CAPÍTULO 7 - RIESGO DE AUDITORÍA

1. CONCEPTO

1.1. Definición y composición

Excepto en contadas ocasiones el auditor puede estar en condiciones de

emitir un juicio técnico con absoluta certeza sobre la validez de las
afirmaciones contenidas en los estados financieros. Esta falta de certeza
genera el concepto de riesgo de auditoría. La labor del auditor se concentrará
entonces en ejecutar tareas y procedimientos tendientes a reducir ese riesgo
a un nivel aceptable.

El riesgo de auditoría puede definirse como la posibilidad de emitir un

informe de auditoría incorrecto por no haber detectado errores o fraudes
significativos que modificarían el sentido de la opinión vertida en el informe.

La susceptibilidad a la existencia de errores o fraudes puede presentarse

a distintos niveles. Analizar su presencia ayuda a evaluar y manejar en forma
más adecuada, la implicancia que determinado nivel de riesgo tiene sobre la
labor de auditoría a realizar.

El riesgo de auditoría está compuesto por distintas situaciones o hechos

que, analizados en forma separada, ayudan a evaluar el nivel de riesgo
existente en un trabajo en particular y determinar de qué manera es posible
reducirlo a niveles aceptables.

Bajo este análisis, el riesgo global de auditoría es el resultado de la

conjunción de:

• Aspectos aplicables exclusivamente al negocio o actividad del ente,

independientemente de los sistemas de control desarrollados, lo que se
denomina riesgo inherente.

• Aspectos atribuibles a los sistemas de control, incluyendo auditoría

interna, lo que se denomina riesgo de control.

• Aspectos originados en la naturaleza, alcance y oportunidad de los

procedimientos de auditoría de un trabajo en particular, lo que se
denomina riesgo de detección.

Las dos primeras categorías de riesgo se encuentran fuera de control por

parte del auditor y son propias de los sistemas y negocios del ente. En
cambio, el riesgo de detección está directamente relacionado con la labor del
auditor.

Debe quedar claro que si bien existen formas en las que se puede
categorizar e identificar al riesgo de auditoría, lo más importante dentro de la
etapa de planificación de una auditoría de estados financieros es detectar los
factores que producen el riesgo.

Los factores de riesgo son las diversas situaciones individuales que actúan
en la determinación de su nivel. Si bien existen factores típicos para
situaciones comunes, la identificación de ellos es una tarea individual que
debe realizar el auditor al planificar su examen de auditoría.

Una vez realizada la identificación de los factores de riesgo corresponde

efectuar su evaluación. Esta tarea de evaluación se realiza en dos niveles:

• En primer lugar, referida a la auditoría en su conjunto. En este nivel se

identifica el riesgo global de que existan errores o fraudes no detectados
por los procedimientos de auditoría y que en definitiva lleven a emitir un
informe de auditoría incorrecto.

• En segundo lugar, se evalúa el riesgo de auditoría específico para cada

componente de los estados contables en particular.

La identificación de los distintos factores de riesgo, su clasificación y

evaluación permiten concentrar la labor de auditoría en las áreas de mayor
riesgo. Por ejemplo, el componente de existencias y costos de producción de
una compañía productora de distintos tipos de bienes y con complejos
sistemas de determinación de costos unitarios tendrá un riesgo mayor que el
componente de gastos pagados por adelantado que incluya pocas primas de
seguro abonadas y no devengadas. Con este simple ejemplo se puede
determinar que el componente de mayor riesgo, existencias y costos de
producción, requerirá mayor labor de auditoría que el de gastos pagados por
adelantado.

El riesgo de auditoría se reduce en la medida en que se obtenga evidencia

de auditoría que respalde la validez de las afirmaciones contenidas en los
estados contables. No obstante, cualquiera sea el grado de obtención de
validez para estas afirmaciones es inevitable que exista algún grado de
riesgo. El trabajo del auditor será entonces reducirlo a un nivel tal donde la
existencia de errores o fraudes sea lo suficientemente baja como para no
interferir en su opinión global.

1.2. Tratamiento según las Normas Internacionales de Auditoría

La NIA 315 "Identificación y análisis de los riesgos de distorsiones

significativas mediante la comprensión de la entidad y de su entorno"
establece que una de las responsabilidades del auditor es identificar y
analizar los riesgos de distorsiones significativas en los estados financieros
mediante la comprensión de la entidad y de su entorno, incluso del control
interno de la entidad.
 Indica específicamente que los mencionados riesgos de distorsiones
significativas, generados en fraudes o errores, podrán afectar a los estados
financieros y a las aseveraciones/afirmaciones que los componen.

