Autor: Yeiniel Alfonso Martínez y Alfredo Cárdenas Cabrera.
Las organizaciones deben identificar y gestionar los riesgos para lograr efectividad en el cumplimiento de sus objetivos y metas previstas. Por ende, los auditores no pueden estar ajenos a esta situación y deben evaluar como la entidad gestiona los riesgos. Estos resultados obtenidos le sirven al auditor como insumos en la etapa de Planeamiento que unidas a la Ejecución y al Informe, todo lo cual engarza el proceso sistemático conocido como auditoría.
La NCA 400 (1) en la Planeación se define los riesgos y se determina los procedimientos de auditoría que correspondan aplicar, cómo y cuándo se ejecutarán, para cumplir la actividad de forma eficiente y efectiva. Es un proceso continuo e interactivo, comienza desde el estudio previo realizado a la entidad y continúa hasta la terminación del trabajo de auditoría.
Al analizar el contenido de la etapa de Planeación (Ocupa aproximadamente un 25 a un 30 por ciento de la acción de control) resulta sumamente importante pues es donde se recopila una serie de información necesaria para definir las acciones a seguir en la etapa de Ejecución.
El auditor a fin de presentar un dictamen o informe lo más cercano a la realidad debe hacer una evaluación de los riesgos o situaciones que afectarían su opinión, los cuales pueden provenir del riesgo o la comisión de errores del ciclo, tema o transacción por sí misma (riesgo inherente), otros tienen como base la ausencia, inaplicabilidad o ineficacia de los controles internos (riesgo de control) y por último, los riesgos asociados directamente con los procedimientos diseñados por el auditor (riesgo de detección).
La determinación de los Riesgos de Auditoría es una herramienta importante para el trabajo del auditor y la calidad del servicio, es la estimación del riesgo ante el trabajo ordenado, es el riesgo de que el auditor exprese una conclusión inapropiada, por cuanto implica el diagnóstico de los mismos, para velar por su posible manifestación o no.
El auditor planea y realiza el trabajo entonces de manera tal que reduzca a un nivel aceptable o razonable el riesgo de expresar una conclusión u opinión inapropiada sobre la revisión de los objetivos de la auditoría.
En este trabajo se describe una Metodología para la Determinación del Riesgo de Auditoría en la fase de Planeación obteniendo los riesgos de control, inherente y detección de cada proceso o tema de una Auditoría mediante una fórmula matemática existente RA = RI x RC x RD.
Concepto de Auditoría
La auditoría es un proceso sistemático para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados, cuyo fin consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como establecer si dichos informes se han elaborado observando los principios establecidos para el caso.
El Control Interno y la Auditoría
La Resolución 60/11 en su artículo 3 define al control interno: “El control interno es el proceso integrado a las operaciones con un enfoque de mejoramiento continuo, extendido a todas las actividades inherentes a la gestión, efectuado por la dirección y el resto del personal; se implementa mediante un sistema integrado de normas y procedimientos, que contribuyen a prever y limitar los riesgos internos y externos, proporciona una seguridad razonable al logro de los objetivos institucionales y una adecuada rendición de cuentas” (1).
Concepto de Riesgo de Auditoría
Riesgo de Auditoría o Riesgo Final es la posibilidad de que el auditor dé una opinión de auditoría inapropiada cuando las informaciones están elaboradas en forma errónea de una manera importante. El riesgo de auditoría, también conocido como Riesgo Final, tiene tres partes: riesgo inherente, riesgo de control y riesgo de detección.
“El riesgo de auditoría es la posibilidad de que un auditor establezca que las cifras de los estados financieros presentan razonablemente la posición financiera, los resultados de operación y los flujos de efectivo de una entidad por un período determinado, cuando en realidad dichos estados financieros no están preparados ni presentados de forma razonable; o por el contrario, que el auditor dictamine que las cifras de los estados financieros de una entidad no presentan razonablemente su situación financiera, sus resultados de operación y sus flujos de efectivo cuando en realidad dichos estados financieros si están adecuadamente preparados y presentados.” (2)
Conceptos de Riesgo Inherente, de Control y Detección.
Riesgo Inherente es la susceptibilidad de que la expresión cuantitativa de las transacciones den lugar a una representación errónea que pudiera ser de importancia relativa, individualmente o cuando se agrega con representaciones erróneas en otras, asumiendo que no hubo controles internos relacionados.
“El riesgo inherente es la susceptibilidad que por naturaleza toda partida contable tiene de estar registrada, valuada, presentada o revelada en forma errónea. Las estimaciones y las provisiones son dos de las partidas que usualmente presentan mayor riesgo inherente, lo anterior en vista de que en ambos casos los montos que una entidad contabiliza se basan fundamentalmente en suposiciones, juicios, proyecciones, experiencia y cálculos aritméticos hechos por su administración de la entidad auditada, razón por la cual la evidencia de auditoría en estos casos es más persuasiva que conclusiva.” (2)
Riesgo de Control es la posibilidad de que una representación errónea pudiera ocurrir en la expresión cuantitativa de una o más transacciones que pudiera ser de importancia relativa individualmente o cuando se agrega con representaciones erróneas en otras expresiones cuantitativas o clases, no sea prevenido o detectado y corregido con oportunidad por el control interno implementado.
