NIA 315, emitida por la IFAC. Identificación y evaluación del riesgo de error material

Ratio:  / 16
MaloBueno 

 

Las Normas de auditoría que tratan acerca del tema de “riesgos”, les recuerdan constantemente a los auditores de estados financieros la necesidad de aplicar su juicio profesional al evaluar los riesgos y la estructura de control interno como principio básico para decidir qué procedimientos de auditoría aplicar, así como la oportunidad y alcance de los mismos.

Una de las inquietudes del auditor externo durante el proceso de una auditoría de estados financieros es identificar los riesgos de error importante o significativo, que pudieran existir en los estados financieros sujetos a examen, originados por una acción fraudulenta o debido a error. El entorno en que operan las empresas y los procesos con los que lo hacen, presentan riesgos que pueden causar distorsiones (errores) en los estados financieros sujetos a auditoría, por lo que el auditor externo tiene la tarea de, al menos, realizar las siguientes actividades: 

  • Identificar riesgos. 
  • Evaluar su susceptibilidad a distorsiones (errores) en la información financiera, incluyendo errores o fraudes.  
  • Evaluar las medidas (controles) que la empresa ha puesto a funcionar para minimizar los riesgos. 
  • Diseñar procedimientos de auditoría que pongan a prueba esas medidas, para aprovecharlas y que los demás procedimientos a aplicar, con posterioridad, se realicen a la luz de combinaciones de riesgos bajos, en los que se apoye la confianza profesional.  

Riesgo de Error Importante en los Estados Financieros (REIEF) 

Las normas de ejecución del trabajo que rigen la actuación del auditor externo requieren, en resumen, que una auditoría de estados financieros deba ser objeto de una cuidadosa planeación, ejecución y supervisión, por parte del auditor durante todo el proceso de una auditoría y que ésta, sea realizada con base en una evaluación del REIEF, considerando la estructura de control interno establecido para minimizarlos, asimismo, que se obtenga el suficiente nivel de evidencia  apropiada, mediante pruebas de cumplimiento con controles y mediante pruebas sustantivas, tanto analíticas como de verificación. 

Consideraciones sobre fraude que deben hacerse en una auditoría de estados financieros, define el concepto de “fraude” y de “error” de la siguiente manera:  

Fraude. Distorsiones provocadas en el registro de las operaciones y en la información financiera o actos intencionales para sustraer activos (robo), u ocultar obligaciones que tienen o pueden tener un impacto significativo en los estados financieros sujetos a examen. 

Error. Un error no intencional en los estados financieros incluyendo la omisión de un importe o revelación.  

Por convencionalismos internacionales que han estado vigentes durante muchos años, y para cumplir con las afirmaciones que los auditores hacen en la redacción de su opinión, el riesgo de incumplimiento con las normas de información financiera o cualquier otro marco contable de referencia, se conoce como riesgo de error importante en los estados financieros. 

Las Normas de auditoría describen las tres bases en las que descansa la opinión del auditor, las cuales están compuestas por procedimientos de auditoría que: 

  • Aporten la comprensión sobre la entidad y su entorno (incluyendo su estructura de control interno), para evaluar el riesgo de error importante a nivel de estados financieros y para diseñar la  naturaleza, oportunidad y alcance de los procedimientos de auditoría a aplicar. 
  • Reten el funcionamiento efectivo de los controles diseñados para la prevención o la detección de errores importantes a nivel de las aseveraciones relevantes de los estados financieros, mediante la aplicación de procedimientos “subsecuentes” denominados pruebas de control.
  • Detecten errores importantes, a nivel de aseveraciones relevantes de los estados financieros, mediante la aplicación de otros procedimientos “subsecuentes” denominados pruebas sustantivas, las cuales incluyen pruebas de verificación de transacciones, saldos y revelaciones, así como analíticas.  

Para lograr la identificación de riesgos o minimizar el riesgo de no detectarlos, el auditor aplica procedimientos o mecanismos de diversa índole. Un medio para lograr este proceso es el  que el auditor obtenga un adecuado y completo conocimiento y comprensión de la entidad cuyos estados financieros son sujetos a examen, del entorno en que opera y de su estructura de control interno, que le permitan obtener las bases para el diseño e implementación de las respuestas (procedimientos de auditoría) para enfrentar los riesgos identificados y evaluados. 

