aspectos central

  • El riesgo inherente depende de la naturaleza de la aseveración y la industria; el riesgo de control depende de cómo la entidad diseña y ejecuta sus procedimientos.
  • Una clase de transacciones con riesgo inherente alto (por ejemplo, cálculos actuariales complejos) puede tener riesgo de control bajo si la entidad ha establecido controles específicos y efectivos.
  • La confusión entre ambos es la fuente más frecuente de documentación incorrecta en los papeles de trabajo y de opiniones injustificadas en materia de procedimientos sustantivos.

Cómo funcionan

El riesgo inherente y el riesgo de control operan como dos componentes distintos del riesgo de auditoría, tal como establece la NIA-ES 315.4. El riesgo inherente existe independientemente de la auditoría; es una característica de la aseveración misma. Una aseveración sobre el reconocimiento de ingresos en una empresa que opera en múltiples jurisdicciones con productos complejos siempre tendrá riesgo inherente alto, porque la estimación de ingresos en esas circunstancias es intrínsecamente propensa a error.
El riesgo de control, en cambio, es específico del contexto de control de cada entidad. Una entidad puede tener riesgo inherente alto en la aseveración de ingresos, pero si ha implementado controles de detección y prevención bien diseñados (por ejemplo, una revisión de precios antes de la facturación y una conciliación mensual de facturas a efectivo recibido), el riesgo de control para esa misma aseveración puede ser bajo.
Esta distinción importa porque determina la naturaleza, alcance y temporalidad de sus procedimientos sustantivos. Si identifica riesgo inherente alto pero riesgo de control bajo, sus pruebas de control deben ser suficientes para permitirle reducir las pruebas sustantivas. Si identifica ambos como altos, usted realizará procedimientos sustantivos extensos sin importar lo que digan sus pruebas de control.

Ejemplo práctico: Constructora Ibérica S.L.

Cliente: constructora radicada en Valencia, facturación anual de 18,6 millones de euros, proyecto de viviendas en fase de ejecución, NIC-NIIF completas.
Paso 1: Evaluación del riesgo inherente en la aseveración de ingresos
La empresa reconoce ingresos por contratos de construcción a largo plazo aplicando la NIC 15. El importe total de obras en curso alcanza 12,4 millones de euros, distribuido entre cuatro desarrollos inmobiliarios con cronogramas de entrega que se extienden hasta 2026.
Usted identifica riesgo inherente alto porque:
Nota de documentación: "Riesgo inherente en aseveración de ingresos: ALTO. Fundamenta: NIC 15 requiere estimación de porcentaje de avance que es intrínsecamente subjetiva. Riesgo de que un error en la estimación de avance no sea detectado a nivel de aseveración sin procedimientos de auditoría específicos."
Paso 2: Evaluación del riesgo de control en la aseveración de ingresos
Usted realiza pruebas de controles para determinar si los sistemas de la entidad detectan o previenen errores en el reconocimiento de ingresos. Sus hallazgos:
Nota de documentación: "Riesgo de control en aseveración de ingresos: BAJO. Fundamenta: controles preventivos (aprobación de órdenes de cambio) y de detección (certificación de obra, aprobación de facturación) están diseñados y operan efectivamente para prevenir o detectar errores materiales en el reconocimiento de ingresos. Pruebas de control en 15 cambios y 4 meses confirman operación consistente."
Paso 3: Implicación para procedimientos sustantivos
Porque usted ha identificado riesgo inherente alto pero riesgo de control bajo, puede basar sus pruebas sustantivas en los controles:
Su conclusión: los ingresos reconocidos son coherentes con el avance físico de la obra documentado por el certificador técnico independiente. Los controles de la entidad funcionan como se diseñaron. El riesgo de error material en la aseveración de ingresos se reduce a un nivel aceptable.
Si, por el contrario, hubiera identificado riesgo de control alto (por ejemplo, porque las certificaciones de obra no existen, o no son realizadas por un tercero independiente), habría requerido procedimientos sustantivos mucho más extensos: auditoría de 100% de las facturas, visitas a los sitios de obra, pruebas analíticas de márgenes brutos por proyecto, y posiblemente un experto técnico externo para validar los porcentajes de avance registrados.

