UNIDAD 2.

RIESGO DE AUTORIA y TIPOS DE RIESGO

¿Por qué es importante evaluar el Riesgo de Auditoría?

Identificar, evaluar y responder al riesgo de cada cliente en particular, es crucial para una
auditoría de calidad. Como resultado de la evaluación del riesgo, determinamos la
naturaleza, extensión y oportunidad tanto de las pruebas sustantivas como las de control
que nos llevan a obtener la evidencia suficiente y apropiada para soportar la opinión. Es
más, podríamos llegar a concluir que el cliente no es auditable.
Todo esto sin contar con la obligación que tiene el auditor independiente de cumplir con
dos normas internacionales que se lo exigen:

 NIA 315: Identificación y Evaluación de los Riesgos de Incorrección Material a

través de la Comprensión de la Entidad y su Entorno
 NIA 330: Efectuar Procedimientos de Auditoría en Respuesta a Riesgos Evaluados y
Evaluar la Evidencia de Auditoría Obtenida.

Primero, se debe conocer al cliente, su negocio, su entorno, saber qué lo afecta, cuáles
son las principales amenazas a las que está expuesto, para así identificar los riesgos y
evaluarlos con el fin de determinar si pueden generar errores significativos en los estados
financieros (NIA 315).
Una vez identificados y evaluados los riesgos diseñamos nuestros procedimientos y
pruebas en respuesta a esa evaluación, ¿para qué? Para obtener una evidencia suficiente
y apropiada (NIA 330).
He ahí la importancia de evaluar el Riesgo de Auditoría.
El modelo de Riesgo de auditoría
El riesgo de auditoría, es el riesgo que corre la firma de expresar una opinión errónea por
cuanto los estados financieros contienen incorrecciones materiales. El objetivo como
auditores es reducir este riesgo a un nivel bajo aceptable.
El Riesgo de Auditoría está compuesto por:
Riesgo Inherente: Es el riesgo que conlleva cada actividad por sí misma en ausencia de
controles. Representa la posibilidad de que una afirmación sobre una transacción, saldo
contable o una revelación de información contenga errores materiales.
Riesgo de Control:  Riesgo de que los controles establecidos por el cliente no prevengan ni
detecten una incorrección significativa.
Riesgo de Detección: Es el riesgo de que un auditor no encuentre errores materiales.
La combinación del riesgo inherente y el riesgo de control conforman el Riesgo
de Incorrección Material (RMM por sus siglas en inglés).
Así que podemos expresar el modelo de riesgo de auditoría en la siguiente fórmula:

Tomado de:https://blog.aicpa.org/

Riesgo de Auditoría= RMM x Riesgo de Detección 

El RMM existe independientemente del auditor y no puede ser reducido a través de
pruebas sustantivas como pueden apreciar, no depende del auditor. Entonces, reducir el
Riesgo de Auditoría a un nivel bajo, depende del Riesgo de Detección solo puede ser
manejado por el auditor.
El Riesgo de Detección está influenciado por la naturaleza, oportunidad y extensión de los
procedimientos de auditoría. Por ejemplo, si un auditor quiere reducir su Riesgo de
Detección podría:

 Aumentar la extensión de los procedimientos seleccionando una muestra más

grande.
 Cambiar la naturaleza de la prueba, en lugar de revisiones analíticas, examinar los
documentos físicos que se requieran.
 Alternar la oportunidad de los procedimientos.

Si en primera instancia no se evalúan apropiadamente el Riesgo Inherente y el Riesgo de

Control, el auditor no tendría las bases para evaluar el Riesgo de Detección y de ninguna
manera planear la naturaleza, oportunidad y extensión de los procedimientos. No importa
la cantidad de pruebas que realice, si no identifica y evalúa los riesgos específicos de su
cliente el auditor no estará cumpliendo con las Normas de Auditoría Generalmente
Aceptadas (GAAS por sus siglas en inglés).
4 consejos para identificar los riesgos de auditoría del cliente
Los consejos que encontrarán a continuación apuntan a la identificación y evaluación de
los riesgos y los controles del cliente para llevar a cabo una auditoría de calidad.

 No le dé miedo preguntar

Es preciso identificar los riesgos específicos de un cliente en particular, por lo tanto

debemos conocer bien la entidad misma, esto implica hacer muchas preguntas,
especialmente si es un cliente de primera vez. Preguntar y preguntar, observar al cliente,
entender su entorno y cómo lo afecta, para así poder detectar los riesgos.
De igual manera para planear la auditoría de un proceso específico o de un área
determinada debemos conocer bien su funcionamiento, por lo que no debemos ser
tímidos y hacer todas las preguntas necesarias que nos permitan apropiarnos del tema y
en consecuencia diseñar los procedimientos de auditoría adecuados.

 Conozca el sector económico de sus clientes y sus ciclos transaccionales

Una vez entendida la organización como tal, también es importante conocer su industria.
Las organizaciones de cada industria o sector económico suelen tener características
similares en sus ciclos operacionales y riesgos inherentes comunes. Por estas razones
conocer la industria del cliente nos ayuda y fortalece en el diseño de programas y
ejecución de la auditoría.

