son calificados como Riesgos Significativos, consideración basada sin tener en cuenta el segundo componente del riesgo referido a los controles (apartado 27 NIA-ES 315) y que serán para al menos aquellos riesgos que les afecten las siguientes circunstancias (apartado 28 NIA-ES 315):

  • (a) Es un riesgo de fraude.
  • (b) Es un riesgo relacionado con acontecimientos económicos significativos y de cierta naturaleza que requieran una atención especial (propia definición de riesgo significativo)
  • (c) Es un riesgo relacionado con transacciones complejas.
  • (d) Es un riesgo relacionado con operaciones vinculadas significativas.
  • (e) Es un riesgo relacionado con estimaciones o información financiera sometida a subjetividad de la información financiera o un importante grado de incertidumbre.
  • (f) Es un riesgo afecta a transacciones significativas que no parecen estar relacionadas con el curso normal del negocio.

La calificación de un RIM como Riesgo Significativo no es baladí ya que la implicación en el enfoque, planificación y estrategia de auditoría hace que el auditor replantee sus pruebas de auditoría, se vea sometido a nuevas obligaciones de comunicación con los responsables de la auditada e, incluso, acabe realizando una mención a dicho riesgo, por qué fue considerado como tal y cómo lo abordó, en el caso de que concluya que resultó ser uno de los aspectos más relevantes de la auditoría.

¿Cómo responde el auditor a los riesgos de incorrección material?

Atendiendo a la norma que rige el trabajo del auditor, los riesgos de incorrección material serán tratados en función de la evaluación de los componentes del riesgo que haya efectuado, esto es en función de la probabilidad de existencia de error y si tiene previsto confiar en la eficacia de los controles operativos (apartado 7 NIA-ES 330).

Si confía en poder obtener evidencia de la eficacia operativa de los controles, el auditor diseñará y realizará pruebas de controles, también cuando los procedimientos sustantivos -que hablamos a continuación- por sí solos no son capaces de aportar evidencia suficiente y adecuada (apartado 8 NIA-ES 330).

Además, las circunstancias y la casuística para cada RIM identificado harán que el auditor determine que para reducir el riesgo de auditoría aplique:

  • Procedimientos sustantivos consistentes en pruebas en detalle sobre saldos, transacciones o información a revelar.
  • Procedimientos sustantivos analíticos (regulados por la NIA-ES 520).
  • Una combinación de ambos.

 20180923 2 Procedimientos de auditoría (1)

¿Cuál es el tratamiento que requiere un Riesgo Significativo?

Como bien se define en la norma un RIM Significativo es aquel que requiere de una consideración especial por parte del auditor por lo que su tratamiento también es especial, así que vamos a ver qué requiere la norma para estos casos.

En primer lugar, si el motivo que hizo que el auditor determinara que el riesgo era significativo es porque éste se debía a fraude, es de aplicación toda la NIA-ES 240 de la que hablamos en esta entrada que aquí te dejo: ¿Porqué el auditor no detectó el fraude? La NIA-ES 240 nos responde 

Desde el primer instante que el auditor detecta un riesgo significativo debe obtener conocimiento de los controles clave que tiene la entidad para mitigar y responder ante estos riesgos (apartado 29 NIA-ES 315) y determinar, como hemos, si podrá confiar en su eficiencia operativa.

La norma requiere que el auditor aplique procedimientos sustantivos de forma específica para cada riesgo significativo (apartado 21 NIA-ES 330); añadiendo que deberá incluir pruebas en detalle si sólo aplica procedimientos sustantivos, esto es si no ha podido confiar en la eficacia operativa de los controles, en cuyo caso sí podría aplicar una combinación de procedimientos sustantivos analíticos junto con las pruebas de controles (previas). Tal vez la siguiente figura ayude a entender gráficamente este concepto.

20180923 3 Tratamiento riesgo significativo (1)

Cabe concluir haciendo alusión a las NIA-ES 315 y NIA-ES 330 que son la base normativa que requiere al auditor para la identificación y valoración de riesgos en auditoría, así como el tratamiento con el que estos deben ser tratados.

El presente artículo podría extenderse aun más allá, incluir también otros aspectos relacionados (como por ejemplo las obligaciones de comunicación al respecto, que abordaremos en otra entrada del blog) y generar un debate que queda abierto a cualquier opinión, pero hemos procurado introducir los aspectos más críticos en cuanto al tema tratado, haciendo alusiones a la norma durante el artículo para ayudar a una mejor comprensión, así como a un mejor estudio para quien esté ante una preparación del examen ROAC.