Definition
Vaya por delante que el modelo de riesgo es matemáticamente preciso y operacionalmente borroso. La NIA-ES 200.13(c) lo formula como una multiplicación: AR = IR × CR × DR. En la mayoría de los encargos en España, los tres factores no se calculan: se asumen. El riesgo inherente queda en "moderado" porque la plantilla del software lo prefija así. El riesgo de control queda en "bajo" si alguien firma el flujograma. Y el riesgo de detección se ajusta hacia atrás, desde el presupuesto de horas que el socio ya ha vendido al cliente.
Lo que ocurre en la mayoría de expedientes
Antes de la norma, el incentivo. La firma compra una metodología. La metodología viene con un papel de trabajo de evaluación de riesgos donde el riesgo inherente aparece prefijado en "moderado" para todos los ciclos: ingresos, compras, personal, existencias. El usuario solo cambia ese valor si tiene una razón documentada para hacerlo, y casi nunca la tiene escrita en el momento de planificar. El riesgo de control se marca como "bajo" en cuanto se documenta un walkthrough, sin haber probado nada todavía. Y el riesgo de detección no se evalúa: se hereda. El año pasado se hicieron 30 facturas de ingresos. Este año se harán 30 facturas de ingresos. Por lo que conozco de varios despachos medianos en España, este patrón se repite con pocas variaciones.
Aquí entra la norma. La NIA-ES 200.13(c) define riesgo de auditoría como "el riesgo de que el auditor exprese una opinión inadecuada cuando los estados financieros contienen incorrección material" y lo descompone en tres componentes: el riesgo inherente y el riesgo de control juntos forman el riesgo de incorrección material; el riesgo de detección es lo que añade el auditor con sus procedimientos. La NIA-ES 200.A41-A44 explica el propósito: la combinación de las tres evaluaciones debe producir un riesgo de auditoría aceptablemente bajo. La NIA-ES 315 (Revisada 2019) exige evaluar IR y CR por separado y a nivel de afirmación, no a nivel global. La NIA-ES 330 dicta la respuesta: si IR × CR es alto, DR debe ser bajo, y eso implica más muestra, más confirmación, más procedimientos sustantivos.
¿Y dónde vive el juicio profesional? En una zona gris muy concreta: cuándo el modelo se aplica al nivel de los estados financieros como un todo, y cuándo a nivel de afirmación. La norma dice que ambos. La práctica difiere. La mayoría de expedientes documentan el modelo solo al nivel global, dejando sin justificación por qué para "ingresos – ocurrencia" se hicieron las pruebas que se hicieron y no otras. Aquí es donde el ICAC encuentra la deficiencia más habitual: no hay vínculo entre el riesgo evaluado para una afirmación concreta y el alcance del procedimiento dirigido a esa afirmación.
Tesis: triangulación, no aritmética
El modelo de riesgo es una herramienta de triangulación, no una calculadora. Los expedientes que lo tratan como calculadora (asignando IR=70%, CR=40%, DR objetivo=10%) le dan una precisión que la norma nunca pretendió. Los expedientes que lo ignoran producen niveles de riesgo de detección invisibles y, por tanto, indefendibles. La pregunta operativa no es "qué número multiplicado por qué número da el riesgo aceptable", sino "si el riesgo de incorrección material en esta afirmación es alto, ¿qué procedimiento concreto reduce la probabilidad de no detectarla a un nivel con el que pueda firmar?".
Cómo se aplica realmente
Imaginemos que está planificando la auditoría de una distribuidora mediana. Tiene 47 clientes que representan el 82% de los ingresos, márgenes finos y una nueva política de descuentos lanzada en el último trimestre. La plantilla quiere prefijarle el riesgo inherente en "moderado". En mi caso, esa primera batalla la doy siempre antes de mirar nada más: la concentración de clientes y el cambio de política de descuentos en el cierre son dos indicadores que la propia NIA-ES 240 marca como factores de riesgo de fraude en reconocimiento de ingresos. Aquí el riesgo inherente es alto, y dejarlo en moderado por defecto es ya una deficiencia documental. La norma exige que la evaluación se justifique. Eso no se hace marcando una casilla.
Una vez fijado IR alto, el siguiente paso es CR. Y aquí "lo que realmente ocurre" es que la mayoría de equipos hacen un walkthrough, documentan la existencia del control y marcan CR como "bajo" sin haber probado la efectividad operativa. La NIA-ES 330.8 lo prohíbe: si planea confiar en los controles para reducir el alcance sustantivo, debe probarlos. Si no los prueba, CR no puede ser bajo. Punto.