 Identifique los controles de su cliente

Es probable que una primera impresión de un cliente sugiera que no tiene controles o son
insuficientes. Pero un control es cualquier política o procedimiento establecido por una
entidad para prevenir, detectar y corregir una declaración errónea. Por lo tanto, basta con
que el propietario de un negocio al examinar los resultados comunique la importancia de
la calidad, para comprobar que su negocio tiene controles.
Se deben identificar los controles del cliente antes de evaluarlos, el enfoque del Comité de
Organizaciones Patrocinadoras de Treadway en el Marco de Gestión de Riesgos
Empresarial COSO ERM 2017 puede ayudarle al auditor en este sentido.

 Evalúe el diseño y la implementación de los controles del cliente

En cada auditoría, una vez identificados los controles del cliente se debe:

 Evaluar el diseño de los controles relevantes para la auditoría.

 Determinar si se han implementado estos controles
Hasta aquí no hemos probado lo más importante: la efectividad de los controles. Para esto
debemos realizar las pruebas de cumplimiento requeridas, pero como estamos hablando
de la evaluación del riesgo en auditoría, sigamos adelante.
El modelo de riesgo de auditoría: el primer paso en la evaluación del riesgo

Tomado de:https://blog.aicpa.org/

El modelo de riesgo de auditoría Riesgo de Auditoría= RMM x Riesgo de Detección es

fundamental para cualquier auditoría.
El primer paso debe ser firme y seguro, así que por favor partamos de recordar que
el RMM  (Riesgo de Incorrección Material) corresponde a la combinación del Riesgo
Inherente x Riesgo de Control.
Este Riesgo de Incorrección Material (RMM) no lo maneja ni lo controla el auditor,
entonces su responsabilidad es:  identificarlo y valorarlo adecuadamente. ¿Cómo lo hace? 
Identificando y valorando sus dos componentes: El Riesgo Inherente y el Riesgo
de Control para establecer y medir el RMM que marcará el rumbo de la auditoría.
Riesgo Inherente
Entienda, conozca a su cliente y su entorno

 La Naturaleza del cliente:  Conozca el negocio, cómo opera el cliente, sus

actividades financieras e inversión y sus informes financieros.
 Factores externos: Arriba mencionábamos de conocer la industria (el sector al que
pertenece el cliente) ¿qué tan competitivo es su cliente en la industria? Medidas
regulatorias en material ambiental y políticas gubernamentales ¿cómo afectan a su
cliente? ¿cuál es el grado de susceptibilidad de su cliente a factores externos?,
¿cómo afectan a su cliente esos factores externos? Responda a esas preguntas.
  Estrategias de la Organización: Cómo maneja su cliente esos factores externos
 Comportamiento Financiero:  El comportamiento de los indicadores financieros,
estadísticas, presupuestos, análisis de variaciones, análisis de la competencia,
políticas de incentivos y beneficios a los empleados.

Para cada una de estas áreas asegúrese de documentar los pasos que le tomaron conocer
con suficiencia a su cliente y su negocio, así como cualquier cambio en relación con años
anteriores que sean significantes en la identificación de los riesgos.
Riesgo de Control
Comprenda el sistema de control interno de su cliente
El siguiente paso en la aplicación del modelo de riesgo de auditoría es entender el control
interno de su cliente. Conocer cuáles son los controles que tiene establecido, si fueron
diseñados apropiadamente para cumplir con sus objetivos, si han sido implementados.
En especial asegúrese de considerar lo siguiente:

 Manejo del entorno: ¿Cuáles es la actitud de la administración frente al control

interno? ¿Qué tanto énfasis pone la gerencia en pro de entregar una información
financiera confiable? El olfato agudo del auditor ayuda a saber el verdadero
compromiso de la administración.
 Control de actividades: Para todos los tipos de transacciones que tengan
importancia relativa, cuentas de balance, revelaciones, identificar las
aseveraciones con mayor valor crítico, cómo funciona el sistema de control
interno, si los controles son efectivos o no y si están implementados de forma
apropiada.
 Evaluación de los riesgos del cliente, información comunicación y
monitoreo: puede que las empresas más pequeñas no tengan documentado los
controles o procedimientos en estas áreas, de todas maneras tienen algunos
controles. Por ejemplo: si el propietario revisa sus resultados financieros
mensualmente ya indica algún tipo de control.

Se recalca una vez más, documentar todo lo relacionado con el entendimiento del control
interno del cliente incluyendo lo relacionado con el manejo del entorno. Documente  los
pasos que se tomaron para entender el control, así cualquier cambio sobre el periodo
anterior y todos los riesgos identificados.
Use el RMM para direccionar el riesgo de detección
Basado en la evaluación del RMM, se determinará la naturaleza, oportunidad y extensión
de los procedimientos de auditoría. Por ejemplo, si usted determina que tanto el riesgo
inherente como el riesgo de control de su cliente son bajos al nivel de las aseveraciones
(assertion level) podría decir que su riesgo de detección igualmente es bajo. Por esta razón
podría aplicar en forma menos rigurosa pruebas sustantivas (por ejemplo: revisiones
analíticas en lugar de pruebas de detalle). Y al contrario, si los riesgos inherentes y de
control de su cliente son moderados o altos, se debe extender con mayor rigor la
extensión de las pruebas sustantivas, con el fin de obtener una evidencia suficiente y
persuasiva frente a la afirmación como parte de la auditoría.
La clave del uso del  RMM para determinar el riesgo de detección es recordar que la
naturaleza, oportunidad y alcance de los procedimientos de auditoría adicionales deben
ser planeados en respuesta al RMM identificado.
A mayor RMM mayor riesgo de detección y mayores pruebas sustantivas.
El modelo aquí presentado es la base para cualquier auditoría.