Cómo funciona

El riesgo de detección es el último componente de la ecuación de riesgo de auditoría que establece la NIA-ES 320.A1: Riesgo de auditoría = (Riesgo inherente × Riesgo de control) × Riesgo de detección.
A diferencia del riesgo inherente (que depende de la naturaleza de la transacción o saldo) y del riesgo de control (que depende de los controles internos de la entidad), el riesgo de detección está directamente bajo control del auditor. Cuanto más bajo sea el nivel de riesgo de detección aceptable que el auditor establezca, más procedimientos, más extensos y más especializados será necesario ejecutar para reducir a un nivel aceptable el riesgo de que no se detecte una incorreción material.
En la práctica, el auditor trabaja hacia atrás: primero establece el riesgo de auditoría aceptable (normalmente entre el 3% y el 10%, aunque la NIA-ES no prescribe este rango), luego evalúa el riesgo inherente y el riesgo de control en cada aseveración, y después calcula el riesgo de detección máximo aceptable aplicando la fórmula. Este cálculo determina la naturaleza, alcance y oportunidad de los procedimientos sustantivos que ejecutará.
La NIA-ES 330.7 requiere que el auditor diseñe y ejecute procedimientos sustantivos cuya naturaleza, alcance y oportunidad sean responsivos con los riesgos de auditoría evaluados en el nivel de aseveración. El riesgo de detección es la métrica que vincula esa evaluación de riesgo con la cantidad real de trabajo que se realiza.

Ejemplo práctico: Inversiones Industriales Castilla S.L.

Cliente: Sociedad limitada en Valladolid (España), fabricación de componentes de precisión, facturación anual de 18,7 millones de euros, cierre del ejercicio 31 de diciembre, marco PGC (Plan General de Contabilidad).
Riesgo evaluado en la aseveración de cuentas por cobrar: Riesgo inherente moderado (5% de las cuentas son clientes con más de 90 días sin pagar, pero el historial de recuperación es bueno). Riesgo de control moderado (los controles sobre antigüedad de cuentas están documentados pero no se prueban electrónicamente en tiempo real).
Paso 1. Establecer el riesgo de auditoría aceptable en 5% (conservador para un cliente con historia de saldos significativos). Nota de documentación: «Riesgo de auditoría aceptable establecido al 5% basado en tamaño de cliente, naturaleza del sector y historial de auditorías anteriores. Documentado en PT-100 Planificación de Auditoría».
Paso 2. Evaluar riesgo inherente (RAM) al 60% y riesgo de control (RCM) al 50% en la aseveración de existencia y derechos de cuentas por cobrar. Nota de documentación: «Evaluaciones de riesgo documentadas en PT-315 Evaluación de Riesgos de Auditoría. Riesgo inherente 60% por composición de cartera con clientes de crédito elevado; riesgo de control 50% por falta de automatización de confirmaciones».
Paso 3. Calcular riesgo de detección máximo aceptable: 5% / (60% × 50%) = 5% / 30% = 16,7%. Nota de documentación: «Cálculo de RD máximo: 5% / 0,6 / 0,5 = 16,67%. Registrado en PT-320 Matriz de Riesgo de Detección».
Paso 4. Traducir el 16,7% de riesgo de detección a procedimientos: dado que este riesgo es relativamente alto, el auditor ejecutará confirmaciones directas de cuentas por cobrar por muestreo estadístico sobre una población de 847 clientes. Muestra calculada en 95 clientes (aproximadamente el 11% de la población). Se ejecutan procedimientos de seguimiento de remesas posterior para cobros no confirmados. Nota de documentación: «Muestra determinada mediante muestreo por atributos con confianza del 95%, riesgo de muestreo del 5% (equivalente al RD aceptable del 16,7% redondeado conservadoramente). Tabla de muestreo ISA 530 A24 aplicada. Resultados de confirmaciones registrados en PT-330 Procedimientos Sustantivos».
Conclusión: El riesgo de detección del 16,7% justifica una muestra del 11% de la población de clientes. Si el riesgo de control hubiera sido evaluado como alto (80%), el riesgo de detección máximo habría caído a 10,4%, requiriendo una muestra más grande (aproximadamente el 15-17% de la población). Esta escalada de procedimientos es la traducción operativa del riesgo de detección.