La norma dice X. En la práctica ocurre Y.
La NIA-ES 200.A41-A44 dice que el modelo de riesgo es una construcción conceptual y que los componentes pueden expresarse cuantitativa o cualitativamente, pero advierte que la asignación de valores numéricos no aporta precisión real. En la práctica, la mayoría del software de auditoría empuja al usuario a una escala numérica (1 a 10, alto/medio/bajo traducido a porcentaje) porque facilita el reporte interno de la firma. Eso convierte la herramienta de triangulación en una calculadora, y al hacerlo desplaza la atención del juicio (¿qué procedimiento responde a este riesgo?) al cálculo (¿qué número da el resultado que necesito?). Desde nuestra experiencia, los expedientes que mejor resisten una inspección son los que documentan IR y CR cualitativamente con párrafos concretos, y solo cuantifican el alcance del procedimiento sustantivo (tamaño de muestra, cobertura de la población, nivel de confianza).
Ejemplo práctico: Distribuidora Mediterránea S.L.
Cliente: empresa distribuidora mayorista, Madrid, ejercicio 2024, ingresos 18,5 millones de euros, reporta bajo PGC.
Paso 1: Riesgo inherente para ingresos – afirmación de ocurrencia. La entidad opera con márgenes bajos y alta rotación de inventario. 47 clientes mayoristas representan el 82% de los ingresos. La dirección ha implementado nuevas políticas de descuento en el cuarto trimestre de 2024 para acelerar cobros. Concentración + cambio reciente en política de ventas + presión por liquidez de cierre. La NIA-ES 240.A24-A27 marca estos como indicadores de fraude.
Nota de documentación: Registro en PT 3.1. IR alto. Razón documentada en párrafo, no en escala numérica.
Paso 2: Riesgo de control sobre ingresos. Inspecciono el sistema de gestión de ventas. Existe un control de autorización de descuentos, pero no hay segregación: el director comercial y la responsable de tesorería pueden autorizar descuentos hasta 5 puntos sin supervisión adicional. No hay revisión posterior de descuentos concedidos. Pruebo el control: 23 facturas con descuento. 3 no tienen evidencia de aprobación. Tasa de fallo: 13%.
Nota de documentación: Registro en PT 3.2. CR no puede ser bajo con este resultado. CR alto.
Paso 3: La complicación. Aquí es donde el caso plano se rompe. Con IR alto y CR alto, el modelo dice que DR debe ser muy bajo. Eso, en la práctica, significa probar el 100% de las facturas con descuento o algo cercano: confirmaciones a los cinco clientes mayores, recálculo de descuentos por cliente, procedimiento de corte explícito para enero 2025, análisis de patrones de descuento por usuario que autoriza. El equipo lo planifica. El presupuesto de horas vendido al cliente eran 180 horas. Las pruebas que ahora exige el modelo, hechas correctamente, son 260 horas.
¿Qué hacemos? Esta es la decisión que un manual no resuelve. Opción A: aceptar un AR más alto del prudente para no reventar el presupuesto, y rezar para que la próxima inspección caiga en otra firma. Opción B: hacer el trabajo que el modelo exige, comerse las 80 horas de exceso, y tener una conversación incómoda con el socio sobre por qué este encargo no es rentable. Opción C: la honesta, y la que la NIA-ES 220.20 exige: levantar la mano, comunicar al socio responsable que las condiciones del encargo no permiten obtener evidencia suficiente, y forzar una decisión a nivel de firma sobre si renegociar honorarios, ampliar plazo o, en último extremo, considerar la idoneidad de continuar.
Nota de documentación: Registro en PT 3.3. Decisión tomada: Opción C. Comunicación al socio el 15/02/2025. Honorarios renegociados al alza por 6.500 €. Alcance ejecutado completo.
Lo que auditores e inspectores interpretan mal
Confundir el modelo con un cálculo aritmético. Algunos equipos asignan números (inherente: 7, control: 5, detección: 3) como si fueran variables algebraicas. La NIA-ES 200.13(c) requiere que el modelo se use como marco conceptual para vincular evaluaciones de riesgo con la naturaleza, oportunidad y alcance de procedimientos. Documentar un número sin explicar cómo afectó al diseño es incumplir el párrafo. La presencia de la cifra no sustituye al razonamiento.