De acuerdo con la Norma Internacional de Auditoría, 315, Identificación y evaluación de riesgo de error importante a través del conocimiento y la comprensión de la entidad y de su entorno, norma que entró en vigor en 2010, ésta tiene como objetivo que el auditor entienda a la entidad, a su  entorno y a su estructura de control interno con objeto de evaluar el REIEF sujetos a auditoría, debido a fraude o a error y diseñar e implementar los procedimientos de auditoría adecuados, buscando también que el auditor logre:  

  • Entender el entorno de control en el que opera o se desenvuelve una entidad.  
  • Evaluar el REIEF tomado en conjunto. 
  • Identificar las aseveraciones de los estados financieros propensos a errores. 
  • Entender cualquier control implementado por la administración de una entidad y poner a prueba la operación efectiva de los controles en los que se sustentan las aseveraciones de los estados financieros. 
  • Identificar y evaluar el riesgo de error importante relacionado con cada una de las aseveraciones de los estados financieros. 

Lo anterior con el propósito de limitar el nivel de riesgo de que el auditor exprese una opinión  errónea por no haber detectado errores importantes en los estados financieros y de desarrollar un enfoque de auditoría apropiado y eficiente que contemple una adecuada combinación de procedimientos de control y sustantivos. A mayor riesgo, más procedimientos sustantivos; a menor riesgo, más procedimientos de control. 

Esta norma tiene una estrecha relación con otras de auditoría, en especial, con las referentes a Consideraciones sobre fraude que deben hacerse en una auditoría de estados financieros, Evidencia de auditoría, La respuesta del auditor a los riesgos determinados e Importancia relativa en la planeación de la auditoría. 

Requisitos de la norma

De acuerdo con dicha norma, el auditor externo debe observar (cumplir) los requisitos establecidos en ella, los cuales, brevemente, se comentan a continuación: 

Proceso de evaluación de riesgos 

La norma requiere que el auditor externo aplique procedimientos de auditoría diseñados para identificar y evaluar la existencia de errores importantes o significativos a nivel de estados financieros y a nivel de las aseveraciones presentadas en dichos estados, haciendo la aclaración de que el hecho de que el auditor externo haya cumplido con este proceso no representa que haya obtenido suficiente y apropiada evidencia de auditoría para sustentar su opinión profesional. Al respecto, debe tenerse en cuenta que los procedimientos diseñados para efectos de la evaluación de riesgos, pueden o deben considerar, entre otras, las siguientes acciones o procedimientos: 

ü  Desde el proceso de evaluación del prospecto de un cliente o de continuar con uno existente, el auditor externo debe estar alerta para “pescar” (detectar) situaciones o hechos que pudieran ser indicativos de la existencia del REIEF, mediante: 

  • Cuestionamientos a la administración y a cierto personal seleccionado de la entidad, para obtener información que ayude al auditor o para identificar riesgos de error importante debido a fraude o a error. 
  •  Aplicación de procedimientos de revisión analítica general y de observación e inspección. 

ü  Cuando el auditor externo ha realizado trabajos o tenido experiencias anteriores, respecto a un prospecto de cliente, con uno de primera vez o con uno recurrente, debe evaluar lo apropiado de considerar los resultados obtenidos de esas experiencias previas, con objeto de contar con elementos que le apoyen en su proceso de detección y evaluación del REIEF. 

ü  Una actividad dentro del proceso de una auditoría que puede dar resultados satisfactorios en el proceso de determinación y evaluación de riesgos es el que los ejecutivos clave de una auditoría (socio a cargo, gerente y supervisor, en ciertos casos el ejecutivo revisor independiente o el socio concurrente) celebren reuniones de trabajo, cuyo objetivo  primordial sea discutir sobre la susceptibilidad de los estados financieros a incluir errores importantes. 

El entendimiento de la entidad, de su entorno y estructura de control interno 

La entidad y su entorno. Esta actividad se considera prioritaria, pues sirve de insumo para el resto del proceso del trabajo y pide al auditor que logre un adecuado entendimiento de, entre otros, los siguientes asuntos: 

  • Los factores importantes de la industria en que opera la entidad, de los organismos reguladores a que está sujeta y de otros factores externos, incluyendo el marco de las NIIF aplicable, que le afectan.   
  • La naturaleza de la entidad que incluye: sus operaciones, su esquema accionario y estructuras de gobierno corporativo, los tipos de inversiones que está realizando y que tiene previsto hacer, la estructura de la entidad y cómo está financiada.  
  • Las políticas contables seleccionadas y aplicadas. El auditor evaluará si las políticas contables observadas son adecuadas para el tipo de negocio al que se aplican y si son consistentes con el marco conceptual de las NIIF aplicable y con las políticas contables relevantes utilizadas en la industria a la que pertenece la entidad. 
  • Los objetivos y estrategias de la entidad y los riesgos de negocio relacionados que pueden resultar en riesgo de error importante. La evaluación (medición y revisión) del desempeño financiero de la entidad.  

Todo lo anterior permitirá al auditor entender los tipos de transacciones, las cuentas de balance y las revelaciones que espera que contengan los estados financieros sujetos a examen. 