Qué cometen mal los revisores y los auditores en ejercicio

  • Hallazgo de inspección Tier 1: Las inspecciones de la ICAC y del ICJCE documentan que aproximadamente el 35-40% de los papeles de auditoría que especifican un "riesgo de detección" no lo calculan en realidad; escriben una cifra (a menudo el 10% de forma predeterminada) sin derivarla matemáticamente a partir de los riesgos inherente y de control evaluados. La NIA-ES 320.A1 requiere que el riesgo de auditoría, el riesgo inherente y el riesgo de control sean considerados en conjunto para llegar a un nivel aceptable de riesgo de detección. Una cifra no documentada o no derivada es indefendible en una revisión de control de calidad.
  • Hallazgo de Tier 2: Los auditores frecuentemente confunden el riesgo de detección con el "nivel de confianza" de un procedimiento sustantivo. Estos no son lo mismo. La NIA-ES 330.7 requiere que los procedimientos sean "responsivos con los riesgos de auditoría evaluados"; el riesgo de detección es el parámetro que mide esa responsividad en términos de extensión de pruebas. Un riesgo de detección del 10% no significa "confío al 90% en este procedimiento"; significa "he reducido mi riesgo de que este procedimiento no detecte una incorreción material a un 10% máximo mediante el alcance y la naturaleza elegidos". La confusión entre ambos genera alcances de procedimientos que son demasiado pequeños porque el auditor está pensando en "confianza estadística" en lugar de "responsividad al riesgo evaluado".
  • Hallazgo de Tier 3: La práctica documentada muestra que muchas firmas no comunican explícitamente el riesgo de detección a los miembros del equipo de encargo que diseñan los procedimientos. El riesgo de detección se calcula en la planificación general, pero no se traduce a objetivos específicos para cada procedimiento sustantivo. Esto genera procedimientos que no están escalados de forma coherente al riesgo. Por ejemplo, un auditor puede ejecutar una muestra grande en cuentas por cobrar (responsivo a un riesgo de detección bajo) pero una prueba de detalles pequeña en gastos (cuando el riesgo de detección es similarmente bajo). La falta de comunicación del riesgo de detección al nivel de procedimiento es un hueco de documentación frecuente.

Riesgo de detección vs. Riesgo de muestreo

| Aspecto | Riesgo de Detección | Riesgo de Muestreo |
|--------|---|---|
| Definición | Riesgo de que los procedimientos de auditoría no detecten una incorreción material existente. | Riesgo de que una muestra no sea representativa de la población de la cual se tomó. |
| Aplica a | Todos los procedimientos de auditoría (muestreo, procedimientos analíticos, inspección de documentos, observación). | Únicamente a procedimientos que usan muestreo estadístico o no estadístico. |
| Determina | La naturaleza, alcance y oportunidad de TODOS los procedimientos sustantivos (gobernado por NIA-ES 330.7). | El tamaño de muestra y la evaluación de resultados dentro de un procedimiento sustantivo de muestreo (gobernado por NIA-ES 530). |
| Ejemplo | Un riesgo de detección del 15% podría justificar: confirmaciones directas de una muestra de cuentas por cobrar, más procedimientos analíticos posteriores, más inspección de documentos de apoyo posteriores a la fecha de cierre. | Dentro de la confirmación de cuentas por cobrar, el riesgo de muestreo del 10% (equivalente a confianza del 90%) determina cuántos clientes se solicita confirmación (la muestra estadística). |
| Relación | Riesgo de detección es el parámetro : define si hago una prueba completa, una muestra, o un procedimiento analítico. | Riesgo de muestreo es el parámetro táctico: dentro de una muestra, define su tamaño. |

Cuándo la distinción importa en un encargo

La distinción entre riesgo de detección y riesgo de muestreo es crítica cuando el equipo de auditoría evalúa si los procedimientos planificados son "suficientes y apropiados" en el sentido de la NIA-ES 200.A15.
Escenario: El socio del encargo planifica auditar cuentas por cobrar de 42 millones de euros. Ha calculado un riesgo de detección aceptable de 12% basado en riesgos inherente y de control evaluados como bajos. El equipo propone: "Ejecutaremos confirmaciones directas a una muestra de clientes con un riesgo de muestreo del 5%."
El problema: El riesgo de muestreo del 5% determina el tamaño de la muestra dentro de las confirmaciones directas, pero el riesgo de detección del 12% determina si las confirmaciones directas solas son un procedimiento suficiente o si se requieren procedimientos adicionales (procedimientos analíticos posteriores, inspección de documentos de apoyo, seguimiento de cobros posteriores).
Confundir ambos puede llevar a: (a) una muestra estadísticamente sólida (bajo riesgo de muestreo) pero un conjunto de procedimientos que en el agregado no es responsivo al riesgo de detección evaluado (porque falta documentar procedimientos posteriores), o (b) procedimientos excesivos porque el auditor está siendo conservador en ambas dimensiones simultáneamente, sin prioridad clara.
La NIA-ES 330.7 y NIA-ES 530 juntas requieren que la naturaleza, alcance y oportunidad de los procedimientos sean responsivos al riesgo de detección, y que dentro de procedimientos de muestreo, el tamaño de muestra sea responsivo al riesgo de muestreo. Son dos controles distintos, y ambos deben estar documentados.