La comprensión aludida a la entidad, a su entorno y a su control interno,

tiene por objetivo determinar las bases para diseñar e implementar
respuestas efectivas a dichos riesgos. Confirmamos de esta forma, la
importancia que esta obra otorga al real conocimiento del negocio o actividad
del ente auditado como condición previa a la realización de cualquier examen
de auditoría.

Esta norma trata a los riesgos de auditoría junto con el proceso de

evaluación del sistema de control interno ya que intenta constantemente
verificar la existencia de alguna actividad de control ante la existencia de
riesgos. Se expondrá más adelante que no necesariamente ante la existencia
de un riesgo, especialmente inherente, deba existir una relación biunívoca
con una actividad de control.

Ese constituye el principal motivo por el cual todo lo relacionado a Control

Interno se desarrolla en un capítulo independiente (Evaluación de los
controles).

2. CATEGORÍAS DE RIESGO DE AUDITORÍA

Como se mencionó en el punto anterior existen tres categorías de riesgo

de auditoría. Las mismas son:

• Riesgo inherente

• Riesgo de control

• Riesgo de detección

La comprensión de cada una de ellas ayudará al auditor a evaluar el nivel

de riesgo existente en una auditoría en su conjunto y en cada componente en
particular, para poder determinar cuál es el enfoque de auditoría apropiado a
cada situación individual.

2.1. Riesgo inherente

El riesgo inherente es la susceptibilidad de los estados financieros a la

existencia de errores o fraudes significativos, antes de considerar la
efectividad de los sistemas de control.

Por ejemplo, en una empresa de alta tecnología el riesgo inherente de la

afirmación "realización de los inventarios de existencias" será mayor que el
nivel de riesgo que se determine en la revisión de una auditoría de estados
financieros de empresas productoras de bienes con tecnología estándar.
¿Por qué es así? El riesgo que existe en la medición contable de productos
de alta tecnología lleva implícito el problema de la obsolescencia que es de
relevante importancia en ese tipo de industria y que difícilmente pueda
identificarse, reducirse o tratarse aisladamente, cualquiera sea el sistema de
control que la empresa establezca.

El riesgo inherente está totalmente fuera de control por parte del auditor.
Difícilmente se puedan tomar acciones que tiendan a eliminarlo porque es
propio de la operatoria del ente.

2.1.1. Factores que determinan el riesgo inherente

Entre los factores que determinan la existencia de un riesgo inherente se

pueden mencionar:

• La naturaleza del negocio del ente: el tipo de operaciones que se realizan

y el riesgo propio de esas operaciones; la naturaleza de sus productos y
volumen de transacciones.

El riesgo inherente que tiene una compañía petrolera de exploración y

explotación, el de una industria de tecnología avanzada o el de una empresa
con operaciones reducidas y pocos productos y un mercado totalmente
transparente decididamente son distintos.

• La situación económica y financiera del ente.

El riesgo de auditoría de una pujante empresa productora con altos niveles

de ganancias y sólida posición económico-financiera no será el mismo que el
de una empresa con graves problemas financieros y baja rentabilidad
económica que comprometa la vigencia del principio de empresa en marcha.

• La organización gerencial y sus recursos humanos y materiales; la

integridad de la gerencia y la calidad de los recursos que el ente posee.

La predisposición de los niveles gerenciales a establecer adecuados y

formales sistemas de control, su nivel técnico y la capacidad demostrada en
el personal clave, son elementos que deben evaluarse al medir el riesgo
inherente.

2.2. Riesgo de control

El riesgo de control es el riesgo de que los sistemas de control estén

incapacitados para detectar o evitar errores o fraudes significativos en forma
oportuna.

Por ejemplo, dentro del componente de Ingresos por ventas y Cuentas a

cobrar, distinto será el nivel de riesgo de control de una empresa con un
complejo sistema de verificación de créditos a los clientes antes de continuar
las operaciones de venta que el de otra que no realiza estos controles y, por
lo tanto, está más expuesta a que sus cuentas a cobrar puedan ser
consideradas incobrables.

Este tipo de riesgo también está fuera del control de los auditores, pero eso
sí, las recomendaciones resultantes del análisis y evaluación de los sistemas
de información, contabilidad y control que se realicen van a ayudar a mejorar
los niveles de riesgo en la medida en que se adopten tales recomendaciones.

