riesgo importante

Cómo funciona

La NIA-ES 315.27 define un riesgo importante como uno que requiere consideración especial de auditoría. En la práctica, esto significa que el auditor no puede limitarse a pruebas de controles: debe diseñar procedimientos sustantivos específicos que aborden directamente el riesgo identificado. El párrafo NIA-ES 330.25 establece que estos procedimientos deben ser independientes de la efectividad de los controles.
Un riesgo se considera significativo cuando la probabilidad o la magnitud de un error posible es lo suficientemente alta, o cuando las circunstancias presentan características que lo distinguen del riesgo de incorrecciones no detectadas a nivel de aseveración. Esto incluye riesgos relacionados con transacciones no habituales, estimaciones contables complejas, áreas con alto potencial de fraude, o asuntos que requieren un análisis más profundo que otros.
El auditor debe documentar la evaluación de los riesgos importantes identificados, incluyendo la razón por la que se considera significativo y los procedimientos diseñados para responder a ese riesgo en particular.

Ejemplo práctico: Productos Envasados Iberia S.L.

Cliente: Empresa de envases de plástico, sede en Barcelona, ingresos anuales 18,5 millones de euros, reportador NIIF.
Paso 1: Identificar los riesgos de aseveración
Durante la evaluación de riesgos en la fase de planificación, el equipo de auditoría identifica que la cuenta de "Provisiones por obligaciones ambientales" presenta riesgos importantes. La empresa está sujeta a nuevas regulaciones europeas sobre responsabilidad extendida del productor (REP), recientemente transpuestas a la legislación española. El importe de las provisiones es estimado por la dirección y no existe precedente comparativo en años anteriores.
Nota de documentación: En PT-320 se documenta la evaluación preliminar de riesgos, identificando la provisión ambiental como riesgo importante debido a la estimación subjetiva y la nueva norma regulatoria. Se cita NIA-ES 315.27.
Paso 2: Evaluar si los controles son suficientes
La empresa tiene un control sobre la provisión: un cálculo en hoja de cálculo que aplica un factor de coste por tonelada de producto reciclable. El auditor evalúa la efectividad del control y encuentra que:
El control existe pero su diseño no es suficiente para responder al riesgo importante. El auditor concluye que se requieren procedimientos sustantivos específicos, independientemente del funcionamiento del control.
Nota de documentación: En PT-700 (evaluación de controles sobre riesgos importantes) se documenta que, si bien existe un procedimiento de cálculo de la provisión, este no responde completamente al riesgo importante debido a las limitaciones identificadas. Se cita NIA-ES 330.25.
Paso 3: Diseñar procedimientos sustantivos para el riesgo importante
El auditor diseña procedimientos que no dependen del funcionamiento del control:
Nota de documentación: En PT-750 se documenta cada procedimiento sustantivo ejecutado (confirmación de tasas de reciclaje, revisión normativa, validación de costes). Cada procedimiento se vincula al riesgo importante identificado en PT-320. Se cita NIA-ES 330.25 como base normativa.
Paso 5: Documentar las conclusiones
Tras los procedimientos, el auditor concluye que la provisión de 2,3 millones de euros reconocida por la empresa es razonable, basada en evidencia obtenida independientemente del control interno. La documentación muestra que el auditor no confió en el control débil, sino que obtuvo evidencia directa de la razonabilidad del saldo.
Conclusión: El riesgo importante fue tratado con procedimientos sustantivos específicamente diseñados, documentando por qué cada procedimiento respondía al riesgo identificado. El auditor no pudo cumplir únicamente con pruebas del control; fue necesario el trabajo de auditoría directo.

• El factor de coste está basado en cotizaciones de enero de 2024, sin actualización.
• No existe evidencia de revisión independiente del cálculo por parte de la dirección.
• Las suposiciones sobre tasas de reciclaje no se han contrastado con datos de sectores comparables.
• Obtiene documentación externa de organismos sectoriales (Asociación Española del Plástico) sobre tasas de reciclaje esperadas y costes de gestión actuales. Contrasta los supuestos de la dirección.
• Examina las regulaciones europeas transcritas en la Ley de Responsabilidad Extendida del Productor para confirmar qué obligaciones específicas recaen sobre la empresa.
• Solicita análisis realizado por expertos externos (si los hubiera) o encarga un análisis técnico independiente sobre la razonabilidad del factor de coste unitario.
• Entrevista a la dirección sobre el proceso de estimación, documentando las suposiciones principal y el criterio aplicado.

Qué interpretan incorrectamente los revisores y auditores

• Confundir riesgo importante con riesgo de importancia relativa. Un riesgo no es significativo porque el importe sea material. La NIA-ES 315.27 se refiere a la naturaleza del riesgo (complejidad, subjetividad, potencial de fraude), no al tamaño en términos de euros. Un error pequeño en una estimación contable compleja puede ser un riesgo importante.
• Asumir que el riesgo importante requiere un procedimiento único. Revisor, FRC y otros entes han hallado que los equipos documentan "un procedimiento sustantivo" para el riesgo importante y consideran la tarea completa. La NIA-ES 330.25 no limita el número de procedimientos; puede requerirse una combinación de análisis, confirmaciones, recalculos, entrevistas.
• Documentar los procedimientos sin enlazar explícitamente con el riesgo. Auditoría práctica común: el PT-750 enumera procedimientos realizados, pero no hay evidencia de que el auditor consideró específicamente cómo cada procedimiento responde al riesgo importante documentado en PT-320. La documentación debe trazar la línea causal.

riesgo importante vs. Asunto de auditoría (KAM)

Aunque relacionados, estos términos no son sinónimos. Un riesgo importante es el juicio profesional del auditor sobre la naturaleza del riesgo durante la auditoría. Un asunto de auditoría es un asunto que fue significativo en la auditoría y, si aplica, debe comunicarse en el informe (NIA-ES 701). No todos los riesgos importantes generan un KAM, aunque la mayoría sí.
Ejemplo: si la provisión ambiental fue identificada como riesgo importante y el auditor realizó procedimientos sustantivos específicos que fueron complejos o involucraron juicio significativo, el asunto será comunicado como un KAM en el informe de auditoría. Si, por el contrario, el procedimiento fue sencillo y la conclusión fue directa, el auditor puede determinar que el asunto no es tan significativo en la auditoría global como para requerir comunicación pública.

Términos relacionados

---

• Aseveraciones de auditoría: Los objetivos específicos de auditoría a nivel de transacción y saldo donde se evalúan los riesgos importantes.
• Procedimientos sustantivos: Los procedimientos directos diseñados para responder a los riesgos importantes identificados.
• Control interno: El sistema de controles que el auditor evalúa para responder a los riesgos.
• Importancia relativa o materialidad: El umbral cuantitativo; diferente del concepto de riesgo importante, aunque relacionado.
• Asuntos de auditoría (KAM): Los riesgos importantes que resultan en hallazgos complejos y se comunican en el informe.
• NIA-ES 315: Identificación y evaluación de riesgos: La norma que gobierna la identificación completa de riesgos importantes.