CÓMO IDENTIFICAR Y EVALUAR LOS RIESGOS DE AUDITORÍA SEGÚN NIAS

Atardecer en Getxo

 

La puesta en marcha de las nuevas normas internacionales de auditoria (NIAS) ha obligado a muchos auditores a reinventar sus métodos y sistemas de trabajo al exigirles un nuevo enfoque basado en los denominados riesgos de auditoría, lo que supone que todo su trabajo, desde el proceso de planificación, de ejecución e incluso la redacción de su opinión de auditoría, ha de pivotar sobre los riesgos de incorrección material que afecten a la entidad.

Tal y como establece la NIA 315 de Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno en su apartado 3:

“El objetivo del auditor es identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones, mediante el conocimiento de la entidad y de su entorno, incluido su control interno, con la finalidad de proporcionar una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material”.

Por tanto la identificación y evaluación de los eventuales riesgos de incorrección es un elemento clave para planificar los procedimientos de auditoría a aplicar a fin de obtener una seguridad razonable de que las cuentas anuales formuladas están libres de incorrección material y por lo tanto reflejan la imagen fiel de la entidad.

El concepto de riesgo no es nuevo. El enfoque de la auditoría en base a riesgos era un término ya utilizado por las grandes firmas desde los años 80. Sin embargo su aplicación práctica en muchos despachos y firmas de tamaño medio y pequeño ha supuesto un trauma en el primer año de implantación de las nuevas normas. El cambio de chip no ha sido tarea fácil, no sólo a la hora de identificar los eventuales riesgos sino y sobre todo al valorar su afectación y relevancia sobre las cuentas anuales formuladas por la entidad.

Aunque no se pretende desarrollar un tratado sobre la auditoría en base a riesgos[1], en este post, utilizando diferentes imágenes he querido aportar un enfoque práctico sobre el principal cambio habido en las normas de auditoría como es el del enfoque de riesgos.

 

Tipo de riesgosUna primera clasificación de los riesgos es  la distingue entre los que afectarían a incorrecciones relacionadas con las afirmaciones contenidas en las cuentas anuales de aquellos otros de carácter general, también denominados riesgos de negocio.

 

AfirmacionesCaso de tratarse de los primeros, es decir, sobre las afirmaciones, deberán identificarse aquellas que con más probabilidad afectarán sobre el contenido de las cuentas anuales, como son Integridad, Existencia, Exactitud y Corte, y Valoración. (El concepto de afirmaciones en NIAs equivale a los anteriores objetivos de auditoria utilizados en la anterior normativa).

 

 

Afectacion

Las afirmaciones hechas por la entidad al formular las cuentas pueden referirse a los Saldos (Balance), Transacciones (Resultados) e Información Revelada en la Memoria, por lo que no sólo se ha de definir la afirmación o afirmaciones que el riesgo detectado puede poner en duda sino al epígrafe al que se refiere dicha afirmación (BS, PYG o Memoria)

 

El riesgo debe de describirse con el suficiente detalle que permita comprender su naturaleza, su alcance, su afectación sobre los estados financieros, la relevancia así como la fuente o procedimiento de auditoría que permitió identificar el riesgo. En la siguiente imagen se muestra un ejemplo de descripción de un riesgo de incorrección material con efecto en las afirmaciones:

 

Conviene señalar que la identificación de los riesgos puede surgir mediante la aplicación de los siguientes procedimientos de auditoría:

a) En el proceso de aceptación y continuidad de los encargos de auditoria.

b) En los procedimientos de aplicación de los procedimientos en las auditorías iniciales.

c) En la revisión de la auditoria anterior (recurrentes).

d) Para el conocimiento de la entidad, su entorno, su normativa aplicable, su organización y sistemas contables.

e) Para el conocimiento de su control interno incluido los sistemas informatizados (TI).

f)  De carácter analítico (ratios, revisión variaciones).

g)  Para la identificación de factores de fraude

Los riesgos identificados, tanto en afirmaciones como generales han de ser valorados atendiendo a tres categorías de riesgo:

Riesgo de incorrección material: Riesgo de que los estados financieros contengan incorrecciones materiales antes de la realización de la auditoría que riesgo comprende dos componentes, el riesgo inherente y el riesgo de control interno.

1) Inherente: Susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información a una incorrección que pudiera ser material, ya sea individualmente o de forma agregada con otras incorrecciones, antes de tener en cuenta los posibles controles correspondientes.

2) De control: “Riesgo de que una incorrección que pudiera existir en una afirmación sobre un tipo de transacción, saldo contable u otra relevación de información, y que pudiera ser material ya sea individualmente o de forma agregada con otras incorrecciones, no sea prevenida, o detectada y corregida oportunamente, por el  sistema de control interno de la entidad”.

ValoraciónLos riesgos identificados y evaluados pueden variar en función de su relevancia o su importancia de su posible afectación sobre las cuentas anuales. Por lo tanto se deberá determinar cuáles son significativos y por tanto requieren una especial atención por parte del auditor.

 

Tras el proceso de identificación y valoración, con mención de los que son considerados como significativos, la NIA 330[2] exige que el auditor determine las respuestas que ha de dar a dichos riesgos; dicho de otro modo, el auditor diseñará y aplicará procedimientos de auditoría posteriores cuya naturaleza, momento de realización y extensión estén basados en los riesgos valorados de incorrección material en las afirmaciones y respondan a dichos riesgos (NIA 300.6).

Utilizando el ejemplo del riesgo utilizado anteriormente, las posibles respuestas del auditor irían orientadas hacia los siguientes procedimientos de auditoría:

Respuestas

La planificación de auditoría se ha de basar en los riesgos identificados y valorados que a modo de matriz sirva de base para establecer la estrategia y el plan de auditoría. Matriz de riesgos que se modificará a medida que avanza la auditoría por los cambios habidos,  los hallazgos alcanzados por el auditor, hechos y situaciones inusuales no previstas en la fase de planificación, lo cual puede suponer modificar la naturaleza y alcance de los procedimientos inicialmente previstos.

La matriz de riesgos con los cambios habidos así como con las conclusiones alcanzadas mediante la aplicación de los procedimientos de auditoría utilizados a modo de respuesta del auditor a los riesgos identificados, deberá documentarse adecuadamente como evidencia sobre la que basar el contenido del informe de auditoría.

Para facilitar la tarea de identificación de los posibles riesgos, Audinfor dispone de una batería de más de 60 tipo de riesgos, tanto de carácter general como en afirmaciones, que facilita, previa selección de aquellos que se consideren aplicable,  adaptarlos a las características de la entidad auditad a fin de crear la matriz de riesgos del encargo.

 

Matriz batería de riesgos

(Nota: las imágenes que aparecen en este post corresponden a la versión 3.0 de la aplicación GESIA  y de su Máster 15 de auditoria conteniendo 62 riesgos predefinidos.).
Matriz batería de riesgosEsteban Uyarra Encalado

 

Noviembre

[1] Tengo previsto la publicación en este blog de varias entregas relativa a la planificación en base a riesgos enfocadas a los auditores y firmas de auditoría de pequeña dimensión.
[2]  Respuestas del auditor a los riesgos valorados (NIA 330)

Posts recomendados

Deja un comentario