La auditoría no puede establecer con certeza que los registros y estados financieros sean confiables. Esta falta de certeza genera el concepto de riesgo de auditoría. Durante la planificación, se deben identificar los riesgos significativos de la auditoría y los procedimientos que se apliquen tratarán de reducir el riesgo a un nivel aceptable.
El riesgo de auditoría es la posibilidad de emitir una opinión limpia (sin salvedades) sobre los registros y estados financieros sustancialmente distorsionados y viceversa. Dicho riesgo es el resultado de la conjunción de:
5.1. ¿Qué es el riesgo inherente?
Es la susceptibilidad de los estados financieros a la existencia de errores o irregularidades significativos, antes de considerar la efectividad de los sistemas de control.
Entre los factores generales que determinan la existencia de un riesgo inherente, se pueden mencionar:
- La naturaleza de la actividad de la entidad, el tipo de operaciones que se realizan y el riesgo propio de esas operaciones, la naturaleza de sus productos y/o servicios y el volumen de las transacciones.
- La situación económica y financiera de la entidad.
- La organización gerencial y sus recursos humanos y materiales, la integridad de la Gerencia y la calidad de los recursos que la entidad posee.
Entre los factores específicos a cada afirmación de los estados financieros, se pueden mencionar:
- El número e importancia de ajustes y diferencias de auditoría determinados en auditorías anteriores.
- La complejidad de los cálculos.
- La experiencia y competencia del personal contable responsable del rubro, cuenta o componente.
- El juicio subjetivo necesario para la determinación de montos.
- La mezcla y tamaño de las partidas que componen el rubro, cuenta o componente.
- La antigüedad de los sistemas de procesamiento electrónico de datos.
- El grado de intervención manual requerido en capturar, procesar y resumir los datos.
5.2. ¿Qué es el riesgo de control?
Es el riesgo de que los sistemas de control estén incapacitados para detectar o evitar errores o irregularidades significativas en forma oportuna.
Los factores que determinan el riesgo de control, están directamente relacionados con los sistemas de información implementados por la entidad, la eficacia del diseño de los controles establecidos y la capacidad para llevarlos a cabo.
5.3. ¿Cuáles son los factores que determinan el riesgo de detección?
Es el riesgo de que los procedimientos de auditoría, no lleguen a descubrir errores o irregularidades significativas, en el caso de que existieran.
Los riesgos inherentes y de control están fuera del control del auditor, pero no así el riesgo de detección. Variando la naturaleza, oportunidad y alcance de los procedimientos de auditoría, podemos alterar el riesgo de detección y, en última instancia, el riesgo de auditoría.
Cuanto más alto sea el riesgo inherente y de control de acuerdo con nuestra evaluación, mayor será la satisfacción de auditoría requerida para reducir el riesgo de detección a un nivel aceptable.
Los factores que determinan el riesgo de detección están relacionados con:
- No examinar toda la evidencia disponible.
- La ineficacia de una procedimiento de auditoría aplicado.
- La aplicación inadecuada de los procedimientos de auditoría o la evaluación incorrecta de los hallazgos, incluyendo el riesgo de presunciones erróneas y conclusiones equivocadas.
- Problemas en la definición del alcance y/u oportunidad en un procedimiento de auditoría.
Lo más importante dentro de la etapa de planificación de la auditoría es detectar los factores que producen el riesgo. Dichos factores constituyen las diversas situaciones individuales que actúan en la determinación de su nivel. Si bien existen factores típicos para situaciones comunes, la identificación de ellos es una tarea individual que debe realizar el auditor al planificar su examen de auditoría.
Una vez realizada la identificación de los factores de riesgo corresponde su evaluación. Esta tarea se realiza en dos niveles:
En primer lugar, una evaluación referida a la auditoría en su conjunto, o sea, el riesgo global de que existan errores o irregularidades no detectados por los procedimientos de auditoría, y que en definitiva lleven a emitir una opinión de auditoría incorrecta.
En segundo lugar, una evaluación del riesgo de auditoría específico para cada componente de los estados financieros en particular.
La identificación de los distintos factores de riesgo, su clasificación y evaluación, permiten concentrar la labor de auditoría en las áreas de mayor riesgo. Esta situación permite economizar esfuerzos y reducir el riesgo de auditoría. Sin embargo, aún obteniendo evidencia que respalde las afirmaciones contenidas en los estados financieros, es inevitable que exista algún grado de riesgo. El trabajo del auditor interno será entonces reducirlo a un nivel tal, donde la existencia de errores o irregularidades sea lo suficiente baja como para no interferir en su opinión global.
Resulta apropiado evaluar globalmente el riesgo de auditoría en tres niveles: bajo, moderado y alto.
La evaluación del grado de riesgo es un proceso totalmente subjetivo basado en el criterio, experiencia y capacidad del auditor. No obstante, se utilizan para dicha evaluación tres herramientas importantes:
- La significatividad del componente, cuenta o rubro.
- La existencia de factores de riesgo y su importancia relativa.
- La probabilidad de ocurrencia de errores.
5.4. ¿Qué efecto tienen los riesgos en el enfoque de auditoría?
La evaluación del riesgo de auditoría va a estar directamente relacionada con la naturaleza, alcance y oportunidad de los procedimientos de auditoría a aplicar. Una vez evaluados los riesgos inherentes, de control y de detección, y conocido el riesgo de auditoría, debemos evaluar varias combinaciones de procedimientos y ver cuál es el conjunto mas eficiente que satisface los objetivos para cada una de las afirmaciones.
Del nivel determinado de riesgo inherente (alto, moderado o bajo) y de control (alto, moderado o bajo) dependen la cantidad de satisfacción de auditoría necesaria y la calidad de la misma.
Dentro del riesgo de detección, la definición de “bajo” implica que podemos aceptar sólo un riesgo mínimo al diseñar nuestras pruebas sustantivas y, por lo tanto, nuestras pruebas sustantivas deberán ser sobre la fecha de cierre del ejercicio a auditar y de un alcance extenso. En contraste, “alto” significa que podemos aceptar un riesgo mayor, con tamaños de muestras más pequeños, alcance memos extenso y modificando la oportunidad de algunos procedimientos. Dicho de otra manera de la evaluación de los niveles de riesgo, depende la cantidad y calidad de la satisfacción de auditoría necesaria.
