Riesgos de Auditoría: Tipos, Modelos y Procedimientos de Control

Modelo de Riesgo de Auditoría

El riesgo de auditoría es el riesgo final al que se enfrenta el auditor. Se compone de dos tipos de riesgos: el riesgo no controlable (o riesgo de la información) y el riesgo controlable (gestionado por el auditor).

El riesgo de la información se divide en:

• Riesgo inherente
• Riesgo de control

El riesgo controlable es el riesgo de detección, que el auditor puede gestionar a través de la intensidad de sus procedimientos.

La fórmula del modelo de riesgo de auditoría es la siguiente:

Riesgo de auditoría = Riesgo inherente * Riesgo de control * Riesgo de detección

A medida que aumenta el riesgo de la información, el auditor debe realizar más pruebas sustantivas para disminuir el riesgo de detección y alcanzar el nivel deseado de riesgo de auditoría. La valoración del riesgo debe realizarse para cada afirmación contable, ya que los riesgos no son idénticos para todas las partidas.

Riesgo Inherente

El riesgo inherente es la probabilidad de que las partidas contables estén equivocadas. La valoración de este riesgo se realiza en la fase de conocimiento del cliente y es estratégica en la planificación, ya que permite dirigir los esfuerzos hacia las áreas más conflictivas.

En la valoración del riesgo inherente, se deben distinguir:

• Características estructurales: pertenencia a un sector en lanzamiento, competencia en el sector, estructura de propiedad del cliente, cualificación del personal, etc.
• Condiciones coyunturales: situación financiera de la compañía, número elevado de bajas, planes de salida a bolsa, etc.

Estas características y condiciones pueden referirse a un nivel macroeconómico, al sector, a la empresa, a partidas concretas o incluso a objetivos de auditoría. Para controlar este riesgo, se implementan controles internos.

Tipos de riesgo inherente:

• Estructural
• Coyuntural

Riesgo de Control

El control interno comprende los métodos y procedimientos que aseguran que los activos estén protegidos, los registros sean fidedignos y la actividad sea eficaz. Este control interno sirve para prevenir o detectar errores o irregularidades en las cuentas anuales (conciliaciones, segregación de funciones, supervisión, etc.). El auditor debe evaluar este control.

La eficacia del control interno se mide a través de pruebas sustantivas de detalle y de revisión analítica.

Tipos de control interno:

• Técnicas preventivas: pretenden impedir la comisión de errores e irregularidades. Se aplican a priori.
• Técnicas de detección: tratan de corregir errores e irregularidades en los sistemas de información contable de la empresa una vez cometidos. Ofrecen una confianza superior a las preventivas, ya que el control detectivo es disuasorio y corrector, mientras que el preventivo es solo disuasorio.

Marco COSO

El informe COSO propone un enfoque de control interno dirigido a los siguientes objetivos:

• Eficacia (en el uso de inputs, maximizar el beneficio) y eficiencia en las operaciones (para impactar en el entorno). Este objetivo no es de interés directo para el auditor.
• Fiabilidad de la información financiera. Este objetivo sí es de interés para el auditor.
• Cumplimiento de leyes y normas aplicables.

El informe COSO establece cinco componentes en el sistema de control interno:

• Entorno de control (incluye controles para trabajadores y directivos, considerando que estos últimos pueden saltarse los controles que ellos mismos establecen).
• Evaluación de los riesgos.
• Actividades de control.
• Información y comunicación.
• Supervisión.

Carta de Evaluación Interna

El auditor debe comunicar a la dirección o al comité de auditoría las debilidades significativas del control interno. También evaluará si comunicar las debilidades no significativas y puede efectuar sugerencias para solventarlas. Esta comunicación se realizará por escrito.

Riesgo de Detección

El riesgo de detección es la posibilidad de que el auditor no descubra un error significativo en una determinada prueba sobre saldos de las cuentas anuales, cuando realmente existe.

Existen dos tipos de riesgos de error:

• Riesgo de error de muestreo: derivado de la verificación de muestras de la población.
• Riesgo de error no muestreo: procedente de un diseño inadecuado de la prueba o de una ejecución errónea.

Tipos de Pruebas de Auditoría

1. Pruebas de Cumplimiento

Las pruebas de cumplimiento tienen como objetivo obtener evidencia sobre el funcionamiento de los controles internos (existencia, efectividad, continuidad), que son responsabilidad de los administradores. Permiten conocer la garantía sobre la calidad de la información que genera la empresa. Se realiza un muestreo de atributos, definiendo una característica a investigar y analizando su presencia en una serie de transacciones.

Para definir el tamaño de la muestra, el auditor debe estimar:

• El nivel de confianza en sus conclusiones.
• La proporción de desviaciones tolerables (ambos definidos por el auditor a priori).
• El porcentaje de desviaciones esperadas (definido por la experiencia del auditor).

2. Pruebas Sustantivas

Las pruebas sustantivas extraen evidencia de los saldos y transacciones de la empresa, contrastando las cuentas con la realidad.

• Pruebas de revisión analítica: relacionan datos contables con extracontables. Son más complejas y difíciles de detectar.
• Pruebas de detalle: se basan en la comparación de la información contable (justificantes, información de terceras personas, existencia física de elementos) con la realidad. Son más fáciles de detectar.

3. Pruebas de Doble Propósito

Buscan obtener evidencia de forma simultánea, combinando pruebas de cumplimiento y sustantivas.

Objetivos de Auditoría

Según el ICAC, los objetivos de auditoría son:

• Existencia: los activos y pasivos existen en una fecha dada.
• Integridad: no hay activos, pasivos o transacciones que no estén debidamente registrados.
• Valoración: los activos y pasivos están registrados por su valor adecuado.
• Medición: las operaciones se registran por su justo importe.
• Presentación y desglose: las transacciones se clasifican correctamente.

Las transacciones a las que se refieren estos objetivos son: elementos que existen y transacciones que han ocurrido, no se ha omitido nada, y están correctamente valorados y presentados.

Métodos de Obtención de Evidencia

Los procedimientos para obtener evidencia de auditoría incluyen:

• Inspección: comprobación de la información contable con los documentos y/o elementos tangibles. La inspección física no excluye la documental.
• Observación: consiste en ver la ejecución de un proceso o procedimiento efectuado por otros. Se utiliza en las pruebas de cumplimiento y es importante en la etapa previa de conocimiento de la empresa.
• Preguntas: a la dirección y a los empleados.
• Confirmaciones: obtener corroboración de una información de los registros contables. Esta confirmación se puede efectuar por carta, lo que se denomina circularización (solicitar información para su confirmación).
• Cálculos: comprobación aritmética de los registros contables y análisis realizados por la empresa. Se utiliza para verificar las valoraciones, las cuales se pueden revisar de tres formas: revisando y comprobando el proceso, usando una estimación independiente o comprobando que los hechos posteriores confirman la información.