Además, la existencia de bajos niveles de riesgo de control, lo que implica

que existan buenos procedimientos en los sistemas de información,
contabilidad y control puede ayudar a mitigar el nivel de riesgo inherente
evaluado en una etapa anterior.

2.2.1. Factores que determinan el riesgo de control

Los factores que determinan el riesgo de control están presentes en el

sistema de información, contabilidad y control. La tarea de evaluación del
riesgo de control está íntimamente relacionada con el análisis de estos
sistemas, tema tratado en el capítulo "Evaluación de los controles".

La existencia de puntos débiles de control implicaría "a priori" la existencia

de factores que incrementan el riesgo de control y, al contrario, puntos fuertes
de control serían factores que reducen el nivel de este riesgo.

2.3. Evolución y transformación de los factores de riesgo

Los factores de riesgo y su clasificación entre "inherentes" o "de control"

evolucionan en el tiempo y pueden transformarse según las circunstancias.
Muchos años atrás, en el desarrollo ordinario de una auditoría, si se estaba
examinando un ente con operaciones en diversas localidades físicas, por
ejemplo con establecimientos productivos en diferentes lugares de un país y
con distintos centros de comercialización en ese mismo país, se definía que
desarrollar y aplicar un sistema electrónico de información en todas esas
localidades implicaba necesariamente un riesgo inherente ya que a pesar del
mejor diseño que se podía hacer del sistema, su complejidad determinaba
riesgos originados en que difícilmente se podía asegurar que fuera operado
de la misma forma en todos los lugares. Hoy el desarrollo de la tecnología
informática ha avanzado tanto que desarrollar e implementar dichos sistemas
demandan costos significativamente menores, pudiendo incluir
cómodamente costos de capacitación adecuados para hacer desaparecer
dicho riesgo. Dicho factor de riesgo, en la actualidad, se asocia más a un
riesgo de control que a un riesgo inherente.

Esto permite otra deducción: muchas veces ante la dificultad en determinar

si un factor de riesgo es un riesgo inherente o un riesgo de control, se puede
apelar al análisis del costo/beneficio para el desarrollo del control. De esta
manera se podría generalizar que si el costo del desarrollo y aplicación de un
control es mayor a los beneficios que se podrían obtener de su utilización, se
está frente a un riesgo inherente. Si los beneficios del control fueran mayores
al costo de su implementación, y el mismo no existiera, se está frente a un
riesgo de control.

2.4. Riesgo de detección

El riesgo de detección es el riesgo de que los procedimientos de auditoría

seleccionados no detecten errores o fraudes existentes en los estados
contables.

Por ejemplo, errores en la definición de una muestra en la circularización

de saldos de proveedores, o en la definición del periodo de análisis de pagos
posteriores pueden implicar conclusiones erróneas en cuanto a la validez de
la integridad de las cuentas a pagar.

A diferencia de los dos riesgos mencionados anteriormente, el riesgo de

detección es totalmente controlable por la labor del auditor y depende
exclusivamente de la forma en que se diseñen y lleven a cabo los
procedimientos de auditoría.

Al igual que el desarrollo y la aplicación efectiva de un buen sistema de

control mitigan la existencia de altos niveles de riesgo inherente, el riesgo de
detección es la última y única posibilidad de mitigar altos niveles de riesgos
inherentes y de control.

2.4.1. Factores que determinan el riesgo de detección

Los factores que determinan el riesgo de detección están relacionados con:

• La ineficacia de un procedimiento de auditoría aplicado.

• La mala aplicación de un procedimiento de auditoría, resulte éste eficaz o

no.

• Problemas de definición de alcance y oportunidad en un procedimiento de

auditoría, haya sido bien o mal aplicado. Este factor se relaciona con la
existencia de muestras no representativas.

El auditor no examina el 100% de las transacciones de un ente, sino que

se basa en el trabajo realizado sobre una muestra y extiende esos resultados
al universo de las transacciones. La mala determinación del tamaño de la
muestra puede llevar a conclusiones erróneas sobre el universo de esas
operaciones.

2.5. Categorías o componentes de los riesgos de auditoría según las Normas

Internacionales de Auditoría

Si bien es la NIA 315 la que desarrolla los riesgos de auditoría, refiriéndose

a ellos como riesgos de distorsiones significativas, la NIA 200 "Objetivo y
principios generales que rigen la auditoría de estados financieros",
mencionada en otros capítulos, define que el riesgo de declaración inexacta
respecto de las afirmaciones está compuesto por el riesgo inherente y el
riesgo de control, en el mismo sentido de la presente obra.

