Cómo funciona

La NIA-ES 200.13 establece que el auditor debe planificar y ejecutar procedimientos de auditoría para reducir el riesgo de auditoría a un nivel aceptablemente bajo. Este no es un cálculo matemático preciso, sino un juicio profesional documentado sobre la probabilidad combinada de que pase algo malo sin ser detectado.
El riesgo de auditoría es el producto conceptual de tres variables que el auditor evalúa y documenta durante la planificación:
Riesgo inherente: la susceptibilidad de una aseveración a contener un error material, sin considerar controles internos. Una partida con volatilidad extrema, estimaciones complejas o historial de cambios contables tiene riesgo inherente alto. La NIA-ES 315.35 requiere que el auditor identifique y valore este riesgo a nivel de aseveración.
Riesgo de control: la posibilidad de que el sistema de control interno de la entidad no prevenga ni detecte y corrija un error material. No es sobre si existen controles, sino sobre si funcionan de forma efectiva para el objetivo de auditoría. La evaluación del riesgo de control se documenta en la matriz de riesgos y procedimientos de la planificación.
Riesgo de detección: el riesgo de que los procedimientos de auditoría no detecten un error material que existe. Esto es lo que el auditor controla directamente mediante la naturaleza, oportunidad y alcance de sus procedimientos. Si el auditor evalúa que el riesgo inherente y de control son altos, debe diseñar procedimientos más sensibles para reducir el riesgo de detección aceptablemente bajo.
La ecuación conceptual es sencilla: si el riesgo inherente es bajo y los controles internos son sólidos, el auditor puede aceptar un riesgo de detección más alto (procedimientos menos extensos). Si el riesgo inherente es alto o los controles son débiles, el auditor debe reducir el riesgo de detección mediante procedimientos más detallados, muestreo más extenso o mayor concentración en áreas de riesgo específicas.

Ejemplo práctico: Construcciones Andinas S.A.

Cliente: Empresa constructora colombiana, año fiscal 2024, ingresos 18,5 millones de pesos colombianos, reporta bajo NIIF.
Paso 1 – Evaluación del riesgo inherente:
La construcción tiene márgenes variables y múltiples proyectos en diferentes etapas. El reconocimiento de ingresos bajo NIIF 15 es complejo: requiere identificar obligaciones de desempeño separadas, estimar precios de transacción y contabilizar variaciones de precios y cambios contractuales frecuentes.
Evaluación: riesgo inherente alto para la aseveración de existencia y exactitud de ingresos. Documentación en papel de trabajo: matriz de riesgos PT.1, párrafo A, que incluye referencia a cambios en tres proyectos principales y volatilidad histórica de márgenes del 18% al 31%.
Paso 2 – Evaluación del riesgo de control:
La entidad tiene un proceso de autorización de cambios contractuales que requiere aprobación del director de proyectos y el gerente financiero. Sin embargo, el control no se prueba de forma contemporánea; los cambios se documentan en spreadsheets sin flujo de aprobación integrado. Hay un retraso típico de 10 a 15 días entre el cambio ocurrido y su registro en el sistema contable.
Evaluación: riesgo de control medio-alto para ingresos. Los controles existen pero su efectividad es limitada por la falta de automatización y el retraso en el reconocimiento. Documentación en papel de trabajo: prueba de controles PT.2, que muestra selección de cinco cambios contractuales y evaluación de si fueron autorizados antes del reconocimiento de ingresos.
Paso 3 – Determinación del riesgo de detección aceptable:
Riesgo inherente alto + riesgo de control medio-alto = riesgo de detección debe ser bajo. El auditor diseña procedimientos substantivos de detalle: selecciona una muestra de 45 ingresos reconocidos (en lugar de la muestra planeada de 25 para otras aseveraciones), obtiene el contrato original, verifica que el cambio estuviera autorizado antes del reconocimiento, y confirma la fase de finalización del proyecto al 31 de diciembre., realiza procedimientos analíticos detallados por proyecto y analiza la volatilidad de márgenes versus años anteriores.
Documentación en papel de trabajo: PT.3, procedimientos substantivos de ingresos, que incluye lista de muestreo de 45 partidas, evidencia de autorización anterior al reconocimiento, y análisis de márgenes por proyecto.
Conclusión: La evaluación del riesgo de auditoría (alto inherente + medio-alto de control = bajo de detección) justifica el alcance más extenso de los procedimientos substantivos de ingresos y es defensible frente a una inspección regulatoria. El auditor ha documentado por qué existe el riesgo, cómo se evaluó, y qué procedimientos se diseñaron en respuesta. Sin esta evaluación explícita, un inspector regulatorio vería una muestra de ingresos sin una justificación clara de su tamaño.

