Riesgo de Detección

Cómo funciona

Lo que realmente ocurre en la mayoría de los archivos es esto: el equipo abre la planificación, copia la matriz de riesgos del ejercicio anterior, ajusta dos o tres líneas y llega a la sección del riesgo de detección sin haber recalculado nada. El RD aparece como una cifra ya escrita (10%, 12%, "bajo"), y los tamaños muestrales se sacan adelante con lo que hay: el programa del año pasado, las mismas confirmaciones, un MUS de 60 ítems porque siempre han sido 60.

Lo que dice la norma es otra cosa. La NIA-ES 200.A36-A41 describe el modelo de riesgo de auditoría como RA = RI × RC × RD, donde el auditor fija el RD de manera que el RA quede reducido a un nivel aceptablemente bajo (NIA-ES 200.13 y 200.A36). A diferencia del riesgo inherente (RI), que depende de la naturaleza de la transacción o saldo, y del riesgo de control (RC), que depende de los controles internos de la entidad, el RD es la palanca del auditor: cuanto menor lo fije, más extensos, profundos o tempranos deberán ser los procedimientos sustantivos para reducir a un nivel aceptable la posibilidad de no detectar una incorrección material. La NIA-ES 330.7 cierra el circuito al exigir que la naturaleza, el alcance y la oportunidad de los procedimientos sustantivos sean responsivos a los riesgos de incorrección material evaluados a nivel de afirmación.

Aquí vive la zona gris. El modelo es conceptual, no una fórmula aritmética que arroje un porcentaje único. Pero tratarlo como si no tuviera ningún anclaje cuantitativo es el error opuesto. En nuestra firma hemos llegado a una posición que merece ser explicitada: si el equipo no puede traducir su evaluación de RI × RC en una decisión documentada sobre tamaño de muestra y error tolerable, entonces no está aplicando el modelo; lo está usando de adorno. La NIA-ES 530 obliga a establecer un error tolerable y un riesgo de muestreo coherentes con la evaluación de riesgos; sin esa traducción, la cadena RI/RC → RD → muestra → conclusión queda rota en el eslabón central.

Una nota que a veces se pasa por alto. El RD no se "establece" en planificación y se olvida. Se mueve durante el encargo. Si en la fase de ejecución el equipo identifica un riesgo significativo nuevo bajo NIA-ES 240 (por ejemplo, un indicio de override de la dirección), los RI o RC suben, y matemáticamente el RD aceptable cae. Si los procedimientos no se rehacen, lo que ha cambiado no es la cifra del papel: es el riesgo residual real que asume la firma.

Ejemplo práctico: Inversiones Industriales Castilla S.L.

Cliente: Sociedad limitada en Valladolid, fabricación de componentes de precisión, facturación anual de 18,7 millones de euros, cierre 31 de diciembre, marco PGC.

Riesgo evaluado en la afirmación de existencia y derechos de cuentas a cobrar: RI moderado (un 5% de la cartera supera los 90 días de antigüedad, aunque el historial de recobro es bueno). RC moderado (los controles sobre antigüedad están documentados pero no se prueban automáticamente).

Paso 1. Riesgo de auditoría aceptable fijado en 5% (conservador para un cliente con saldos significativos). Nota de documentación: «RA aceptable establecido en 5% en función del tamaño del cliente, naturaleza del sector y resultados de auditorías anteriores. PT-100 Planificación».

Paso 2. RI evaluado en 60% y RC evaluado en 50% sobre la afirmación de existencia y derechos. Nota: «Evaluaciones documentadas en PT-315. RI 60% por la composición de cartera con clientes de crédito elevado; RC 50% por ausencia de automatización en confirmaciones».

Paso 3. Cálculo del RD máximo aceptable: 5% / (60% × 50%) = 5% / 30% = 16,7%. Nota: «Cálculo del RD máximo: 5% / 0,6 / 0,5 = 16,67%. PT-320 Matriz de RD».

Paso 4. Traducción del 16,7% a procedimientos: confirmaciones directas por muestreo estadístico sobre una población de 847 clientes. Muestra calculada en 95 (≈11% de la población). Procedimientos posteriores de seguimiento de remesas para confirmaciones no devueltas. Nota: «Muestreo por atributos al 95% de confianza, riesgo de muestreo del 5%. Tabla NIA-ES 530.A24 aplicada. Resultados en PT-330».

La complicación. A mitad de la ejecución, el manager identifica indicios de override de la dirección bajo NIA-ES 240: un asiento manual recurrente reclasificando provisiones de dudosos a otras partidas. El RI se reevalúa al alza (de 60% a 80%). Manteniendo el RA aceptable en 5%, el RD máximo cae de 16,7% a 12,5%. Aritméticamente, esto exige aproximadamente la mitad del error tolerable previo o un incremento sustancial del tamaño muestral (del orden de 30-40 ítems adicionales en el MUS, o procedimientos analíticos sustantivos complementarios sobre las cuentas reclasificadas).

