Cómo funciona

El modelo de riesgo de auditoría traduce el juicio profesional en términos numéricos. La NIA-ES 200.13 establece que el auditor debe diseñar procedimientos de auditoría cuya combinación de riesgo inherente, riesgo de control y riesgo de detección produzca un riesgo de auditoría aceptablemente bajo.
En la práctica, el modelo opera así: cuando identifica que un área tiene un riesgo inherente alto (por ejemplo, cuentas por cobrar en una empresa con clientes concentrados), el auditor debe reducir su riesgo de detección aceptable. Esto significa recopilar más evidencia, usar muestras más grandes, o emplear procedimientos más persuasivos. Alternativamente, si evalúa que los controles internos sobre cuentas por cobrar son sólidos (riesgo de control bajo), puede permitirse un riesgo de detección mayor.
El modelo no es una fórmula algebraica precisa que el auditor calcula al decimal. Es un marco conceptual. La NIA-ES 320.A1 aclara que el auditor usa el modelo para asegurar que la combinación de evaluaciones de riesgo sea coherente y que los procedimientos de detección planificados sean proporcionales al riesgo global. Sin esto, dos auditores que evalúen el mismo riesgo inherente podrían recopilar cantidades drásticamente diferentes de evidencia sin una lógica documentada.

Ejemplo práctico: Distribuidora Mediterránea S.L.

Cliente: empresa distribuidora mayorista, Madrid, ejercicio fiscal 2024, ingresos 18,5 millones de euros, reporta bajo PGC.
Paso 1: Evaluación del riesgo inherente para ingresos
La entidad opera con márgenes bajos y alta rotación de inventario. Tiene 47 clientes mayoristas que representan el 82% de ingresos. El equipo de dirección ha implementado nuevas políticas de descuento en el último trimestre de 2024 para acelerar cobros.
Nota de documentación: Registro en PT 3.1: Evaluación de riesgo inherente. Conclusión: riesgo inherente alto (puntuación 8/10) debido a concentración de clientes y cambios recientes en políticas de ventas que aumentan riesgo de cortesía o manipulación.
Paso 2: Evaluación del riesgo de control sobre ingresos y cuentas por cobrar
Inspecciono el sistema de gestión de ventas: existe un control de autorización de descuentos, pero no está segregado por usuario. El director comercial y la responsable de tesorería pueden autorizar cualquier descuento hasta 5 puntos porcentuales sin supervisión adicional. No hay control de revisión posterior de descuentos concedidos. El sistema registra la transacción correctamente, pero no hay un reporte de descuentos anómalos revisado mensualmente.
Nota de documentación: Registro en PT 3.2: Evaluación de riesgo de control. Deficiencia identificada: autorización de descuentos sin segregación de funciones adecuada. Prueba de control: autorización de 23 facturas con descuento; 3 carecían de documentación de aprobación. Conclusión: riesgo de control medio-alto (puntuación 7/10).
Paso 3: Cálculo del riesgo de detección aceptable
Con riesgo inherente alto (8/10) y riesgo de control medio-alto (7/10), el riesgo de detección aceptable es bajo. El auditor no puede depender de procedimientos analíticos generales. Debe:
Nota de documentación: Registro en PT 3.3: Planificación de procedimientos de detección. El riesgo de detección bajo requiere un enfoque sustantivo extenso debido al riesgo inherente y de control documentados en pasos 1 y 2.
Conclusión: Sin el marco de modelo de riesgo, el auditor podría haber diseñado procedimientos estándar para un cliente de 18 millones de euros. Con la evaluación del riesgo inherente y de control, los procedimientos de detección fueron considerablemente más profundos y defensibles ante inspección. El modelo garantiza proporcionalidad.

  • Aumentar el tamaño de muestra de ingresos de 30 a 65 facturas
  • Incluir un procedimiento de corte explícito (enero 2025) para verificar si las devoluciones de diciembre se registraron en el periodo correcto
  • Ejecutar un procedimiento analítico de descuentos por cliente para identificar patrones anómalos
  • Confirmar directamente con los cinco clientes mayores

Lo que auditores e inspectores interpretan mal

  • Confundir el modelo con un cálculo matemático. Algunos equipos asignan números (inherente: 7, control: 5, detección: aceptable) como si fueran variables de una ecuación algebraica. La NIA-ES 200.13 requiere que el auditor use el modelo como marco conceptual para vincular evaluaciones de riesgo con la naturaleza, oportunidad y alcance de procedimientos. Documentar un número sin explicar cómo afectó al diseño de procedimientos es incumplimiento de este párrafo.
  • Asumir que riesgo de control bajo siempre existe. En inspecciones de auditoría, el ICAC ha encontrado que muchos equipos documentan "riesgo de control bajo" para entidades que nunca fueron evaluadas correctamente. La NIA-ES 330.7 (ahora 330.6 en la versión revisada que entra en vigor en 2026) establece que el auditor debe ejecutar procedimientos de auditoría para obtener evidencia suficiente y apropiada sobre la efectividad de los controles antes de confiar en ellos. Saltarse esta prueba de controles invalida la evaluación del riesgo de control.

Comparación: Modelo de riesgo de auditoría vs. Enfoque basado únicamente en riesgo inherente

| Aspecto | Modelo de riesgo de auditoría | Enfoque de riesgo inherente solamente |
|---|---|---|
| Factores considerados | Inherente, control y detección | Solo inherente |
| Documentación requerida | Vínculo explícito entre evaluaciones y procedimientos | Descripción de áreas de riesgo |
| Adaptación de procedimientos | Los controles fuertes reducen la detección requerida | Los procedimientos se aplican según criterio general |
| Defensa ante inspección | Proporcionalidad clara y documentada | Mayor riesgo de hallazgos de inconsistencia |
El modelo de riesgo de auditoría obliga al auditor a ser específico: si los controles son fuertes, documento por qué, y reduzco mis procedimientos sustantivos por esto, . Esto produce auditorías más eficientes y defensibles.

Términos relacionados

---

  • Riesgo inherente: el riesgo de que ocurra una incorreción material antes de considerar controles internos.
  • Riesgo de control: el riesgo de que los controles internos no prevengan, detecten o corrijan una incorreción material.
  • Riesgo de detección: el riesgo de que los procedimientos de auditoría del auditor no detecten una incorreción material.
  • Importancia relativa: el nivel en el que una incorreción se considera importante para el criterio de auditoría.
  • Procedimientos analíticos: evaluación de información financiera mediante análisis de relaciones plausibles entre datos.
  • Enfoque de auditoría basado en riesgos: metodología que alinea la naturaleza y alcance de procedimientos con las evaluaciones de riesgo.

Términos relacionados

Riesgo inherenteRiesgo de controlRiesgo de detecciónImportancia relativaProcedimientos analíticosEnfoque de auditoría basado en riesgos

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.