El error frecuente antes que la doctrina

Lo que ocurre en planificación

En la práctica, lo que ocurre es esto. Entra el encargo, el socio mira las horas vendidas, el gerente abre el expediente del año anterior, copia la evaluación de riesgo, cambia las cifras y marca la casilla. Fue un trámite. La reunión de equipo sobre factores de riesgo dura veinte minutos. Nadie discute si los riesgos del ejercicio anterior siguen siendo los mismos. Nadie pregunta si hay un riesgo nuevo que no estaba el año pasado.

Eso no es evaluación de riesgo. Es documentación de riesgo.

Lo que exige la norma

La NIA-ES 200, párrafo 13, define el riesgo de auditoría (RA) como el riesgo de que el auditor exprese una opinión inadecuada cuando los estados financieros contienen incorrecciones materiales. El párrafo A34 lo descompone en tres: riesgo inherente (RI), riesgo de control (RC) y riesgo de detección (RD). La ecuación RA = RI x RC x RD es aritmética, no filosofía. Si RI y RC son altos, RD tiene que ser bajo, y eso se traduce en más trabajo sustantivo.

La NIA-ES 315 Revisada, párrafo 26, exige identificar y evaluar los riesgos de incorrección material a nivel de estados financieros y a nivel de aseveración, y hacerlo sobre la base del conocimiento de la entidad y su entorno, incluido el control interno. El párrafo R.26 no dice "reutilice la evaluación del año anterior ajustando importes". Dice que la evaluación debe partir del conocimiento actualizado.

La zona gris

Hasta aquí la norma. La zona gris empieza cuando el equipo ha cerrado la planificación en septiembre, está ejecutando en noviembre, y el cliente anuncia una adquisición relevante que no estaba prevista. ¿Se reevalúa formalmente el riesgo con un memorándum nuevo? ¿Basta con una nota breve en el PT de planificación? La NIA-ES 315 R.37 obliga a revisar la evaluación cuando cambian las circunstancias. Pero "revisar" admite lecturas muy distintas según el socio.

Los tres componentes, vistos desde el expediente real

Riesgo inherente: lo que la NIA-ES 315 R.A130 quiere que usted mire

Por lo que conozco, el error más habitual es evaluar riesgo inherente como si fuera un atributo fijo del área contable. Ingresos = alto. Inventario = medio. Tesorería = bajo. Así no funciona. La NIA-ES 315 R.A130 enumera factores: complejidad, subjetividad, cambio, incertidumbre de estimación, susceptibilidad al sesgo de la dirección o al fraude. El riesgo inherente vive en la intersección entre la aseveración y esos factores, no en la cuenta contable.

En los encargos que he llevado de constructoras, el reconocimiento de ingresos por método de avance cambia su perfil de riesgo de un año para otro según quién estime los costes totales. Si el jefe de obra rota, el riesgo inherente sobre la aseveración de valoración sube, aunque la cuenta sea la misma y los importes parecidos.

Riesgo de control: el punto donde el presupuesto aprieta más

La NIA-ES 315 R.26 y su párrafo A108 son claros: si el auditor no tiene intención de confiar en controles, evalúa RC al máximo. Punto. Eso significa enfoque 100% sustantivo para esa aseveración. Vaya por delante que esto choca frontalmente con la presión de horas. Probar eficacia operativa de un control exige pruebas de recorrido más pruebas de cumplimiento en una muestra representativa. Eso son horas que el presupuesto no siempre tiene.

Resultado. El equipo marca RC como "medio" con la esperanza de reducir el sustantivo, pero sin hacer las pruebas de eficacia que la norma exige para respaldar ese "medio". Los papeles están flojos. Cuando llega el revisor de calidad del ICAC, pregunta por la evidencia de eficacia operativa, y no aparece. Esa es una de las incidencias recurrentes en los informes BOICAC (Boletín Oficial del Instituto de Contabilidad y Auditoría de Cuentas) de control de calidad.

Riesgo de detección: el único que usted controla

RD es el residuo. Una vez fijados RI y RC, RD es lo que queda para llegar al RA objetivo del 5%. Aritméticamente, si RI = 80% y RC = 60%, el RD aceptable es 5% ÷ (0,80 x 0,60) = 10,4%. Eso dicta tamaño de muestra, precisión de procedimientos analíticos sustantivos, y selección de elementos individualmente significativos.

Opinión, con la razón pegada. Creo que el orden correcto es riesgo primero, materialidad después, porque la materialidad de ejecución debería ser una función del riesgo evaluado, no una cifra del software comercial que se calcula el día uno de planificación. Y creo que ese orden no se respeta en la mayoría de las firmas medianas porque el software pide la materialidad como input antes de que el equipo haya evaluado nada, y una vez introducida, nadie la toca.

Ejemplo trabajado: Constructora Mediterránea S.L.

Cliente: Constructora Mediterránea S.L., Valencia. Ingresos 15,2 millones de euros. Construcción residencial y comercial. Área: reconocimiento de ingresos por contratos de construcción.

Riesgo inherente evaluado en planificación

El reconocimiento de ingresos por método de avance presenta alta complejidad por la estimación del porcentaje de terminación, los costes totales estimados del proyecto, y las variaciones y reclamaciones pendientes.

Documentación PT NT 2.3.1: "RI evaluado como ALTO por juicio significativo en estimaciones de costes y medición del avance. Cambio de jefe de obra en enero del ejercicio en curso. Presión sobre márgenes comunicada por dirección en entrevistas de planificación NT 1.2."