Aquí es donde el modelo deja de ser teoría. El presupuesto de horas no se reabre. El socio y el manager tienen que elegir: pedir más horas (que el cliente no va a pagar y la firma probablemente no va a aprobar a estas alturas), o aceptar un RD efectivo superior al que la matriz de planificación ahora exige. En el campo, el resultado más frecuente es la segunda opción documentada como la primera, sin recalcular nada, dejando el papel anterior en el archivo. El RD residual sube; el papel no lo dice.

Qué cometen mal los revisores y los auditores en ejercicio

- Hallazgo de inspección Tier 1. Las inspecciones del ICAC documentan que un porcentaje significativo de los archivos que especifican un "riesgo de detección" no lo derivan: escriben una cifra (a menudo 10% por defecto) sin trazarla matemáticamente desde el RI y el RC evaluados. La NIA-ES 200.A36-A41 exige que el RA, el RI y el RC se consideren conjuntamente para llegar a un nivel aceptable de RD. Una cifra no documentada o no derivada es indefendible en una EQR. Los papeles están flojos cuando el revisor pregunta de dónde sale el 10% y no hay respuesta más allá de "es el que pusimos el año pasado".

- Hallazgo de inspección Tier 2. Es habitual confundir el RD con el "nivel de confianza" de un procedimiento sustantivo concreto. No son lo mismo. La NIA-ES 330.7 exige que los procedimientos sean responsivos a los RIM evaluados; el RD es el parámetro que mide esa responsividad en términos del conjunto de procedimientos, no de uno solo. Un RD del 10% no significa "confío al 90% en este procedimiento"; significa que el conjunto de procedimientos sustantivos diseñado reduce al 10% máximo la probabilidad de no detectar una incorrección material en la afirmación. La confusión genera alcances pequeños porque el equipo está pensando en confianza estadística aislada en lugar de en responsividad al riesgo evaluado.

- Hallazgo de inspección Tier 3. Muchas firmas no comunican el RD a los miembros del equipo que diseñan los procedimientos. Se calcula en planificación general y no se traslada a objetivos por afirmación. Esto produce alcances incoherentes: una muestra grande en cuentas a cobrar (porque "siempre se hace así") y una prueba de detalles raquítica en gastos, aunque el RD evaluado para ambas afirmaciones sea similar. La falta de comunicación del RD hacia abajo es uno de los huecos de documentación más habituales.

Riesgo de detección vs. Riesgo de muestreo

Cuándo la distinción importa en un encargo

La distinción entre RD y riesgo de muestreo es crítica cuando el equipo de encargo evalúa si los procedimientos planificados son suficientes y apropiados en el sentido del marco normativo (NIA-ES 200, NIA-ES 330).

Escenario. El socio del encargo planifica auditar cuentas a cobrar de 42 millones de euros. Ha calculado un RD aceptable del 12% basado en RI y RC evaluados como bajos. El equipo propone: "Ejecutaremos confirmaciones directas a una muestra de clientes con un riesgo de muestreo del 5%."

El problema. El riesgo de muestreo del 5% determina el tamaño de la muestra dentro de las confirmaciones directas, pero el RD del 12% determina si las confirmaciones directas, por sí solas, son un procedimiento suficiente o si se requieren procedimientos adicionales (procedimientos analíticos posteriores, inspección de documentos de apoyo, seguimiento de cobros posteriores).

Confundir ambos puede llevar a un archivo con muestra estadísticamente sólida (riesgo de muestreo bajo) pero un conjunto de procedimientos que en agregado no es responsivo al RD evaluado, porque faltan los procedimientos posteriores. O, en sentido contrario, a procedimientos excesivos en todas las dimensiones simultáneamente, sin priorización clara: es el caso del equipo que duplica esfuerzo sin saber dónde está el riesgo real.

Aquí es donde aparece el desacuerdo legítimo entre profesionales experimentados. El Socio A defiende que el modelo RA = RI × RC × RD es conceptual y que lo que importa es el diseño del conjunto de procedimientos: forzar una calibración aritmética añade documentación sin mejorar la auditoría, porque ningún auditor toma decisiones reales con tres decimales. El Socio B sostiene la posición opuesta: si no se puede traducir el RI × RC en tamaños de muestra y error tolerable concretos, no se está aplicando el modelo. Se está decorando con él, y la EQR no tiene cómo verificar que el alcance es proporcional al riesgo. Ambas posiciones son razonables. La nuestra, después de varios encargos en los que la primera postura terminó justificando lo que ya se iba a hacer, se acerca a la segunda: la calibración explícita es incómoda precisamente porque obliga a documentar una asunción que la firma prefiere dejar implícita, esto es, que los honorarios pactados no financian los procedimientos que el modelo implica.

