El propósito de esta Norma Internacional de Auditoría (NIAS) N° 300 a 330 y 402 a 456, es establecer normas y proporcionar lineamientos para obtener una comprensión de los sistemas de contabilidad y de control interno sobre el riesgo de auditoría y sus componentes: riesgo inherente, riesgo de control y riesgo de detección.
El riesgo global de Auditoría es el conjunto de:
- Aspectos Aplicables exclusivamente al negocio o actividad del ente (Riesgo Inherente)
- Aspectos atribuibles a los sistemas de control, incluyendo auditoria interna (Riesgo de control)
- Aspectos originados en la naturaleza, alcance y oportunidad de los procedimientos de auditoría de un trabajo en particular (Riesgo de detección)
Nos detenemos a continuación en cada uno de estos factores.
Riesgo inherente: Es la susceptibilidad de los estados financieros a la existencia de errores o irregularidades significativos, antes de considerar la efectividad de los sistemas de control.
Por ejemplo, en una empresa de alta tecnología el riesgo inherente de la afirmación “realización de los inventarios de existencia”, será mayor que el nivel de riesgo que se determine en la revisión de una auditoría para una empresa productora de bienes con tecnología estándar. Esto es así por el riesgo implícito de obsolescencia que es relevante para este tipos de industrias.
El riesgo inherente esta totalmente fuera de control por parte del auditor. Difícilmente se puedan tomar acciones que tiendan a eliminarlo, porque es propia de la operatoria del ente.
Riesgo de control: Es el riesgo de que los sistemas de control estén incapacitados para detectar o evitar errores o irregularidades significativos en forma oportuna.
Por ejemplo, dentro del componente de Ingresos por ventas y Cuentas a cobrar, distinto será el nivel de riesgo de control de una empresa con un complejo sistema de verificación de créditos a los clientes antes de continuar las operaciones de venta que el de otra que no realiza estos controles y, por lo tanto, está mas expuesta a que sus cuentas a cobrar puedan ser consideradas incobrables.
Este tipo de riesgo también esta fuera del control de los auditores. Aunque la existencia de bajos niveles de riesgo de control, lo que implica la existencia de buenos procedimientos en los sistemas de información, contabilidad y control puede ayudar a mitigar el nivel de riesgo inherente evaluado en una etapa anterior.
Riesgo de detención: Es el riesgo de que los procedimientos de auditoría seleccionados no detecten errores o irregularidades existentes en los estados contables.
Por ejemplo, errores en la definición de una muestra en la circularización de saldos de proveedores, o en la definición del período de análisis de pagos posteriores pueden implicar conclusiones erróneas en cuanto a la validez de la integridad de las cuentas a pagar.
El riesgo de detección es controlable por la labor del auditor y dependen exclusivamente de la forma en que se diseñen y lleven a cabo los procedimientos de auditoría.
El riesgo de detección es la última y única posibilidad de mitigar altos niveles de riesgos inherentes y de control.
Establecidas las diferencias, veremos como impactan los mismos en la evaluación y planificación del proceso de auditoria
EVALUACIÓN DEL RIESGO DE AUDITORÍA
El nivel de riesgo de auditoría suele medirse en cuatro grados posibles:
- Mínimo
- Bajo
- Medio
- Alto
La tarea de evaluación está presente en dos momentos de la planificación de auditoría:
Planificación estratégica: En esta etapa se evalúa el riesgo global de auditoría relacionado con el conjunto de los estados contables y además, se evalúa el riesgo inherente y de control de cada componente en particular
Planificación detallada: En esta etapa se evalúa el riesgo inherente y de control específico para cada afirmación en particular; dentro de cada componente