1. Evaluación preliminar del riesgo de control

En primer lugar el auditor debe identificar los riesgos que se busca mitigar y evaluar el diseño del control. Posteriormente, el auditor deberá identificar qué controles han sido implementados para disminuir esos riesgos.

La evaluación preliminar del riesgo de control es el proceso de evaluar la efectividad de los sistemas de contabilidad y de control interno de una entidad para prevenir o detectar y corregir representaciones erróneas de importancia relativa. Es importante tener presente que en toda empresa siempre habrá algún riesgo de control.

También, el auditor deberá determinar si los controles se han implementado; esto se hace mediante entrevistas con personal de la empresa y mediante la realización de procedimientos adicionales.
Después de obtener una comprensión de los sistemas de contabilidad y de control interno, el auditor debe hacer una evaluación preliminar del riesgo de control de cada aseveración y de cada saldo de cuenta o clase de transacciones, de importancia relativa.

La evaluación preliminar del riesgo de control para una aseveración del estado financiero debería ser alta a menos que el auditor pueda identificar controles internos relevantes a la aseveración que sea probable que prevengan, o detecten y corrijan una representación errónea de importancia relativa.

2. Documentación de la comprensión y de la evaluación del riesgo de control

El auditor debe documentar en los papeles de trabajo de la auditoría tanto la comprensión obtenida de los sistemas de contabilidad y de control interno de la entidad, como la evaluación del riesgo de control.
Según la NIA 315.32 el auditor debe incluir en la documentación de auditoría:

1. Los resultados de la discusión entre el equipo del encargo, así como las decisiones significativas que se tomaron.
2. Los elementos clave del conocimiento obtenido en relación con cada uno de los aspectos de la empresa y de su entorno; así como de cada uno de los componentes del control interno, las fuentes de información de las que proviene dicho conocimiento, y los procedimientos de valoración del riesgo aplicados.
3. Los riesgos de incorrección material, identificados y valorados, en los estados financieros y en las afirmaciones.
4. Los riesgos identificados, así como los controles relacionados con ellos, sobre los que el auditor ha obtenido conocimiento.

3. Pruebas de control

El auditor debe obtener evidencia de auditoría por medio de pruebas de control para soportar cualquier evaluación del riesgo de control que sea menos que alto. Mientras más baja la evaluación del riesgo de control, más soporte debería obtener el auditor de que los sistemas de contabilidad y de control interno están adecuadamente diseñados y operando en forma efectiva.

Basado en los resultados de las pruebas de control, el auditor debe determinar si los controles internos están diseñados y operando según se contempló en la evaluación preliminar de riesgo de control. La evaluación de desviaciones puede dar como resultado que el auditor concluya que el nivel evaluado de riesgo de control necesita ser revisado. En tales casos el auditor modificaría la naturaleza, oportunidad y alcance de los procedimientos sustantivos planeados.

4. Evidencia

De acuerdo a las Normas Internacionales de Auditoría: “Debe obtenerse suficiente evidencia mediante la inspección, observación, indagación y confirmación para proveer una base razonable que permita la expresión de una opinión sobre los estados financieros auditados”.

Para respaldar la evaluación del componente de riesgo de control del modelo de riesgo de auditoría, los auditores deben obtener un conocimiento del control interno y recopilar la evidencia relacionada para respaldar esa evaluación.

Referencias:
American Institute of Certified Public Accountants.
IFAC Norma Internacional de auditoría NIA 315.

Equipo Auditool