El riesgo de auditoría se puede definir como el riesgo de que el auditor no detecte errores o errores de cálculo intencionales al revisar los estados financieros de una empresa o de un individuo.
¿Qué es el riesgo de auditoría?
El riesgo de auditoría es el riesgo de que el auditor exprese una opinión de auditoría inapropiada cuando los estados financieros contienen errores materiales.
El riesgo de auditoría se produce cuando un auditor emite una opinión incorrecta sobre los estados financieros.
El riesgo de auditoría es el riesgo de que el auditor no detecte errores o errores de cálculo intencionales al revisar los estados financieros de la empresa.
Ejemplos de opiniones de auditoría inapropiadas incluyen los siguientes:
- Emitir un informe de auditoría sin reservas cuando una salvedad esté razonablemente justificada;
- Emitir una opinión de auditoría con salvedades cuando no sea necesaria ninguna salvedad;
- No enfatizar un asunto importante en el informe de auditoría;
- Proporcionar una opinión sobre estados financieros cuando dicha opinión no pueda emitirse razonablemente debido a una limitación significativa del alcance en la realización de la auditoría.
Componentes del riesgo de auditoría
El riesgo de auditoría puede considerarse como el producto de los diversos riesgos encontrados en la realización de la auditoría.
Para mantener el riesgo general de auditoría de los encargos por debajo de un límite aceptable, el auditor debe evaluar cada componente del nivel de riesgo de auditoría.
1. Riesgo inherente
El riesgo inherente es el riesgo de una error material en los estados financieros que surge debido a error u omisión debido a factores distintos de la falla de los controles (los factores que pueden causar una incorrección debido a la ausencia o el lapso de controles se consideran por separado en la evaluación del riesgo de control).
El riesgo inherente generalmente se considera mayor cuando está involucrado un alto grado de juicio y estimación, o cuando las transacciones de la entidad son muy complejas.
Por ejemplo, el riesgo inherente de auditar una institución financiera recién formada con un comercio importante y exposición a instrumentos derivados complejos puede ser significativamente mayor en comparación con una empresa manufacturera bien establecida que opera en un entorno competitivo relativamente estable.
2. Controlar el riesgo
El riesgo de control es el riesgo de que se produzca una incorrección material en los estados financieros debido a la ausencia o falla en el funcionamiento de los controles relevantes de la entidad.
Las organizaciones deben contar con controles internos adecuados para prevenir y detectar casos de fraude y error.
Se considera que el riesgo de control es alto cuando la entidad auditada no cuenta con controles internos adecuados para prevenir y detectar casos de fraude y error en los estados financieros.
La evaluación del riesgo de control puede ser mayor, por ejemplo, en el caso de una entidad de tamaño pequeño en la que la segregación de funciones no está bien definida, y los estados financieros son preparados por personas físicas que no cuentan con los conocimientos técnicos necesarios en contabilidad y finanzas.
Lea nuestro artículo sobre el Definición de riesgo de control y los pasos para evaluar el riesgo de control..
3. Riesgo de detección
El riesgo de detección es el riesgo de que los auditores no detecten un error material en los estados financieros. Un auditor debe aplicar procedimientos de auditoría para detectar errores materiales en los estados financieros., ya sea por fraude o error.
La mala aplicación u omisión de procedimientos de auditoría críticos puede dar lugar a una incorrección material no detectada por el auditor.
Siempre está presente algún riesgo de detección debido a las limitaciones inherentes de la auditoría, como el uso de muestreo para la selección de transacciones.
Los auditores pueden reducir el riesgo de detección aumentando el número de transacciones muestreadas para realizar pruebas detalladas. Consulte nuestro artículo sobre riesgo de detección, cómo determinar el riesgo de detección y la fórmula para el riesgo de detección.
Relaciones entre los componentes del riesgo de auditoría
Para un nivel específico de riesgo de auditoría, existe una relación inversa entre los niveles evaluados de riesgos inherentes y de control para una aseveración y el nivel de riesgo de detección que el auditor puede aceptar para esa aseveración.
Por lo tanto, cuanto más bajas sean las evaluaciones de los riesgos inherentes y de control, mayor será el nivel aceptable de riesgo de detección. Los riesgos inherentes y de control se relacionan con las circunstancias del cliente, mientras que el riesgo de detección es controlable por el auditor.
En consecuencia, el auditor controla el riesgo de auditoría ajustando el riesgo de detección de acuerdo con los niveles evaluados de riesgos inherentes y de control.
Al relacionar los componentes del riesgo de auditoría, el auditor puede expresar cada componente en términos cuantitativos, como porcentajes, o en términos no cuantitativos, como muy bajo, bajo, moderado, alto y máximo.
En cualquier caso, comprender la relación expresada en el modelo de riesgo de auditoría es esencial para determinar el nivel aceptable de riesgo de detección.
Evaluación del riesgo de auditoría
Los auditores utilizan el modelo de riesgo de auditoría para gestionar el riesgo general de un encargo de auditoría.
Los auditores proceden examinando los riesgos inherentes y de control de un trabajo de auditoría mientras se obtiene una comprensión de la entidad y su entorno.