Estructura de control interno 

Entendimiento. El auditor entenderá los aspectos de la estructura de control interno en vigor en la entidad que sean relevantes para la auditoría. Al respecto, debe considerar que aunque la mayoría de los controles son relevantes para una auditoría, es probable que estén relacionados con la información financiera, no todos los controles que se relacionan con dicha información son relevantes para una auditoría. Considerar si un control, de manera individual o en combinación con otros es relevante para la auditoría, es una cuestión de juicio profesional del auditor. 

Naturaleza y alcance del entendimiento de los controles relevantes. Cuando el auditor ha comprendido y entendido los controles que son relevantes para una auditoría, éste evaluará el diseño de esos controles y determinará y probará si han sido puestos en funcionamiento, para lo cual aplicará los procedimientos de auditoría que considere adecuados en las circunstancias que deben complementarse con preguntas hechas al personal de la entidad. 

Componentes del control interno. El auditor debe obtener un adecuado entendimiento de la estructura de control interno y de sus componentes, implantado en una entidad, como sigue:

Entorno de control. Se logrará una comprensión adecuada del ambiente de control en que opera la entidad, para lo cual evaluará si la administración, bajo la vigilancia de los encargados del gobierno corporativo, ha creado, mantenido y fomentado una cultura de honestidad y comportamiento ético; y si las fortalezas de los elementos del entorno de control, de manera conjunta, proporcionan un sustento adecuado para los otros componentes del control interno, y si éstos resultan afectados negativamente, debido a las debilidades en los elementos del entornode control.  

Proceso de evaluación de riesgos. Se investigará y entenderá si la entidad tiene establecido un proceso para: identificar los riesgos de negocio que son relevantes para el logro de los objetivos de la información financiera; estimar la importancia de los riesgos; evaluar la probabilidad de su ocurrencia, y decidir sobre las acciones a seguir para hacer frente a esos riesgos. Cuando una entidad ha establecido un proceso de evaluación de riesgos, el auditor obtendrá una comprensión de dicho proceso, así como de los resultados logrados. Si no tiene establecido un proceso de evaluación de riesgos o si no cuenta con un proceso adecuado, el auditor discutirá con la administración de la entidad si los riesgos de negocio, que son relevantes para los propósitos de su información financiera, han sido identificados y cómo fueron tratados. El auditor evaluarási la ausencia de un proceso de evaluación de riesgos documentado es el apropiado en las circunstancias o representa una debilidad importante en la estructura de control interno de la entidad.  

Sistemas de información, incluidos los relacionados con los procesos de negocio, relevantes para la información financiera, y de comunicación.  Se obtendrá un entendimiento del sistema de información, incluyendo los sistemas relacionados con los procesos de negocio, que son relevantes para la información financiera: los diferentes tipos o clases de transacciones generadas por las operaciones de la entidad que son significativas para la información financiera; los procedimientos, tanto los relacionados con la TI como con los sistemas manuales, mediante los cuales las transacciones son iniciadas, registradas, procesadas, corregidas, de ser necesario, transferidas al libro mayor y reportadas en los estados financieros; los registros contables relacionados, la información de soporte y las cuentas específicas que son utilizadas para iniciar, registrar, procesar y reportar las transacciones, incluyendo la corrección de información incorrecta y cómo es transferida la información al libro mayor.

Los registros pueden ser manuales y/o electrónicos; el sistema de información captura los eventos y las situaciones que son diferentes a las transacciones “normales” o “recurrentes” y que son significativos para la información financiera; el proceso de esta última utilizado para preparar estados financieros, incluyendo las estimaciones contables y las revelaciones, y los controles establecidos sobre las pólizas de diario, incluyendo las pólizas no estándar, utilizadas para registrar transacciones no recurrentes, inusuales o ajustes. Además, se obtendrá una comprensión de cómo se comunican, dentro de la entidad, las responsabilidades en el proceso de preparación de la información financiera y de cuestiones significativas relacionadas con la información financiera. 

Actividades de control relevantes para la auditoría. Se obtendrá una comprensión de las actividades de control que son relevantes para la auditoría, considerando aquéllas que el auditor juzga necesario entender, con el fin de evaluar los riesgos de error importante a nivel de aseveraciones de los estados financieros, y diseñar los procedimientos de auditoría que respondan a los riesgos evaluados. Una auditoría no requiere de un  entendimiento de todas las actividades de control relacionadas con cada tipo de transacciones, cuentas de balance y revelaciones importantes en los estados financieros o para cada aseveración relevante para ellos. Como parte del entendimiento de las actividades de control de la entidad, el auditor comprenderá cómo la entidad ha respondido a los riesgos provenientes de la TI. 