  • El reconocimiento de ingresos requiere estimaciones de porcentaje de avance (% de obra completada)
  • Las metodologías para medir avance (mediciones físicas, certificaciones de obra, horas de mano de obra) introducen subjetividad
  • Los cambios en el alcance de los contratos (órdenes de cambio) pueden afectar tanto el importe de ingresos como su temporalidad
  • Control preventivo: toda orden de cambio requiere aprobación escrita del director de proyecto y el director financiero antes de ser reconocida en ingresos. Usted prueba 15 cambios durante el período y encuentra que todos fueron aprobados antes del reconocimiento.
  • Control de detección: certificaciones mensuales de obra emitidas por un supervisor técnico independiente (arquitecto externo), comparadas con el porcentaje de avance registrado en el sistema contable. Usted verifica que estas certificaciones existan para cada mes del período de auditoría y que las discrepancias hayan sido investigadas.
  • Control de detección: revisión y aprobación mensual de la facturación por ingresos por parte del director financiero, comparando el importe facturado contra la certificación de obra. Usted prueba cuatro meses aleatorios y encuentra que la aprobación se registró siempre antes de enviar la factura al cliente.
  • Selecciona una muestra de 12 facturas emitidas durante el período (riesgo de muestreo moderado; Si no, sería necesario un 100% si los controles no operaran)
  • Para cada factura, obtiene la certificación de obra del arquitecto externo y verifica que el porcentaje de avance coincida con el importe facturado
  • Realiza una prueba de retroceso: para cada certificación de obra, verifica que se haya emitido una factura al cliente en el mismo período

Lo que revisores e inspectores encuentran mal

La confusión entre riesgo inherente y riesgo de control es la deficiencia más frecuente que documentan las inspecciones de calidad de auditoría en firmas medianas. El patrón típico:

  • Hallazgo de inspección internacional: Los datos de la FRC (Autoridad de Conducta Financiera, Reino Unido) en su informe de 2023 sobre auditorías de medianas empresas señalaron que el 34% de los expedientes auditados no separaban clara y consistentemente la evaluación de riesgo inherente de la evaluación de riesgo de control. Esto resulta en opiniones de auditoría que no pueden ser vinculadas a un riesgo evaluado, porque la naturaleza del riesgo (inherente o de control) no está documentada.
  • Error práctico frecuente: Un auditor documenta "riesgo de ingresos: alto" sin especificar si la evaluación se refiere a la susceptibilidad intrínseca de la aseveración a error (inherente) o a la efectividad de los controles internos (de control). Cuando realiza posteriormente pruebas de control y encuentra que los controles funcionan bien, no sabe si reduce su riesgo evaluado o si mantiene los mismos procedimientos sustantivos. La falta de claridad lleva a pruebas de control documentadas pero ignoradas en la determinación del alcance sustantivo.
  • Brecha documentada en la práctica: Muchas firmas medianas usan matrices de riesgo que listan aseveraciones y "niveles de riesgo" (alto, medio, bajo) sin dejar espacio para documentar separadamente el riesgo inherente y el de control. La solución es mantener dos evaluaciones: riesgo inherente (¿es la aseveración intrínsecamente propensa a error?) y riesgo de control (¿detectan los controles el error si ocurre?). El software de auditoría moderno requiere ambas; las plantillas de Excel heredadas a menudo no.

Riesgo inherente vs riesgo de control: comparación directa

| Aspecto | Riesgo Inherente | Riesgo de Control |
|---|---|---|
| Definición | Susceptibilidad de una aseveración a error material antes de considerar controles (NIA-ES 315.4) | Probabilidad de que los sistemas de control interno no prevengan, detecten o corrijan un error material (NIA-ES 315.4) |
| Origen | Naturaleza de la aseveración e industria | Diseño y operación de los sistemas de control de la entidad |
| Bajo qué circunstancias | Aseveraciones simples (caja, bancos), transacciones rutinarias, estimaciones no complejas | Entidad con controles bien diseñados, probados efectivos, y documentados en el sistema de información |
| Alto en qué circunstancias | Estimaciones complejas (provisiones actuariales, combinaciones de negocios), operaciones multi-jurisdiccionales, tecnología nueva | Ausencia de controles principal, sistemas heredados sin automatización, falta de segregación de funciones |
| Cómo se reduce | No se reduce; caracteriza la aseveración. Se compensa con procedimientos sustantivos extensos. | Mediante pruebas de control que demuestren operación efectiva |
| Implicación para alcance de auditoría | Riesgo inherente alto requiere procedimientos sustantivos más extensos, independientemente del riesgo de control | Riesgo de control bajo permite reducir procedimientos sustantivos si se comprueba que los controles funcionan |