Esta última norma define al riesgo inherente como la susceptibilidad de una

aseveración a una declaración inexacta que podría ser significativa, en forma
individual o en conjunto con otras declaraciones inexactas, en el supuesto de
que no existieran controles relacionados. Establece, entre otros aspectos,
que las circunstancias externas que dan origen a riesgos comerciales pueden
influir en el riesgo inherente.

La NIA 200 establece también que el riesgo de control es el riesgo de que

el control interno de la entidad no prevenga, detecte ni corrija en forma puntual
cualquier declaración inexacta que pudiera ocurrir en una aseveración y que
podría ser significativa, en forma individual o bien en conjunto con otras
declaraciones inexactas.

Ahora bien, siendo la NIA 315 la que se refiere en detalle a los riesgos de
distorsiones significativos, define en todo su texto a los riesgos comerciales,
sin hacer distinción entre los riesgos inherentes y los riesgos de control.

Esta norma define a los riesgos comerciales como el producto de

condiciones, hechos, circunstancias, acciones u omisiones significativas que
podrían afectar seriamente la capacidad de una entidad para concretar sus
objetivos e implementar sus estrategias; o un riesgo producto de una
incorrecta definición de objetivos y estrategias. Al intentar aclarar la definición,
establece que el riesgo comercial es un concepto más amplio que el riesgo
de distorsiones significativas en los estados financieros, aunque el riesgo
comercial abarca a este último. El riesgo comercial puede ser resultado de
cambios o de la complejidad. No detectar la necesidad de cambios también
puede generar riesgos comerciales. El riesgo comercial podrá tener origen,
por ejemplo, en:

• El desarrollo de nuevos productos o servicios que pueden llegar a

fracasar.

• Un mercado que, aunque se pueda desarrollar con éxito, es insuficiente

para sostener un producto o servicio; o

• Defectos o fallas en un producto o servicio que puedan derivar en

responsabilidades y poner en riesgo la reputación de la entidad.

La comprensión de los riesgos comerciales que enfrenta el ente auditado

aumenta las probabilidades de identificar riesgos de distorsiones
significativas, ya que la mayoría de los riesgos comerciales tendrán
consecuencias financieras y, consecuentemente, un efecto en los estados
financieros. En línea con dicho concepto, no todos los riesgos comerciales
dan origen a riesgos de distorsiones significativas.

En síntesis, la NIA se explaya y ejemplifica profusamente a los riesgos

comerciales, los cuales en su mayoría en la presente obra forman parte de
los "riesgos inherentes". Los autores entienden que esta falta de continuación
de la línea conceptual de la NIA 200 posiblemente provenga de las
intenciones básicas de unificar a las normas de auditoría en un solo texto
normativo de posible aplicación en la mayoría de los países que adhieran a
las mismas. El transcurso del tiempo y la aplicación por parte de la profesión
de las normas internacionales de auditoría ayuden probablemente a corregir
estas leves inconsistencias.

La NIA 200 taxativamente indica que las normas internacionales en su

conjunto no hacen alusión al riesgo inherente y al riesgo de control por
separado, sino que se refieren al análisis combinado del "riesgo de
declaración inexacta significativa". También indica que el auditor puede
realizar análisis individuales o combinados del riego inherente y de control,
según las técnicas o metodologías de auditoría que prefiera y las
consideraciones prácticas.

Los autores entienden necesario continuar diferenciando claramente a los

riesgos inherentes de los de control a los efectos de la selección de los
procedimientos de auditoría, como se lo indicará más adelante.

Por otro lado, se considera plausible que la norma haya mencionado que
cuando el auditor haya determinado que existe un riesgo significativo, deberá
analizar los controles de la entidad, incluso las actividades de control,
relevantes para dicho riesgo, como responsabilidad de la gerencia. Si bien no
se explaya directamente sobre riesgos inherentes y de control, lo hace en
forma indirecta.

La NIA 200 define al riesgo de detección en la misma forma que lo hace la

presente obra: es el riesgo de que el auditor no detecte la inexactitud que
existe en una aseveración y que podría ser significativa, ya sea
individualmente o cuando se la sume a otras declaraciones inexactas.

3. EVALUACIÓN DEL RIESGO DE AUDITORÍA

3.1. Evaluación conceptual

La evaluación del riesgo de auditoría es el proceso por el cual, a partir del

análisis de la existencia e intensidad de los factores de riesgo, se mide el nivel
de riesgo presente en cada caso.

El nivel del riesgo de auditoría suele medirse en cuatro grados posibles.