Vigilancia de controles. Se obtendrá un entendimiento de las principales actividades que la entidad tiene implementadas para efectos de vigilar la operación efectiva del control interno relativo a la preparación de la información financiera, incluyendo aquéllas relativas a las actividades de control relevantes para la auditoría, y la forma en que la entidad establece y pone en marcha medidas correctivas para su control. El auditor conocerá las fuentes de información utilizadas en las actividades de vigilancia, así como las bases sobre las que la administración considera que dicha información es confiable para sus propósitos. 

Identificación y evaluación del REIEF 

La norma requiere que el auditor identifique y evalúe los riesgos de error importante a nivel de los estados financieros y de las aseveraciones incluidas en éstos para las clases de transacciones, las cuentas de balance y las revelaciones que le proporcionen una base para el diseño y la aplicación de procedimientos de auditoría, posteriores. Para estos propósitos, el auditor deberá: Identificar, durante el proceso de entendimiento de la entidad y de su entorno, los riesgos, incluyendo los controles relevantes relacionados con los riesgos, teniendo en cuenta las clases de transacciones, las cuentas de balance y las revelaciones de los estados financieros. Evaluar los riesgos  identificados y evaluar si éstos están relacionados, de manera dominante con los estados financieros en su conjunto y si, potencialmente,  afectan a muchas aseveraciones. 

Relacionar el riesgo identificado con aquello que puede estar mal a nivel de aseveración y con los controles relevantes que el auditor tiene intención de probar. Considerar la probabilidad de error, incluyendo la posibilidad de múltiples errores, y si el error potencial es de tal magnitud podría dar lugar a errores importantes.  

Riesgos que requieren especial consideración de auditoría 

Como parte de la evaluación de riesgo, el auditor determinará cuáles de los riesgos identificados son, a su juicio, riesgos significativos. Para estos propósitos, se pide que no considere los efectos de los controles identificados, si los hay, relacionados con el riesgo calificado como significativo.Algunas consideraciones para establecer si un riesgo es significativo:  

  • Establecer si el riesgo:  a) es un riesgo debido a fraude, b) está relacionado con eventos significativos recientes, ya sean de tipo económico, contable o de otro tipo de acontecimientos que requieren una atención especial, c) implica transacciones importantes con partes (personas) relacionadas, d) involucra transacciones Significativas que están fuera del curso normal de losnegocios de la entidad, o que de otra manera parecen ser inusuales.  
  • La complejidad de las transacciones que realiza la entidad.  
  • El grado de subjetividad en la medición de la información financiera relacionada con el riesgo, en especial, aquellas mediciones que implican un amplio rango de incertidumbre de medición. 

Cuando el auditor ha determinado la existencia de un riesgo importante, obtendrá una comprensión de los controles establecidos por la entidad, incluyendo las actividades de control que sean relevantes, para tratar este riesgo.  

Riesgos para los que los procedimientos sustantivos, por sí solos, no proporcionan suficiente ni apropiada evidencia de auditoría  

En relación con algunos riesgos, el auditor puede juzgar que no es posible o práctico obtener evidencia apropiada y suficiente, mediante la aplicación de procedimientos sustantivos. Estos riesgos pueden estar relacionados con equivocaciones o con la falta de integridad en el proceso o rutina del registro contable de transacciones significativas o de saldos contables importantes, cuyas características, a menudo, permiten sólo procesos automatizados con poca o ninguna intervención manual. En estos casos, los controles de la entidad para enfrentar los riesgos son relevantes para la auditoría y el auditor deberá obtener una comprensión de ellos. 

Revisión de la evaluación del riesgo 

La evaluación que hace el auditor del riesgo de error material a nivel de aseveración, puede cambiar durante el transcurso de la auditoría conforme obtiene evidencia adicional, u obtiene nueva información y ésta es inconsistente con la evidencia sobre la que basó su evaluación.En esas situaciones, éste debe revisar la evaluación y modificar los procedimientos de auditoría. 

Debilidad importante en el control interno 

Si como resultado del trabajo de auditoría realizado se ha identificado alguna debilidad importante en el diseño, implementación o mantenimiento (funcionamiento) del control interno, el auditor la comunicará a la administración de la entidad y a los integrantes del gobierno corporativo.

Documentación 

El resultado de la aplicación de la norma se documentará conforme a los requerimientos de la norma de auditoría correspondiente, Evidencia de auditoría. 

Conclusión 

Para el Contador Público independiente, los conceptos de riesgo, evaluación, control, fraude, error, error importante, juicio profesional, entre otros, son conceptos con los cuales debe convivir siempre que realiza una auditoría de estados financieros, conforme a las Normas de AuditoríaGeneralmente Aceptadas (NAGA) en cualquier parte del mundo.

 

 

C.P.C. Roberto Gerardo Córdoba Vital

Socio de Auditoría

Mazars Auditores

Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx  

Escribir un comentario


Código de seguridad
Refescar