Cuándo importa la distinción en un encargo

La diferencia entre riesgo inherente y riesgo de control determina si usted puede basar su estrategia de auditoría en pruebas de control o si debe realizar procedimientos sustantivos extensos sin importar los controles.
Suponga una empresa manufacturera con un saldo de inventario de 4,2 millones de euros, almacenado en tres ubicaciones geográficas. La aseveración de existencia y derechos sobre inventario tiene riesgo inherente moderado (es un activo tangible, pero requiere recuentos físicos y evaluación de obsolescencia).
Si la entidad tiene un sistema de gestión de inventario integrado con registros de entradas y salidas automáticos, recuentos cíclicos mensuales con reconciliación a registros contables, y archivos de obsolescencia revisados trimestralmente por la dirección, usted evalúa riesgo de control bajo. Puede entonces realizar procedimientos sustantivos limitados: recuento de inventario en una sola ubicación, pruebas analíticas de rotación de existencias, y revisión de cambios en la política de obsolescencia.
Si la entidad mantiene registros de inventario en hojas de cálculo de Excel, sin recuentos cíclicos, y con cambios en el saldo de inventario que no son investigados, usted evalúa riesgo de control alto. A pesar de que el riesgo inherente es el mismo, sus procedimientos sustantivos serían mucho más extensos: observación de recuentos en las tres ubicaciones, prueba de conciliación de saldos posteriores al recuento, y análisis detallado de cambios notables en categorías de inventario durante el período.

Lo que auditores y revisores pueden confundir

  • Confusión 1: Suponer que un riesgo inherente bajo significa que se necesitan menos procedimientos de auditoría. Es falso. El riesgo inherente bajo reduce la probabilidad de error, pero un riesgo de control alto aún requiere procedimientos sustantivos extensos. Ejemplo: caja (riesgo inherente bajo) sin controles de segregación de funciones (riesgo de control alto) requiere confirmaciones bancarias y conciliaciones detalladas.
  • Confusión 2: Documentar solo "riesgo evaluado: alto" sin especificar si es inherente o de control, y luego ejecutar procedimientos sustantivos estándar. Esto impide que usted ajuste su alcance sobre la base de los resultados de las pruebas de control. Si los controles funcionan bien, sus pruebas sustantivas deberían reducirse; si no están documentadas como pruebas de control, nunca sabrá si ajustar.
  • Confusión 3: Ejecutar pruebas de control extensas para una aseveración con riesgo inherente alto pero asumiendo que si los controles funcionan, puede emitir una opinión sin procedimientos sustantivos adicionales. La NIA-ES 330.7 exige procedimientos sustantivos para aseveraciones con riesgo importante, independientemente de los controles. Un riesgo inherente alto es siempre un riesgo importante.

Términos relacionados

---

  • riesgo importante: Riesgo evaluado que requiere atención especial e implica consideración de la efectividad de los controles.
  • Riesgo de auditoría: Riesgo de que usted exprese una opinión inapropiada sobre estados financieros materialmente incorrectos; combinación de riesgo de no detección, riesgo inherente y riesgo de control.
  • Pruebas de control: Procedimientos diseñados para evaluar si los sistemas de control interno previnieron o detectaron errores materiales.
  • Procedimientos sustantivos: Procedimientos diseñados para detectar errores materiales en las aseveraciones.
  • Evaluación de riesgo: Proceso de identificar y evaluar riesgos de error material a nivel de estados financieros y de aseveración.
  • Control interno: Proceso diseñado para proporcionar seguridad razonable respecto de la realización de objetivos de la entidad.

Etiquetas de interfaz

  • compareButton: Comparar riesgos
  • riskMatrixLabel: Matriz de evaluación de riesgos
  • inheritentRiskField: Riesgo inherente
  • controlRiskField: Riesgo de control
  • auditRiskCalculator: Calculadora de riesgo de auditoría
  • exportButton: Descargar matriz de riesgos
  • relatedGlossaryLink: Ver términos relacionados
  • standardReference: Referencia normativa

Términos relacionados

riesgo importanteRiesgo de auditoríaPruebas de controlProcedimientos sustantivosEvaluación de riesgoControl interno

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.