Asumir que el riesgo de control bajo siempre existe. En inspecciones de auditoría, el ICAC encuentra repetidamente expedientes que documentan "riesgo de control bajo" para entidades cuyos controles nunca se probaron. La NIA-ES 330.8 establece que el auditor debe ejecutar pruebas de controles para obtener evidencia suficiente y apropiada sobre la efectividad de los controles antes de confiar en ellos. Saltarse esa prueba invalida la evaluación. En la práctica, eso significa que los papeles están flojos: hay flujograma, hay walkthrough, falta chicha.
Aplicar el modelo solo a nivel de estados financieros como un todo. La NIA-ES 315 (Revisada) exige evaluación a nivel de afirmación. Un IR global de "moderado" no responde a la pregunta de qué riesgo tiene la afirmación de "ocurrencia" en ingresos, que es la afirmación donde el fraude vive. Cuando el ICAC abre el expediente y pide ver cómo se enlazó la evaluación de "ocurrencia" con el procedimiento dirigido a "ocurrencia", muchos equipos no encuentran el vínculo. Es la deficiencia más habitual en revisiones del ICJCE de los últimos cinco años.
Por qué el modelo se trata como decoración
Aquí el insight de segundo orden. El modelo de riesgo se trata como decoración por tres razones que la norma no nombra y que el practicante reconoce al instante. Primero, el software pre-rellena. La metodología de firma, que el socio compra y el equipo aplica, viene con IR="moderado" y CR="bajo" como valores por defecto en el papel de trabajo. Cambiarlos exige justificarlo; dejarlos exige no hacer nada. La gravedad de la inercia documental hace el resto. Segundo, el socio usa el modelo hacia atrás: el tamaño de muestra ya está decidido por presupuesto antes de planificar el riesgo. La función del modelo, en ese flujo, es retrojustificar la muestra que el presupuesto permite, no determinar la muestra que el riesgo exige. Tercero, los tres factores no son independientes en la práctica. El equipo que evalúa IR es el mismo que evalúa CR y diseña los procedimientos sustantivos. Si IR sube, sube la presión sobre CR para compensar y, cuando CR no puede comprobadamente ser bajo, sube la presión sobre el alcance. La presión recorre los tres factores y los empuja hacia el equilibrio que ya estaba prefijado por el presupuesto. El modelo entonces describe el resultado, no lo determina.
Donde profesionales experimentados discrepan
El Socio A defiende que el modelo debe operacionalizarse con números: 80% IR × 50% CR = 40%, lo que exige un DR objetivo del 12,5% para mantener un AR del 5%. El argumento del Socio A es que sin números no hay coherencia entre encargos del mismo despacho, y que dos auditores que evalúen el mismo riesgo terminarán con alcances drásticamente distintos sin disciplina cuantitativa. El Socio B defiende lo contrario: los números dan falsa precisión y desplazan la atención del juicio al cálculo. Para él, IR y CR deben evaluarse cualitativamente (alto / moderado / bajo) y la disciplina debe estar en la respuesta documentada, no en la aritmética. Cita la NIA-ES 200.A43, que advierte que la asignación de valores numéricos no aporta precisión real. Ambas posiciones son defendibles. Los partidarios del Socio A han ganado los últimos quince años porque las firmas grandes han industrializado el modelo numérico para reportar a comités de calidad. Los partidarios del Socio B ganan cuando el ICAC inspecciona, porque el inspector no pide la cifra: pide el razonamiento.
Comparación: triangulación frente a calculadora
| Aspecto | El modelo como triangulación | El modelo como calculadora |
|---|---|---|
| Documentación de IR | Párrafo cualitativo con factores concretos | Número en una escala 1-10 |
| Documentación de CR | Resultado de pruebas de control con tasa de fallo | Categoría "bajo" sin pruebas |
| Determinación del alcance | Procedimiento responde a riesgo identificado | Tamaño de muestra deducido del producto IR × CR |
| Defensa ante el ICAC | Vínculo afirmación-procedimiento documentado | "El sistema lo calculó así" |
| Riesgo de bombas de relojería | Bajo: el juicio detecta lo no estándar | Alto: el cálculo no ve lo que no estaba en la plantilla |
Términos relacionados
- Riesgo inherente: probabilidad de incorrección material antes de considerar controles internos. - Riesgo de control: probabilidad de que los controles internos no prevengan, detecten o corrijan una incorrección material. - Riesgo de detección: probabilidad de que los procedimientos de auditoría no detecten una incorrección material. - Importancia relativa: umbral por encima del cual una incorrección se considera material para el usuario. - Procedimientos analíticos: evaluación de información financiera mediante análisis de relaciones plausibles entre datos. - Enfoque de auditoría basado en riesgos: metodología que alinea naturaleza y alcance de procedimientos con las evaluaciones de riesgo.
---