Estos son:
 —Mínimo

—Bajo

—Medio

—Alto

En algunas circunstancias quizá resulte poco clara esta clasificación, por lo

que muchas veces la evaluación del nivel de riesgo se limita a determinar un
riesgo alto o bajo.

La tarea de evaluación está presente en dos momentos de la planificación

de auditoría.

• Planificación estratégica: en esta etapa se evalúa el riesgo global de

auditoría relacionado con el conjunto de los estados contables y, además,
se evalúa el riesgo inherente y de control de cada componente en
particular.

• Planificación detallada: En esta etapa se evalúa el riesgo inherente y de

control específico para cada afirmación en particular, dentro de cada
componente.

La evaluación del nivel de riesgo es un proceso totalmente subjetivo y

depende exclusivamente del criterio, capacidad y experiencia del auditor.
Además, es la base para la determinación del enfoque de auditoría a aplicar
y la cantidad de satisfacción de auditoría a obtener. Por lo tanto, debe ser un
proceso cuidadoso y realizado por quienes posean la mayor capacidad y
experiencia en un equipo de trabajo.

No obstante ser un proceso subjetivo, hay formas de tratar de estandarizar

o disminuir esa subjetividad. En ese sentido, se tratan de medir tres
elementos que, combinados, son herramientas a utilizar en el proceso de
evaluación del nivel de riesgo. Esos elementos son:

• La significatividad del componente (saldos y transacciones).

• La existencia de factores de riesgo y su importancia relativa.

• La probabilidad de ocurrencia de errores o fraudes básicamente obtenida

del conocimiento y la experiencia anterior de ese ente.

La combinación de los posibles estados de estos tres elementos brindan

un marco para evaluar el riesgo de auditoría.

Un nivel de riesgo mínimo estaría conformado cuando en un componente

poco significativo no existan factores de riesgo y donde la probabilidad de
ocurrencia de errores o fraudes sea remota.
 Cuando en un componente significativo existan factores de riesgo pero no
demasiado importantes y la probabilidad de existencia de errores o fraudes
sea baja —improbable—, ese componente tendrá una evaluación de riesgo
bajo.

Un componente claramente significativo, donde existen varios factores de

riesgo y es posible que se presenten errores o fraudes, será de un riesgo
medio.

Por último, un componente tendrá un nivel de riesgo alto cuando sea

claramente significativo, con varios factores de riesgo, algunos de ellos muy
importantes y donde sea totalmente probable que existan errores o fraudes.

La tabla siguiente esquematiza estos conceptos:

Nivel de Probabilidad de ocurrencia de
Significatividad Factores de riesgo
riesgo errores

Mínimo No significativo No existen Remota

Existen algunos pero poco

Bajo Significativo Improbable
importantes

Muy
Medio Existen algunos Posible
Significativo

Muy
Alto Existen varios y son importantes Probable
Significativo

El proceso de evaluación tratará de ubicar a cada componente en alguna

de estas categorías. Es claro entender que seguramente algún componente
reúna las tres categorías presentadas, pero no todas del mismo nivel.

Por ejemplo, Activo Fijo suele ser un componente claramente significativo

para los estados contables en su conjunto pero, normalmente, no presenta
muchos factores de riesgo y la probabilidad de existencia de errores es
improbable o remota.

En el otro extremo, los saldos de anticipos de sueldos pueden ser muy poco
significativos pero estar muy mal controlados, siendo la posibilidad de
existencia de errores totalmente probable.

En estas circunstancias, como en muchas otras, debe apelarse al criterio

del auditor. Es el único que en cada caso particular determinará qué nivel de
riesgo corresponde medir.

3.2. Evaluación según las normas internacionales de auditoría

La NIA 315 "Identificación y análisis de los riesgos de distorsiones

significativas mediante la comprensión de la entidad y de su entorno" no
efectúa una clasificación, quizás, tan específica como la expuesta en el
cuadro anterior sino que, establece que al momento de determinar qué
riesgos se pueden considerar riesgos significativos, el auditor tendrá en
cuenta por lo menos lo siguiente:

• Si es un riesgo de fraude;

• Si tiene relación con recientes hechos significativos, ya sean contables,

económicos o de cualquier otra naturaleza y por lo tanto requiera atención
específica;

• La complejidad de las operaciones;

• Si involucra operaciones significativas con terceros relacionados;

• El grado de subjetividad en la medición de la información financiera

relacionada con el riesgo, especialmente aquellas mediciones que
involucran un alto grado de incertidumbre; y

• Si involucra operaciones significativas que se encuentran fuera del curso

normal de los negocios de la entidad o que de alguna forma parecen ser
inusuales.

