Cómo funciona

El enfoque de factores de riesgo en la NIA-ES 240.25 ordena que el auditor va más allá de buscar transacciones sospechosas. En su lugar, debe evaluar la atmósfera en la que opera la entidad. Los factores de riesgo se agrupan en tres categorías que la norma denomina los tres elementos de fraude: incentivos o presiones que motivan el fraude, oportunidades que lo hacen posible, y actitudes o racionalizaciones que lo justifican moralmente en la mente del autor.
Esto no significa que la presencia de un factor de riesgo garantice que habrá fraude. Una empresa con presión financiera no está condenada al fraude. Significa que cuando existen factores de riesgo, el riesgo de distorsión material por fraude se eleva, y el auditor debe responder con procedimientos más penetrantes en esas áreas.
Los factores de riesgo se documentan durante la fase de comprensión de la entidad (NIA-ES 315), pero adquieren importancia operativa en la NIA-ES 240. El auditor usa ese análisis para decidir si necesita recursos adicionales, si ciertos saldos requieren un enfoque diferente, o si la composición del equipo de auditoría debe incluir especialistas.

Ejemplo práctico: Distribuidora Ibérica de Autopartes S.L.

Cliente: empresa de distribución de repuestos de automóvil, facturación de 18,2 millones de euros, operaciones en España y Portugal, NIIF.
Paso 1: Identificar los factores de riesgo de incentivo/presión
La dirección de la empresa había comprometido crecimientos de ventas año a año del 12%. El año anterior, la tasa de crecimiento fue del 4,8%. El director financiero recibía una bonificación del 15% de su salario si se alcanzaban los objetivos anuales.
Nota de documentación: En el archivo de riesgo de fraude, se registró "Presión por alcanzar objetivos financieros: margen de ganancia bajo en el sector (12-15%), bonus directivo vinculado a crecimiento de ingresos, ciclo de flujo de caja de 45 días".
El factor de riesgo estaba presente. Aumentaba la probabilidad de que el equipo de dirección buscara contabilizar transacciones de manera agresiva para alcanzar el objetivo.
Paso 2: Identificar los factores de riesgo de oportunidad
El sistema de control de ingresos dependía de un operador único que introducía datos en el registro de ventas. No había revisión de un segundo empleado de los precios, cantidades o términos de entrega antes del reconocimiento. El sector operaba en márgenes estrechos, y las devoluciones en los últimos tres meses habían aumentado un 28%.
Nota de documentación: "Oportunidad: un solo operador responsable de procesamiento de ingresos de fin de período. Ausencia de segregación de funciones (input, validación, cierre). Volumen alto de devoluciones permite reclasificar transacciones discrecionales como devoluciones".
La oportunidad existía. Un empleado o la dirección podrían manipular el reconocimiento de ingresos sin ser detectados inmediatamente.
Paso 3: Identificar los factores de riesgo de actitud/racionalización
Durante la entrevista de evaluación de fraude con la dirección, dos miembros del equipo de liderazgo comentaron que "otros distribuidores reconocen ingresos de manera más agresiva" y que "la norma contable es conservadora para nuestro sector". El fundador había salido recientemente de la empresa, y había tensión entre la dirección saliente y la nueva.
Nota de documentación: "Actitud: quejas sobre la aplicación de las normas contables. Referencias a prácticas de competidores. Cambio de dirección genera incertidumbre".
La actitud estaba presente. El tono desde arriba sugería que la dirección racionalizaba comportamientos fuera de límite como necesarios o justificables.
Conclusión: Todos tres elementos estaban presentes. El equipo de auditoría escaló el procedimiento de pruebas de ingresos de muestreo estándar a confirmación positiva del 100% de transacciones de ingresos en el último trimestre, además de una prueba de devoluciones posteriores al cierre, y entrevistas adicionales con el personal de ventas separadas de la dirección.

Qué revisores y auditores suelen pasar por alto

  • Error de Tier 1: Los hallazgos internacionales de la FRC identifican que los auditores documentan factores de riesgo de manera genérica sin vincularlos a áreas específicas de la auditoría. Un auditor escribirá "Presión financiera identificada" pero no especificará cuáles saldos o transacciones requieren procedimientos ampliados como resultado. La NIA-ES 240.26-27 exige que la respuesta del auditor esté coordinada con la naturaleza y el grado de riesgo identificado; una documentación vaga debilita esa respuesta.
  • Error de Tier 2: Muchos auditores tratan los factores de riesgo como un ejercicio de cumplimiento de la norma sin reflejar sus propios hallazgos. Completan una lista de verificación de factores de riesgo estándar, marcan las casillas que aplican y avanzan sin preguntar: "¿Qué tengo que hacer diferente aquí?" La NIA-ES 240.26 ordena que el auditor responda con procedimientos específicos. Si no cambia su planificación como resultado, no ha cumplido la norma.
  • Error de Tier 3: El análisis de factores de riesgo se desvincula de la evaluación de los controles internos. La NIA-ES 315 y la NIA-ES 240 usan el mismo marco de evaluación de riesgo. En la práctica, muchos auditores crean dos evaluaciones paralelas sin cruzarlas. Si identifica un factor de riesgo de oportunidad ("un solo empleado responsable de un proceso"), eso es un hallazgo de control interno que afecta a la evaluación del riesgo de distorsión.

Términos relacionados

---

  • Riesgo de distorsión material por fraude (en inglés, material misstatement due to fraud): el riesgo de que los estados financieros contengan un error material causado por manipulación intencional, no por error.
  • Triada del fraude (fraud triangle): el marco de tres elementos (incentivo, oportunidad, racionalización) que explica la motivación psicológica para cometer fraude.
  • Procedimientos de evaluación de riesgo: las técnicas que el auditor usa para recopilar información sobre la entidad, incluyendo entrevistas, observación, y análisis de la industria.
  • Comunicación de deficiencias de control: la obligación del auditor de informar a la dirección sobre debilidades significativas de control que identificó durante la auditoría.
  • Respuestas al riesgo evaluado (en inglés, responses to assessed risk): los procedimientos sustantivos y de control que el auditor diseña después de evaluar el riesgo de distorsión material.
  • Escepticismo profesional: la actitud que requiere que el auditor cuestione la evidencia y no acepte las afirmaciones de la dirección sin verificación.

Términos relacionados

Riesgo de distorsión material por fraudeTriada del fraudeProcedimientos de evaluación de riesgoComunicación de deficiencias de controlRespuestas al riesgo evaluadoEscepticismo profesional

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.