Por: CP Alexander Camargo M. CEO de C&G Auditores y Consultores Ltda. Colaborador de Auditool

Para realizar una auditoría basada en riesgos, es necesario que el auditor tenga la capacidad de identificar los riesgos del negocio y fraude, y cuáles de ellos pueden impactar en los estados financieros. Esto, requiere del ejercicio del escepticismo profesional del equipo de auditoría, así como de auditores con la formación necesaria en Gestión de Riesgos y el involucramiento activo del Socio del Encargo.

En general los riesgos de negocio deben ser analizados por el auditor con la óptica de los posibles riegos de fraude que conllevan a “cambios constantes en el equipo directivo de la compañía que puede generar el riesgo de incorrecciones por errores (las personas que conocían el proceso son reemplazadas sin un entrenamiento o formación adecuada) o por fraude (oportunidad de sustraer recursos o manipular las cifras de los estados financieros)”

Normalmente los riesgos de fraude se pueden identificar al evaluar comportamientos inusuales de las contrapartes; o personas con la oportunidad para desarrollar fraude por debilidades en la segregación de funciones, o cuando la administración tiene la capacidad para eludir los controles internos.

Identificar los riesgos relevantes es una actividad crítica de la auditoría, si el auditor no identifica los factores de riesgo de negocio y fraude, estos, no serán valorados o documentados y no se diseñará una respuesta de auditoría adecuada.

Es por esto que los procedimientos de valoración del riesgo bien realizados para la eficacia de la auditoría son tan importantes. También es necesario que estos procedimientos los desarrollen empleados del nivel adecuado.

Una vez identificados estos riesgos se debe realizar el análisis sobre su probabilidad de ocurrir y su impacto en los estados financieros para determinar su punto en el espectro del riesgo inherente, este riesgo se define como “la susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información a una incorreción que podría ser material, ya sea individual o de forma agregada con otras incorrecciones antes de tener en cuenta los posibles controles correspondientes”

Concluido lo anterior, entraremos evaluará las respuestas de los administradores, quienes deberán diseñar un sistema de control interno capaz de gestionar los riesgos a un nivel adecuado a su apetito y tolerancia del riesgo.

El Riesgo de Control hace referencia “al riesgo de que una incorrección que pudiera existir en una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información, y que se materialice ya sea individualmente o de forma agregada con otras incorrecciones, no sea prevenida o detectada y corregida oportunamente, por el sistema de control interno de la entidad”.

Se debe tener en cuenta que el control interno no debería generar un riesgo adicional, por lo que sí el auditor decide no probar la eficacia operativa del control, el riesgo de incorrección material sería equivalente a la valoración del riesgo inherente.

El modelo del riesgo de auditoría

Este modelo de riesgo de auditoría corresponde al riesgo de que ocurra una incorreción material, fallando los procedimientos en la detección de dicha incorrección. En donde el riesgo de que ocurra una incorrección material es un hecho del ambiente y desde nuestra perspectiva de auditores se puede evaluar, pero no cambiarlo.

Entonces:

RA = RIM * RD, donde:
RA = Riesgo de Auditoría
RIM = Riesgo de Incorrección
RD = Riesgo de Detección
Sabemos que el RIM = RI * RCI donde:
RI = Riesgo Inherente
RCI = Riesgo de control interno

Ubicar el riesgo inherente en su espectro, es una labor que requerirá del juicio profesional de los miembros de mayor conocimiento del equipo de auditoría y recordemos que si el auditor no prueba la eficacia operativa del control como el RCI tiende a 1, RIM = RI * RCI, entonces RIM = RI.

Hay que tener en cuenta que algunos saldos o transacciones no pueden ser auditados con solo pruebas sustantivas, por lo que el auditor deberá evaluar la eficacia operativa del control para poder obtener evidencia válida y suficiente del saldo o transacción.

La NIA 315 (Revisada 2019) “Identificación y Valoración del Riesgo de incorreción Material”, incluye nuevos conceptos y definiciones para ayudar en la identificación de los riesgos de incorreción material, como son el espectro y los factores de riesgo inherente. Además de la necesidad de realizar una valoración separada de los riesgos de negocio y de fraude.

Otros cambios incluyen la necesidad de evaluar la integridad de los tipos de transacciones, saldos contables e información a revelar al final del proceso de valoración del riesgo y una guía mas moderna y mejorada para incluir las consideraciones del auditor en relación con la tecnología de información.

La NIA nos trae ahora 6 anexos:

Respuestas del Auditor

Una vez que el auditor concluye el proceso anterior, se deben diseñar los procedimientos sustantivos necesarios para reducir el riesgo de detección y así limitar el riesgo de auditoría a un nivel apropiadamente bajo. En este modelo la parte que puede controlar el auditor es el Riesgo de Detección (RD).

Los procedimientos que puede usar el auditor pueden proporcionar evidencia en un rango de fuerte a débil de acuerdo con las circunstancias individuales, por lo cual, el auditor debe escoger los procedimientos sustantivos de auditoría que más probablemente detectarán errores en los objetivos de auditoría con mayor riesgo de error, son menos costosos de efectuar y son más eficientes.

  1. En las revisiones de calidad que se efectúan en las firmas de auditoría, con frecuencia se observa que no se efectúa una respuesta adecuada a los riesgos que fueron identificados. Una lista no exhaustiva de las causas de este error en la calidad de las auditorías se incluye a continuación:
    El socio solo se involucró en el trabajo al final, un claro ejemplo era senior de una Big Four, el socio y el gerente, solo se involucraron en la revisión final de los papeles de trabajo y no estaban de acuerdo con el enfoque que había dado a la cuenta principal del cliente Inventarios y Costo de Ventas.
  2. Debilidades en la designación del equipo de trabajo unido a una deficiente supervisión.
  3. Cambios en la planeación, que no son documentados oportunamente: El equipo de trabajo identifica cambios o riesgos que requieren la realización de procedimientos no planeados, sin embargo, no documenta dichos eventos en el plan de trabajo)
  4. Uso de formatos prediseñados por las metodologías de las Firmas: Todos hemos diligenciado formatos año a año, sin realizar un análisis crítico de su validez y oportunidad, acá el tiempo es un tirano.

Situaciones como las indicadas en este listado, nos llevan a concluir sobre la necesidad de mantener un sistema de calidad en las firmas que premie en forma oportuna y adecuada los buenos desempeños de la calidad y establezca los planes de acción necesarios para mejorar hallazgos como los descritos que deberán incluir temas como:

 

CP Alexander Camargo M

Contador Público, CFCS “Especialista Certificado en Delitos Financieros”, Especialista en Control Interno de la Universidad Militar Nueva Granada, con Maestría en Gestión Integral del Riesgo de la Universidad Externado de Colombia (Pendiente Tesis). Con más de 25 años de experiencia en procesos de aseguramiento y consulta en empresas de diferentes sectores de la economía, adquirida en firmas internacionales de auditoría, KPMG y CROWE. Actualmente CEO de C&G Auditores y Consultores Ltda.

www.auditorescyg.com