Riesgo de control evaluado

Controles identificados: revisión mensual de informes de avance por jefe de obra, aprobación de estimaciones de costes por director técnico, conciliación entre informes de avance y facturación.

Documentación PT NT 3.1: "Diseño adecuado, aplicación inconsistente. Dos meses sin evidencia de revisión del director técnico. RC evaluado MEDIO-ALTO (60%). Pruebas de recorrido realizadas, pruebas de eficacia operativa no realizadas; no se planea confiar en controles por debajo de ese nivel."

Riesgo de detección derivado

Con RA objetivo 5%, RI 80% y RC 60%, el RD máximo aceptable es 10,4%. Programa sustantivo: muestra de detalle sobre el 85% de contratos por valor, confirmación con arquitectos externos, recálculo independiente del porcentaje de terminación.

La complicación que obliga a reevaluar

Aquí es donde el encargo real se separa del libro de texto. En febrero, con el trabajo de campo avanzado, el cliente firma una adenda relevante sobre un contrato que representa el 22% del ingreso del ejercicio, con penalización retroactiva por retraso. El porcentaje de terminación estimado en planificación ya no es válido. El perfil de riesgo sobre la aseveración de valoración cambia. El RI sube. El programa diseñado en planificación deja de ser proporcionado.

¿Qué hace usted? Si sigue la NIA-ES 315 R.37 al pie de la letra, reevalúa formalmente y redocumenta. Si el presupuesto ya se gastó, la tentación es añadir un procedimiento adicional y una nota a pie del PT original.

Desacuerdo legítimo: cuánta redocumentación exige una reevaluación

Dos socios razonables con los que he trabajado no se ponen de acuerdo aquí.

Postura A. La socia defiende un memorándum de reevaluación independiente, con fecha, firma y cruce a los nuevos procedimientos. Su razón: cuando el revisor del ICAC abra el PT dentro de dos años, la trazabilidad del cambio debe saltar a la vista sin reconstrucción forense. Un pie de página en el PT original no es trazable. Un memorándum fechado sí.

Postura B. El socio defiende una adenda breve al PT de planificación original, con referencia cruzada al nuevo procedimiento y a la adenda contractual del cliente. Su razón: el memorándum independiente consume dos horas de gerente que el encargo no tiene, y la adenda al PT cumple igualmente con la NIA-ES 230 sobre documentación.

Los dos tienen base razonable en la norma. La diferencia está en cuánta protección ante un revisor adverso vale la pena comprar con horas. Mi posición, con la razón pegada. Prefiero el memorándum independiente porque en los encargos que he llevado, las inspecciones del ICAC miran especialmente los cambios a mitad de trabajo y la adenda breve se pierde en un expediente de 400 papeles.

El segundo orden que nadie discute

El modelo de riesgo depende de que la materialidad sea un output del análisis de riesgo. Pero los softwares comerciales de auditoría la tratan como input, calculada sobre el activo total o los ingresos antes de que el equipo haya evaluado nada. Eso invierte el orden de toda la NIA-ES 200. Si la materialidad se fija primero, el RD tolerable se fija primero, y la "evaluación de riesgo" posterior se convierte en un ejercicio de justificación, no de análisis.

Consecuencia práctica. Entre lo que dice la NIA-ES 200 y lo que hace el software hay un mundo. Y mientras el equipo no cuestione el valor por defecto del software, la evaluación de riesgo seguirá siendo decorativa.

Lo que mira el revisor cuando abre el expediente

1. ¿La evaluación de riesgo está fechada antes de la fijación de la materialidad de ejecución? Si no, marca roja. 2. ¿Hay evidencia de eficacia operativa para cada control en el que se dice confiar? Si el PT dice RC "medio" y no hay pruebas de cumplimiento, el revisor pide explicación por escrito. 3. ¿Los riesgos identificados tienen un procedimiento sustantivo específico cruzado, o el programa es el mismo del año pasado? 4. ¿Hubo cambio significativo en el cliente durante el ejercicio y la reevaluación está documentada como tal? 5. ¿Las aseveraciones evaluadas están ligadas a factores de la NIA-ES 315 R.A130, o la evaluación es genérica por cuenta?

Errores que las revisiones del ICAC y de la Comisión Nacional del Mercado de Valores (CNMV) siguen encontrando

No es que la profesión no conozca estos errores. Es que, por lo que conozco, se repiten porque el incentivo económico empuja en la dirección contraria.

- Evaluar riesgo de control como bajo sin pruebas de eficacia operativa. La comprensión del diseño no basta; la NIA-ES 330 exige pruebas específicas. - Usar evaluaciones genéricas por cuenta en lugar de por aseveración. El riesgo sobre existencia de inventario y sobre valoración de inventario rara vez coincide. - No redocumentar cuando el negocio del cliente cambia a mitad de ejercicio. - Tratar el revisor de control de calidad del encargo (EQR, revisor de calidad del encargo bajo la Ley 22/2015 de Auditoría de Cuentas, LAC) como un trámite final y no como una revisión sustantiva en puntos.

Contenido relacionado

- Glosario: Riesgo inherente - Definición completa y factores de evaluación según NIA-ES 315 - Calculadora de materialidad de ciferi - Herramienta integrada que considera niveles de riesgo en el cálculo de materialidad de ejecución - Guía: Documentación de la evaluación de riesgos bajo NIA-ES 315 - Procedimientos paso a paso para documentar evaluaciones de riesgo que pasen revisiones de calidad

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.