Ese es el incentivo perverso, dicho sin rodeos. El modelo de riesgo de auditoría se trata de forma cualitativa porque la calibración explícita expondría una conversación que el socio necesita el cliente (y por tanto la firma) prefiere no tener.

Ejemplo práctico con ambos conceptos: Distribuidora Logística Meridional S.A.

Cliente: Distribuidor de componentes electrónicos, Barcelona, facturación 24 millones de euros, marco NIIF.

Afirmación de cuentas a cobrar a 31 de diciembre: 8,7 millones de euros. RI evaluado al 70% (cartera concentrada en tres clientes grandes, histórico de disputas comerciales). RC evaluado al 60% (controles sobre antigüedad existentes pero no probados automáticamente; recopilación de confirmaciones manual). RA aceptable: 4%.

Paso 1. Cálculo del RD (parámetro ). RD máximo = 4% / (70% × 60%) = 4% / 42% = 9,5%.

Documentación. "PT-320: RD calculado en 9,5% (máximo aceptable). Riesgo bajo que exige procedimientos sustantivos extensos sobre la afirmación de existencia y derechos."

Paso 2. Traducción a procedimientos (decisión de naturaleza y alcance). Dada la cartera concentrada y los riesgos elevados, los procedimientos sustantivos diseñados incluyen: - Confirmaciones directas a los tres clientes grandes (prueba al 100%; no es muestreo, es prueba completa de cuentas de alto riesgo). - Muestreo estadístico sobre el resto para cubrir el 65% de la población restante (≈18 de 32 clientes medianos). - Procedimientos analíticos posteriores sobre antigüedad de cuentas no confirmadas. - Inspección de documentos de despacho y facturas del mes posterior al cierre para cobros no confirmados.

Documentación. "PT-330: Procedimientos sustantivos diseñados como responsivos al RD del 9,5%. (a) Confirmaciones al 100% de tres clientes grandes (4,8M EUR, 55% de la población); (b) muestreo estadístico sobre 4,5M EUR restantes; (c) procedimientos analíticos y documentales posteriores."

Paso 3. Cálculo del riesgo de muestreo (parámetro táctico) dentro del muestreo. Para los 32 clientes medianos (población 4,5M EUR): - Riesgo de muestreo aceptable: 10% (equivalente a confianza del 90%). - Aplicando NIA-ES 530.A24 para atributos, con tasa esperada de excepciones del 2% y tasa aceptable del 5%, se obtiene una muestra de 18 clientes.

Documentación. "PT-330 Anexo A: Tamaño de muestra por NIA-ES 530. Riesgo de muestreo 10%, tasa esperada 2%, tasa aceptable 5%. Muestra = 18 de 32 clientes medianos."

Paso 4. Combinación de riesgos. - El RD (9,5%) se logra mediante: 100% de cuentas grandes + 56% de cuentas medianas por muestreo + procedimientos analíticos y documentales posteriores. - Dentro del muestreo de cuentas medianas, el riesgo de muestreo (10%) determina que 18 clientes es un tamaño suficiente (no 32, no 5).

Conclusión. Si se hubieran confundido ambos riesgos, el archivo podría haber acabado con: (a) un muestreo del 90% de confianza en cuentas medianas (tamaño adecuado, 18 clientes) pero sin los procedimientos posteriores que exige el RD del 9,5%, o (b) procedimientos excesivos en todas las dimensiones. Documentar ambos riesgos por separado asegura la trazabilidad entre evaluación de riesgos e imagen fiel del trabajo realizado.

Términos relacionados

- Riesgo inherente: la evaluación de la susceptibilidad de una afirmación a una incorrección sin considerar los controles internos del cliente. - Riesgo de control: la evaluación de la efectividad de los controles internos del cliente para prevenir o detectar incorrecciones. - Importancia relativa: el nivel de incorrección que sería material para los usuarios de los estados financieros; vincula el RD al tamaño de la incorrección buscada. - NIA-ES 330: Procedimientos del auditor en respuesta a los riesgos evaluados: la norma que exige que los procedimientos sustantivos sean responsivos al riesgo evaluado. - Riesgo de muestreo: el riesgo de que la conclusión basada en una muestra difiera de la que se habría obtenido examinando la población completa. - Procedimientos analíticos: pruebas que comparan relaciones entre datos y permiten reducir el RD sin aumentar el volumen de pruebas de detalles.

---