Los autores entienden aceptable el concepto vertido por las normas

internacionales ya que la definición en sí de los riesgos de auditoría no deja
de ser un concepto subjetivo, que dependerá del criterio de cada profesional
interviniente. La práctica ha desarrollado el concepto de evaluación de los
riesgos de diversas formas, permitiendo el texto de la norma la inclusión de
la mayoría de dichas prácticas.

Entre los procedimientos de análisis y evaluación de los riesgos que la NIA

315 establece, se pueden mencionar:

• Indagaciones a la gerencia y a otros miembros de la entidad que a criterio

del auditor puedan tener información útil para identificar los riesgos de
distorsiones significativas debido a fraude o error

• Procedimientos analíticos que identifican la existencia de operaciones o

hechos atípicos y la existencia de cantidades, índices y tendencias que
podrían indicar cuestiones que tienen consecuencias sobre la auditoría
(La NIA 520 se refiere específicamente a este procedimiento).

• Observación e inspección que refuerzan las indagaciones y pueden

brindar información sobre la entidad y su entorno.

La norma también establece que el auditor para comprender la entidad y

su entorno deberá entender los siguientes aspectos:

• Factores relevantes de la industria, normativos y otros, incluyendo el

marco aplicable de presentación de información financiera
 • La naturaleza de la entidad, incluyendo sus operaciones, la estructura de
su capital social y de la dirección, los tipos de inversiones que la entidad
realiza o las que tiene intención de realizar y la manera en que la entidad
está estructurada y cómo funciona

• La selección y aplicación de políticas contables que realiza la entidad,

incluyendo las razones para los cambios de las mismas

• Los objetivos y las estrategias de la entidad y todos aquellos riesgos

comerciales relacionados que pudiesen provocar riesgos de distorsiones
significativas.

• La medida y revisión de desempeño financiero de la entidad.

La comprensión del entorno de control interno se encuentra desarrollada

en el capítulo de "Evaluación de los controles"

4. RELACIÓN ENTRE RIESGO DE AUDITORÍA Y ENFOQUE DE AUDITORÍA

La evaluación del riesgo de auditoría va a estar directamente relacionada

con la naturaleza, oportunidad y alcance de los procedimientos de auditoría
a aplicar. Dicho de otra manera, de la evaluación de los niveles de riesgo
depende la cantidad y calidad de la satisfacción de auditoría necesaria.

4.1. Efecto del riesgo inherente

El riesgo inherente afecta directamente la cantidad de evidencia de

auditoría necesaria para obtener la satisfacción de auditoría suficiente para
validar una afirmación. Cuanto mayor sea el nivel del riesgo inherente, mayor
será la cantidad de evidencia de auditoría necesaria. Esta cantidad puede
estar representada tanto en el alcance de cada prueba en particular como en
la cantidad de pruebas necesarias. Difícil es pensar que un riesgo inherente
alto pueda ser reducido con una sola prueba de auditoría, aunque ésta fuese
de gran alcance. Al contrario, un riesgo inherente mínimo puede ser tratado
con un solo procedimiento de carácter global.

El siguiente cuadro esquematiza lo explicado.

4.2. Efecto del riesgo de control

El riesgo de control afecta la calidad del procedimiento de auditoría a

aplicar y en cierta medida también su alcance. El riesgo de control depende
de la forma en que se presenta el sistema de controles del ente. En términos
generales, si los controles vigentes son fuertes, el riesgo de que existan
errores no detectados por los sistemas es mínimo y, en cambio, si los
controles son débiles, el riesgo de control será alto, pues los sistemas no
estarán capacitados para detectar esos errores o fraudes y la información que
brinden no será confiable.

Por lo tanto, un riesgo de control mínimo o bajo implica la existencia de

controles fuertes. Si los controles son fuertes, o sea están correctamente
diseñados, verificar que funcionen adecuadamente en la práctica brindará un
grado elevado de satisfacción de auditoría. Dicho en otros términos, se puede
depositar confianza derivada de los controles.

Si en cambio, los controles son débiles, el resultado de su prueba no sería

satisfactorio y debería complementarse con pruebas de transacciones y
saldos. Por ese motivo y para evitar duplicación de trabajo, ante riesgos de
control medios o altos, corresponderá aplicar pruebas sustantivas.

El siguiente cuadro esquematiza lo explicado:

4.3. Combinación de riesgo inherente y de control

La combinación de los niveles de riesgo inherente y de control, da la

cantidad y calidad de procedimientos de auditoría a aplicar.