“El riesgo de control es la probabilidad de que los sistemas de control interno y control contable que han sido diseñados e implementados por la administración de una entidad, sean incapaces de prevenir o en su defecto detectar y corregir errores de importancia relativa en las cifras de sus estados financieros. Es así como resulta de sumo interés para el auditor independiente el evaluar lo adecuado del diseño y operación de los controles establecidos por una entidad, lo anterior a efecto de poder valorar de forma precisa los niveles de riesgo de control a que debe hacer frente durante el desarrollo de su auditoría.” (2)
Riesgo de Detección es la eventualidad de que los procedimientos sustantivos de un auditor no detecten una representación errónea que existe en un expresión cuantitativa de una o más transacciones que podría ser de importancia relativa, individualmente o cuando se agrega con representaciones erróneas en otras expresiones cuantitativas o clases.
“El riesgo de detección es responsabilidad directa del auditor independiente y consiste fundamentalmente en la posibilidad de que éste cometa errores a lo largo del desarrollo de la auditoría de los estados financieros de una entidad, los cuales lo conduzcan a emitir una opinión equivocada.” (2)
“El riesgo de detección es la posibilidad de que los procedimientos de auditoría no detecten errores o irregularidades existentes en los estados contables. Es un riesgo propio del auditor y depende exclusivamente de él. En la medida que se pretenda emitir una opinión correcta, deberán evaluarse los elementos de juicio necesarios y los procedimientos de auditoría deben detectar todos los errores o irregularidades existentes (o al menos los significativos). No cabe otra posibilidad que el riesgo de detección sea reducido al mínimo o bajos. Evaluaciones de otro tipo podrían originar situaciones de limitaciones en el alcance o, simplemente, opiniones erróneas” (3)
Modelo de Riesgo de Auditoría
Desde el punto de vista del auditor, el riesgo de auditoría es el riesgo, que el auditor está dispuesto a asumir respecto a un conjunto de informaciones que contengan errores importantes.
De existir un error importante en las informaciones, significaría que no fue detectado ni por los controles de la entidad auditada ni por los procedimientos de auditoría. Por ello se plantea matemáticamente: RA = RI X RC X RD donde RA es el Riesgo de Auditoría, RI es conocido como Riesgo Inherente, a RC se le llama Riesgo de Control y a RD lo denominamos Riesgo de Detección.
Las principales características del Modelo son:
1. Los distintos riesgos se han definido de tal manera que son independientes uno de los otros. Se puede demostrar, mediante la teoría de probabilidades que la independencia contribuye a que se multipliquen los riesgos en cada componente.
2. El Riesgo Inherente y el Riesgo de Control difieren del Riesgo de Detección en que son independientes de la auditoría; están fuera de control del auditor. En cambio, el Riesgo de Detección se relaciona con la naturaleza, alcance, oportunidad y profundidad de los procedimientos de auditoría.
3. Al establecer una estrategia tentativa para la auditoría, el auditor, basado en una evaluación del Riesgo Inherente y del Riesgo de Control, deberá planear suficientes procedimientos de cumplimiento para reducir el Riesgo de Detección a un nivel que, a su juicio, resulte adecuadamente bajo.
4. Es posible combinar los distintos riesgos de manera diferente y, al mismo tiempo, mantener el Riesgo de Auditoría a un mismo nivel. Ello indica que se pueden establecer diferentes estrategias de auditoría para obtener suficiente confianza respecto a cada una de las condiciones de error importante y la afirmación correspondiente.
5. El modelo está enfocado a controlar el máximo nivel aceptable de Riesgo de Auditoría. Alternativamente, el modelo se puede modificar de manera que se pueda ver el nivel mínimo aceptable de confianza general en los procedimientos sustantivos.
Metodología para la Determinación del Riesgo de Auditoría
La evaluación del nivel de riesgo es un proceso totalmente subjetivo y depende exclusivamente del criterio, capacidad y experiencia del auditor. Además, es la base para la determinación del enfoque de auditoría a aplicar y la cantidad de satisfacción de auditoría a obtener. Por lo tanto, debe ser un proceso cuidadoso y realizado por quienes posean la mayor capacidad y experiencia en un equipo de trabajo.
No obstante ser un proceso subjetivo, hay formas de tratar de estandarizar o disminuir esa subjetividad. En ese sentido, se tratan de medir dos elementos que, combinados, son herramientas a utilizar en el proceso de evaluación del nivel de riesgo. Esos elementos son:
• La significatividad o importancia de un proceso (saldos y transacciones).