El riesgo de detección forma el riesgo residual después de considerar los riesgos inherentes y de control del encargo de auditoría y el riesgo general de auditoría que el auditor está dispuesto a aceptar.
Cuando la evaluación del auditor del riesgo inherente y de control es alta, el riesgo de detección se fija en un nivel más bajo para mantener el riesgo de auditoría en un nivel aceptable.
Se puede lograr un menor riesgo de detección aumentando el tamaño de la muestra para las pruebas de auditoría.
Por el contrario, cuando el auditor cree que los riesgos inherentes y de control del compromiso son inferiores, se permite que el riesgo de detección se establezca en un nivel relativamente más alto.
Modelo de riesgo de auditoría para la planificación
El modelo de riesgo de auditoría expresa la relación entre los componentes del riesgo de auditoría de la siguiente manera:
AR = RI x CR x RD
Los símbolos representan riesgos de auditoría, inherentes, de control y de detección. El modelo se puede utilizar para determinar el riesgo de detección planificado para una afirmación.
Para ilustrar el uso del modelo, supongamos que el auditor ha realizado las siguientes evaluaciones de riesgo para una afirmación en particular, como la afirmación de valoración o asignación de inventarios;
IR = 50%; RC = 50%
Además, supongamos que el auditor ha especificado un AR general de 5%. El riesgo de detección se puede determinar resolviendo el modelo de DR de la siguiente manera:
DR = AR 4- (IR x CR) = 5% (50% x 50%) = 20%
En la práctica, muchos auditores no intentan cuantificar cada componente del riesgo, lo que hace imposible resolver matemáticamente el modelo de riesgo.
Sin embargo, incluso cuando no se resuelve matemáticamente, la familiaridad con el modelo deja clara la siguiente relación para mantener el riesgo de auditoría en un nivel específico. Cuanto mayores sean los niveles evaluados de riesgos inherentes y de control, menor será el nivel aceptable de riesgo de detección.
Importancia del riesgo de auditoría
El bajo riesgo de auditoría es importante ya que los auditores no pueden verificar cada transacción.
Los auditores generalmente se centran en las principales áreas de riesgo, por ejemplo, costos subestimados o ingresos exagerados, donde los errores pueden conducir a errores materiales en los estados financieros.
Además, las normas de auditoría exigen que los auditores planifiquen y realicen auditorías con escepticismo profesional, ya que siempre existe la posibilidad de que los estados financieros contengan errores materiales.
Riesgo de auditoría a nivel de estados financieros y saldos de cuentas
El auditor especifica un nivel general de riesgo de auditoría para los estados financieros tomados en su conjunto.
Generalmente, ese mismo nivel se aplica a cada saldo de cuenta y todas las afirmaciones relacionadas.
Actualmente, si un auditor utilizara diferentes niveles de riesgo de auditoría para diferentes cuentas y aseveraciones, no habría una forma generalmente aceptada de combinar los resultados para determinar el nivel general de riesgo de auditoría para los estados financieros.
Por el contrario, los niveles evaluados de riesgo inherente y de control y el nivel aceptable de riesgo de detección pueden variar para cada cuenta y aseveración.
El auditor no controla los niveles de riesgo inherente y de control e intencionalmente varía el nivel aceptable de riesgo de detección inversamente con los niveles evaluados de los otros componentes de riesgo para mantener constante el riesgo de auditoría.
Por lo tanto, las expresiones de los niveles de riesgo inherente, de control y de detección pertenecen a afirmaciones individuales a nivel de saldo de cuentas, no a los estados financieros tomados en su conjunto.
Interrelaciones entre materialidad, riesgo de auditoría y evidencia de auditoría
Hay una inversa relación entre materialidad y evidencia de auditoría y una relación inversa entre el riesgo de auditoría y la evidencia de auditoría.
La figura anterior ilustra estas relaciones y las interrelaciones entre los tres conceptos.
Por ejemplo, si mantenemos el riesgo de auditoría constante y reducir el nivel de materialidad en la figura, la evidencia de auditoría debe aumentar para completar el círculo.
De manera similar, si mantenemos constante el nivel de materialidad y reducimos la evidencia de auditoría, el riesgo de auditoría debe aumentar para completar el círculo.
O, si deseamos reducir el riesgo de auditoría, podemos hacer cualquiera de las siguientes cosas;
- aumentar el nivel de materialidad manteniendo constante la evidencia de auditoría,
- aumentar la evidencia de auditoría manteniendo constante el nivel de materialidad, o
- realizar un aumento menor en la cantidad de evidencia de auditoría y el nivel de materialidad.
Alertas de riesgo de auditoría
Las alertas de riesgo de auditoría tienen como objetivo proporcionar a los auditores una descripción general de los recientes desarrollos económicos, profesionales y regulatorios que pueden afectar las auditorías de clientes en muchas industrias.
Periódicamente, el personal de AICPA, en consulta con la Junta de Normas de Auditoría, emite alertas de riesgos de auditoría. Además de las alertas generales de riesgos de auditoría, se emiten actualizaciones que cubren desarrollos relacionados con industrias específicas.
