Fundamentos del modelo de riesgo según NIA-ES 200

Qué establece la norma


La NIA-ES 200.13 define el riesgo de auditoría como "el riesgo de que el auditor exprese una opinión de auditoría inadecuada cuando los estados financieros contienen incorrecciones materiales." Este riesgo se descompone en tres elementos bajo el párrafo A34:

Por qué existe esta estructura


El modelo de riesgo existe porque los recursos de auditoría son limitados. La NIA-ES 200.A35 reconoce que "los auditores no pueden reducir el riesgo de auditoría a cero." El modelo proporciona un marco para asignar recursos donde el riesgo es mayor, permitiendo una respuesta proporcionada a los riesgos identificados.
El concepto de relación inversa entre los componentes es necesario. Cuando el riesgo inherente o de control es alto, el riesgo de detección aceptable debe ser bajo, requiriendo más trabajo sustantivo. Cuando los controles son efectivos (riesgo de control bajo), se puede aceptar un riesgo de detección mayor.

La conexión con NIA-ES 315


La NIA-ES 315.31 exige que el auditor "identifique y evalúe los riesgos de incorrección material" tanto a nivel de estados financieros como de aseveración. Esta evaluación alimenta directamente el modelo de riesgo, ya que determina las calificaciones de riesgo inherente y de control que el auditor usará en la planificación.

  • Riesgo inherente: la susceptibilidad de una aseveración a contener incorrecciones materiales antes de considerar los controles relacionados
  • Riesgo de control: el riesgo de que una incorrección material no sea prevenida, detectada y corregida oportunamente por el control interno
  • Riesgo de detección: el riesgo de que los procedimientos del auditor no detecten una incorrección material

Aplicación práctica de cada componente

Evaluación del riesgo inherente (RI)


El riesgo inherente se evalúa considerando factores de riesgo bajo NIA-ES 315.A130. Los factores incluyen:
Complejidad de transacciones: Las transacciones complejas o inusuales presentan mayor riesgo inherente. Los instrumentos financieros derivados, las combinaciones de negocios, o los acuerdos de ingresos con múltiples elementos aumentan la susceptibilidad a errores.
Grado de subjetividad: Las estimaciones contables como provisiones por deterioro, valoración de activos no financieros, o reservas para litigios implican juicio significativo de la dirección, incrementando el riesgo inherente.
Grado de juicio: Los cambios en políticas contables, la aplicación de nuevas normas, o las decisiones sobre clasificación requieren juicio profesional y aumentan la probabilidad de error.

Evaluación del riesgo de control (RC)


La evaluación del riesgo de control bajo NIA-ES 315.26 requiere obtener conocimiento del control interno y evaluar el diseño e aplicación de los controles relevantes. Los controles efectivos reducen el riesgo de control; los controles inexistentes o inefectivos lo mantienen al máximo.
El párrafo A108 de NIA-ES 315 aclara que cuando el auditor no planifica confiar en controles, evalúa el riesgo de control al máximo. Esta decisión afecta directamente la extensión de procedimientos sustantivos requeridos.

Determinación del riesgo de detección (RD)


El riesgo de detección es el único componente que el auditor controla directamente. Una vez evaluados el riesgo inherente y de control, el auditor establece el riesgo de detección aceptable basándose en el riesgo de auditoría objetivo para el encargo.
Si RI x RC es alto, RD debe ser bajo, requiriendo:

  • Mayor tamaño de muestra en procedimientos de detalle
  • Procedimientos analíticos sustantivos más precisos
  • Pruebas dirigidas a aseveraciones de mayor riesgo

Ejemplo práctico: Constructora Mediterránea S.L.

Cliente: Constructora Mediterránea S.L., Valencia
Ingresos: 15,2 millones de euros
Sector: Construcción residencial y comercial
Área de análisis: Reconocimiento de ingresos por contratos de construcción

Evaluación del riesgo inherente


Paso 1. Identificar factores de riesgo específicos
El reconocimiento de ingresos por método de avance presenta alta complejidad debido a:
Documentación: "RI evaluado como ALTO debido a juicio significativo requerido en estimaciones de costes y medición del avance. Ref. NT 2.3.1"
Paso 2. Considerar factores cualitativos
La empresa ha tenido cambios recientes en el equipo de gestión de proyectos y presión para mejorar márgenes.
Documentación: "Factores cualitativos incrementan RI: cambio en personal principal (enero 2024) y presión por rentabilidad. Ref. entrevistas con dirección NT 1.2"

Evaluación del riesgo de control


Paso 3. Evaluar controles sobre reconocimiento de ingresos
Controles identificados:
Documentación: "Controles de diseño adecuado pero aplicación inconsistente. Dos meses sin evidencia de revisión por director técnico. RC evaluado como MEDIO-ALTO. Ref. pruebas de recorrido NT 3.1"

Determinación del riesgo de detección


Paso 4. Calcular RD aceptable
Con riesgo de auditoría objetivo del 5%:
Documentación: "RD establecido en 10% requiere enfoque sustantivo extensivo. Muestra de detalle 85% del total de contratos. Ref. programa de trabajo NT 4.1"
Paso 5. Diseñar procedimientos de respuesta
El bajo RD aceptable requiere:
Documentación: "Procedimientos diseñados para lograr RD del 10%. Combinación de pruebas de detalle (70%) y analíticos sustantivos (30%). Ref. matriz de respuesta NT 4.2"
Conclusión: El modelo de riesgo produjo un programa de auditoría que asigna recursos proporcionalmente al riesgo evaluado, con documentación clara de la lógica seguida para defensabilidad ante revisiones.

  • Estimación del porcentaje de terminación
  • Costes totales estimados del proyecto
  • Variaciones en el contrato y reclamaciones
  • Revisión mensual de informes de avance por jefe de obra
  • Aprobación de estimaciones de costes por director técnico
  • Conciliación entre informes de avance y facturación
  • RI (alto) = 80%
  • RC (medio-alto) = 60%
  • RD máximo aceptable = 5% ÷ (80% x 60%) = 10,4%
  • Examen detallado de estimaciones de costes para todos los contratos mayores a €500.000
  • Confirmación directa con arquitectos sobre avance físico
  • Recálculo independiente del porcentaje de terminación

Lista de verificación práctica

  • Evalúa factores de riesgo inherente específicos del sector y la entidad - Documenta los factores cualitativos y cuantitativos bajo NIA-ES 315.A130 que justifican tu evaluación
  • Obtén evidencia del funcionamiento de controles antes de evaluar RC como bajo - Las pruebas de recorrido no son suficientes para confiar en controles; se requieren pruebas de eficacia operativa
  • Calcula RD antes de diseñar procedimientos sustantivos - La extensión y naturaleza de las pruebas debe responder directamente al nivel de RD aceptable
  • Documenta la lógica de evaluación de riesgos con referencias cruzadas - Cada evaluación debe ser trazable a evidencia específica en el expediente
  • Revisa la evaluación cuando cambian las condiciones - NIA-ES 315.31 requiere actualizar evaluaciones si surgen nuevos riesgos durante el trabajo

Errores frecuentes en la aplicación

  • Evaluar riesgo de control como bajo sin pruebas de eficacia operativa - La comprensión del diseño e aplicación no es suficiente que los controles son efectivos
  • Usar evaluaciones genéricas de riesgo para múltiples aseveraciones - Cada aseveración puede tener diferentes niveles de riesgo inherente y de control según sus características específicas

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.