• La probabilidad de ocurrencia de errores o fraudes básicamente obtenida del conocimiento y la experiencia anterior de ese ente.
Sistema de Calificación de Riesgo
El intervalo del sistema de calificación de riesgo de un proceso de auditoría es de Alto, Medio y Bajo.
• 0< Nivel Bajo <= 0.5
• 0.5< Nivel Medio <= 0.75
• 0. 75 < Nivel Alto < 1
El intervalo de calificación se estableció que comenzara con el valor 1 (Riesgo Bajo) y no con cero porque analizando la fórmula RA = RI X RC X RD los símbolos matemático son multiplicación y división. Si alguna de estas variables o riesgos adquiere el valor de cero, no sería necesario calcular ni determinar el resto de los riesgos porque obtienen el valor cero, dando a entender que no existen riesgos. No con esto se está estableciendo que sea de uso obligatorio comenzar con el valor 1 sino que es conveniente que los valores sean mayores de cero y menores de uno, dejando a consideración de los especialistas que ejercen esta práctica según su experiencia y criterio.
Pasos para determinar el Riesgo de Detección de los procesos de Auditoría:
Paso 1: Determinar los riesgos inherentes de un proceso y asignarle una importancia y probabilidad de ocurrencia. Se calcula el Riesgo Inherente mediante la fórmula RI = (IMP [Importancia] + PB [Probabilidad]) / 2
RIESGO | Importancia | Probabilidad |
Que no se adjunte el Certificado de Calidad. | 4 | 3 |
Medicamentos diferentes a los solicitados | 5 | 3 |
TOTAL | 9 | 6 |
Denominador | 10 | 6 |
Resultado | 0.9 | 1 |
Riesgo Inherente | ||
0.95 |
Paso 2: Determinar los riesgos de control. Los riesgos de control se evalúan y calculan de la misma forma que los riesgos inherentes.
Paso 3: Determinar los riesgos de Alcance Máximo de Auditoria de cada proceso. Se calcula multiplicando Los riesgos de control y los riesgos inherentes de cada proceso (RI x RC). Este dato me limita el alcance de los riesgos de auditoría de los procesos.
Paso 4: Calcular el Riesgo de Detección (RD).
- Plantee la fórmula de Riesgo de Auditoría donde RA = RI x RC x RD.
- Despeje RD = RA / (RI x RC). Siendo RA < (RI x RC).
El riesgo de detección me determina el nivel de alcance de la evidencia que el auditor planea acumular y el riesgo de auditoría me determinaría el valor de la materialidad a realizar por cada proceso.
Del nivel de riesgo inherente depende la cantidad de satisfacción de auditoría necesaria y del nivel de riesgo de control la calidad de la misma. Teniendo en cuenta estos parámetros generales corresponde aplicar (según la calificación del riesgo inherente y de control) pruebas sustantivas o de cumplimiento o de procedimiento analístico.
Referencias Bibliográficas
1. Resolución No. /2012 de la Contraloría General de la República, Normas Cubana de Auditoría, Tema I: Auditoría y revisión de la información. 2012.
2. Contraloría General de la República de Cuba. Resolución No. 60/11. 2011.
3. Msc. Vernor Mesén Figueroa, CPA. [En línea] http://www.iaicr.com/audinotas/auditor_independiente.pdf.
4. Romero, Luis M. [En línea] http://www.auditool.org/index.php?option=com_content&view=article&id=287:los-riesgos-en-el-proceso-de-auditoria&catid=40:blog&Itemid=55.
5. www.auditool.org. [En línea]
6. www.iaicr.com. [En línea]
7. Mancinelli, Hernán J. Mercado AUDITORÍA DE ESTADOS CONTABLES BASADA EN LA EVALUACIÓN DE RIESGOS (RISK BASED) [En Línea] http://www.google.com.cu/url?sa=t&rct=j&q=AUDITOR%C3%8DA%20DE%20ESTADOS%20CONTABLES%20BASADA%20EN%20LA%20EVALUACI%C3%93N%20DE%20RIESGOS%20(RISK%20BASED)&source=web&cd=1&cad=rja&ved=0CC8QFjAA&url=http%3A%2F%2Fwww.eco.unlpam.edu.ar%2Fobjetos%2Fmaterias%2Fcontador-publico%2F4-ano%2Fcontrol-interno-y-auditoria%2Faportes-teoricos%2FRiesgo%2520de%2520Auditoria.pdf&ei=z0DpUd6-HYnC9QSSuoDwDQ&usg=AFQjCNE8lanBb1SQegjI9X53SrxclovQ5w&bvm=bv.49478099,d.eWU
Libre de virus. www.avast.com |
No hay comentarios:
Publicar un comentario