En una matriz que mida los riesgos inherentes y los riesgos de control se
puede establecer en forma clara la relación existente entre ambos.

Para ello se analizará el siguiente cuadro:

Del nivel de riesgo inherente depende la cantidad de satisfacción de

auditoría necesaria y del nivel del riesgo de control la calidad de la misma.
Teniendo en cuenta estos parámetros generales corresponde analizar qué
sucede en cada una de las situaciones planteadas en el cuadro.

En principio, midiendo el nivel de riesgo inherente, en los casos 1 y 2 se

deberá obtener mayor satisfacción de auditoría que en los casos 3 y 4. A su
vez, cualquiera sea el riesgo de control, a medida que el riesgo inherente se
acerque a 3 ó 4 (se reduzca), la cantidad de procedimientos a aplicar y su
alcance también lo harán.

Respecto a los niveles de riesgo de control, en 1 y 3 existen buenos

controles en los que confiar y en 2 y 4 estos controles no son confiables.

Por lo tanto, en los casos 1 y 3 son factibles de aplicar procedimientos de

cumplimiento mientras que en 2 y 4 resultará más eficaz y eficiente emplear
procedimientos sustantivos. La importancia relativa de los procedimientos
sustantivos será mayor cuanto más se acerque al entorno de los casos 2 y 4.

Combinando ahora ambos riesgos resulta:

Caso 1: Alto riesgo inherente; mínimo riesgo de control: corresponde

aplicar pruebas de cumplimiento (por el riesgo de control) que brinden
suficiente satisfacción de auditoría (por el riesgo inherente).

Caso 2: Alto riesgo inherente y de control. Corresponde aplicar pruebas

sustantivas (por el riesgo de control) con un alcance extenso (por el riesgo
inherente).

Caso 3: Mínimo riesgo inherente y de control: como ambos riesgos son

mínimos, es decir, la probabilidad de ocurrencia de errores es remota, no
corresponde asignar demasiados esfuerzos de auditoría a este caso.
Seguramente será suficiente la aplicación de algún procedimiento analítico
global.

Caso 4: Mínimo riesgo inherente y alto riesgo de control. No es necesario

aplicar extensas pruebas (por el riesgo inherente) pero, como existen
problemas de control, será oportuno practicar algún procedimiento sustantivo
tendiente a reducir el riesgo del área que presente el problema.

El lector interpretará que difícilmente en la práctica se presenten

situaciones tan claras y probablemente la mayor parte de ellas sean
situaciones intermedias. En esos casos, como en tantos otros, la única
solución posible es aplicar el criterio y experiencia del profesional que, basado
en los principios generales que aquí se detallan, podrá medir y determinar
cuál es la cantidad y calidad de auditoría suficiente para obtener la
satisfacción necesaria en cada caso.

5. EVALUACIÓN DEL RIESGO DE DETECCIÓN

Pareciera ser que en el análisis presentado ha quedado en el olvido el

riesgo de detección. Por supuesto que no.

El riesgo de detección es la posibilidad de que los procedimientos de

auditoría no detecten errores o fraudes existentes en los estados contables.
Se mencionó también que este riesgo es propio del auditor y depende
exclusivamente de él.

Por lo tanto, en la medida en que se pretenda emitir una opinión correcta,

deberán evaluarse los elementos de juicio necesarios y los procedimientos
de auditoría deben detectar todos los errores o fraudes existentes, o al menos
los significativos. En este sentido, no cabe otra posibilidad que el riesgo de
detección sea reducido a niveles mínimos o bajos. Evaluaciones de otro tipo
podrían originar situaciones de limitaciones en el alcance o, simplemente,
opiniones erróneas.

6. RESPUESTA DEL AUDITOR A LOS RIESGOS ANALIZADOS

La NIA 330 "Respuestas del auditor a los riesgos analizados" se refiere a

las responsabilidades del auditor de diseñar e implementar respuestas a los
riesgos de distorsiones significativas, identificados y analizados por el auditor
según la NIA 315 para obtener elementos de juicio válidos y suficientes sobre
dichos riesgos.

Estos conceptos fueron desarrollados en el capítulo de "Evidencia y

procedimientos de auditoría"

7. TEMAS AMBIENTALES EN LA AUDITORÍA DE ESTADOS FINANCIEROS

Los temas ambientales adquieren cada vez más mayor importancia en la

auditoría de estados financieros como consecuencia de que los mismos los
han afectado en un número considerable de empresas.