Qué captan los revisores y reguladores

Los hallazgos de inspección más frecuentes relacionados con el riesgo de auditoría son:

  • Evaluación del riesgo inherente sin justificación documentada: el equipo marca "riesgo inherente alto" en la matriz de riesgos pero no describe por qué. La NIA-ES 315.35 requiere que el auditor "identifique y valore" el riesgo; marcar una casilla sin explicación no cumple con este requisito. Los inspectores buscan evidencia de que el equipo analizó la naturaleza de la aseveración, la complejidad de las transacciones, y la volatilidad de las cifras antes de concluir sobre el nivel de riesgo.
  • Riesgo de control evaluado como bajo sin prueba de funcionamiento efectivo: la entidad tiene políticas y procedimientos documentados, pero el auditor no prueba que funcionen de forma consistente durante el período auditado. La NIA-ES 330.7 requiere procedimientos diseñados para obtener evidencia sobre la efectividad operativa del control; una revisión del manual de políticas no es suficiente. Esto es especialmente frecuente en entidades pequeñas donde los controles son informales.
  • Riesgo de detección no documentado explícitamente: el auditor diseña procedimientos substantivos apropiados pero no documenta la lógica detrás de la decisión sobre el riesgo de detección aceptable. Esto deja al inspector sin forma de evaluar si el alcance y la naturaleza de los procedimientos están vinculados a la evaluación de riesgos. La documentación no debe ser una fórmula, sino un párrafo que explique: "Dado que el riesgo inherente es alto y el riesgo de control es medio, hemos diseñado procedimientos substantivos detallados, incluyendo confirmación externa y análisis de volatilidad anual."

Riesgo de auditoría vs. Riesgo de aseveración

Estos términos se confunden frecuentemente, pero son conceptos distintos:
| Dimensión | Riesgo de auditoría | Riesgo de aseveración |
|---|---|---|
| Definición | Riesgo de que la opinión del auditor sea inapropiada porque los estados financieros contienen errores no detectados | Riesgo de que una aseveración específica (existencia, exactitud, integridad) contenga un error material |
| Nivel | Auditoría completa; evalúa el riesgo después de todos los procedimientos | Nivel de aseveración; una entidad puede tener riesgo de aseveración bajo en activos fijos pero alto en ingresos |
| Cuándo se evalúa | Planificación y durante la auditoría; se ajusta conforme se obtiene evidencia | Planificación (riesgo inicial) y después de pruebas de controles (riesgo final) |
| Enfoque del auditor | Determina el nivel global de confianza en el que terminará la auditoría | Determina los procedimientos específicos necesarios para esa aseveración |
| Documentación | Una conclusión global sobre riesgo de auditoría aceptable antes de la opinión | Matriz de riesgos que lista cada aseveración, su riesgo inherente, de control, y procedimientos diseñados |
El riesgo de auditoría es el paraguas. El riesgo de aseveración es el detalle dentro de ese paraguas.

Términos relacionados

---

  • Riesgo inherente: susceptibilidad de una aseveración a contener un error material sin considerar controles
  • Riesgo de control: efectividad del sistema de control interno para prevenir o detectar errores materiales
  • Riesgo de detección: riesgo de que los procedimientos de auditoría no detecten un error material
  • Aseveraciones de auditoría: afirmaciones implícitas o explícitas que subyacen en los estados financieros (existencia, exactitud, completitud, etc.)
  • Materialidad: umbral cuantitativo y cualitativo para determinar si un error es significativo para la opinión
  • Procedimientos substantivos: procedimientos diseñados para detectar errores materiales en cifras y revelaciones

Términos relacionados

Riesgo inherenteRiesgo de controlRiesgo de detecciónAseveraciones de auditoríaMaterialidadProcedimientos substantivos

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.