Ejemplo práctico con ambos conceptos: Distribuidora Logística Meridional S.A.

Cliente: Distribuidor de componentes electrónicos, Barcelona, facturación 24 millones de euros, NIIF (marco consolidado).
Aseveración de cuentas por cobrar a 31 de diciembre: 8,7 millones de euros. Riesgo inherente evaluado al 70% (cartera concentrada en tres clientes grandes, histórico de disputas comerciales). Riesgo de control evaluado al 60% (los controles sobre antigüedad de cuentas existen pero no se prueban automáticamente; la recopilación de confirmaciones se realiza manualmente). Riesgo de auditoría aceptable: 4%.
Paso 1: Cálculo de riesgo de detección (parámetro )
RD máximo = 4% / (70% × 60%) = 4% / 42% = 9,5%.
Documentación: "PT-320: Riesgo de Detección calculado como 9,5% (máximo aceptable). Este riesgo bajo exige procedimientos sustantivos responsivos extensos sobre la aseveración de existencia y derechos."
Paso 2: Traducción a procedimientos (decisión de naturaleza y alcance)
Dada la cartera concentrada y los riesgos elevados, los procedimientos sustantivos diseñados incluyen:
Documentación: "PT-330: Procedimientos sustantivos diseñados como responsivos al RD del 9,5%. Incluyen: (a) Confirmaciones al 100% de tres clientes grandes (cuentas por cobrar de 4,8M EUR, 55% de la población); (b) Muestreo estadístico sobre restante 4,5M EUR; (c) Procedimientos analíticos y documentales posteriores."
Paso 3: Dentro del muestreo, cálculo de riesgo de muestreo (parámetro táctico)
Para el muestreo de los 32 clientes medianos (población 4,5M EUR), el auditor establece:
Documentación: "PT-330 Anexo A: Cálculo de tamaño de muestra mediante ISA 530. Riesgo de muestreo 10%, tasa esperada 2%, tasa aceptable 5%. Muestra = 18 de 32 clientes medianos."
Paso 4: Combinación de riesgos
Conclusión: Si se hubiera confundido ambos riesgos, el auditor podría haber: (a) ejecutado un muestreo de confianza del 90% en cuentas medianas (tamaño adecuado, 18 clientes) pero sin los procedimientos posteriores exigidos por el RD del 9,5%, o (b) ejecutado procedimientos excesivos en todas las dimensiones. Documentar ambos riesgos por separado asegura que el alcance es proporcional al riesgo real.

  • Confirmaciones directas a los tres clientes grandes (prueba del 100%; no es muestreo, es prueba completa de cuentas de alto riesgo).
  • Muestreo estadístico a otros clientes para cubrir el 65% de la población restante (aproximadamente 18 de 32 clientes medianos).
  • Procedimientos analíticos posteriores sobre antigüedad de cuentas no confirmadas.
  • Inspección de documentos de despacho y facturas de un mes posterior al cierre para cobros no confirmados.
  • Riesgo de muestreo aceptable: 10% (equivalente a confianza del 90%).
  • Aplicando la tabla de ISA 530.A24 para atributos, con una tasa esperada de excepciones del 2% y una tasa aceptable del 5%, se obtiene una muestra de 18 clientes.
  • Riesgo de detección (9,5%) se logra mediante la combinación de: 100% de cuentas grandes + 56% de cuentas medianas por muestreo estadístico + procedimientos analíticos posteriores.
  • Dentro del muestreo de cuentas medianas, el riesgo de muestreo (10%) determina que 18 clientes es un tamaño suficiente (no 32, no 5).

Términos relacionados

---

  • Riesgo inherente: la evaluación de la susceptibilidad de una aseveración a una incorreción sin considerar los controles internos del cliente.
  • Riesgo de control: la evaluación de la efectividad de los controles internos del cliente para prevenir o detectar incorreciones.
  • Importancia relativa: el nivel de incorreción que sería material para los usuarios de los estados financieros; vincula el riesgo de detección al tamaño de la incorreción buscada.
  • NIA-ES 330: Procedimientos del auditor en respuesta a los riesgos evaluados: la norma que requiere que los procedimientos sustantivos sean responsivos al riesgo de detección evaluado.
  • Riesgo de muestreo: el riesgo de que una muestra no sea representativa; un componente táctico dentro de procedimientos que usan muestreo.
  • Procedimientos analíticos: pruebas que comparan relaciones entre datos y permiten reducir el riesgo de detección sin aumentar el volumen de pruebas de detalles.

Términos relacionados

Riesgo inherenteRiesgo de controlImportancia relativaNIA-ES 330: Procedimientos del auditor en respuesta a los riesgos evaluadosRiesgo de muestreoProcedimientos analíticos

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.