Uno de los pronunciamientos internacionales que se abocó a esta temática

es la Declaración Internacional sobre Prácticas de Auditoría 1010
"Consideración de Temas Ambientales en la Auditoría de Estados
financieros". Se debe recordar que las Declaraciones Internacionales de
Prácticas de Auditoría (DIPA) son emitidas por la Junta Internacional de
Normas de Auditoría y Seguridad (IAASB), que forma parte de la Federación
Internacional de Contadores (IFAC), para proporcionar guías de
interpretación y ayuda a los contadores profesionales para implementar las
NIA y para promover la buena práctica.

La DIPA 1010 establece que cuando los temas ambientales son

significativos para un ente, puede existir el riesgo de distorsión significativa o
de información insuficiente en los estados financieros como consecuencia de
dichos temas. Bajo esta circunstancia, el auditor necesita considerar los
aspectos ambientales en la auditoría de dichos estados.

Esta Declaración brinda ayuda práctica a los auditores mediante la

descripción de:
 • Las principales consideraciones del auditor en una auditoría de estados
financieros con respecto a temas ambientales;

• Ejemplos de posibles efectos de estos temas en los estados financieros;

• Pautas que el auditor puede tener en cuenta con la finalidad de determinar

la naturaleza, la oportunidad y el alcance de los procedimientos de
auditoría, aplicando las normas de la NIA 315 para el conocimiento de la
actividad; lo establecido por las NIAs 315 y 330 para el análisis de los
riesgos, del control interno y de los procedimientos a aplicar en
consecuencia; los preceptos de la NIA 250 para la consideración de las
leyes y reglamentos involucrados y lo estipulado por la NIA 620 para el
uso del trabajo de un experto.

La Declaración define como temas ambientales a los siguientes:

• Iniciativas para impedir, disminuir o remediar los daños al ambiente o

tratar de conservar los recursos renovables y no renovables, exigidas por
leyes y reglamentos, por contratos o emprendidas en forma voluntaria;

• Consecuencias por violar leyes y reglamentos ambientales;

• Consecuencias del daño ambiental causado a otros o a los recursos

naturales; y

• Consecuencias de la responsabilidad indirecta por hechos de terceros

impuesta por ley.

En las pautas para la aplicación de la NIA 315 respecto del conocimiento

de la actividad, la DIPA establece con claridad que si bien el nivel de
conocimiento del auditor con respecto a estos temas es menor que el que
generalmente tiene la gerencia o los expertos en temas ambientales, el
mismo debe ser suficiente para permitirle identificar y comprender los hechos,
las operaciones y las prácticas relacionadas con temas ambientales que
pueden tener un efecto importante sobre los estados financieros. Si bien
podrá utilizar los servicios de expertos, como se indica más adelante, deberá
adquirir un conocimiento mínimo indispensable. Nuevamente los autores de
la presente obra hacen énfasis que esto no es sino otro aspecto más del
profundo conocimiento que el auditor debe tener del negocio o actividad
principal del ente auditado.

Si bien ciertas industrias tales como la química, la del petróleo y gas, la

farmacéutica, la metalúrgica, la minera, la de servicios públicos y las que
utilizan fuentes de energía atómica, tienden a estar expuestas a un riesgo
ambiental significativo, el resto de las actividades también pueden estar
expuestas. La posible exposición a un riesgo ambiental significativo en
general puede hacer que una entidad:
 • Esté sujeta a leyes y reglamentos ambientales en forma significativa;

• Posea o tenga una garantía respecto de sitios contaminados por

propietarios anteriores; o

• Realice procesos que pueden causar la contaminación del suelo y del

agua subterránea, del agua de la superficie o del aire; utilicen sustancias
peligrosas; generen o procesen residuos peligrosos; o puedan tener un
efecto negativo sobre clientes, empleados o personas que vivan en los
alrededores de las plantas industriales.

En las pautas para la aplicación de las NIAs 315 y 330 referidas al análisis
de los riesgos, el control interno y las respuestas del auditor a los mismos, la
DIPA brinda ejemplos del posible análisis del auditor sobre temas
ambientales respecto de:

• El análisis del riesgo inherente;

• Los sistemas de contabilidad y de control interno;

• El entorno de control; y

• Los procedimientos de control.

En este sentido la DIPA establece que el riesgo ambiental puede ser un

componente de riesgo inherente, mencionando entre otros ejemplos a los
siguientes:

• El riesgo de los costos de cumplimiento que surgen de la legislación o de

los requerimientos contractuales;

• El riesgo de incumplimiento de leyes y reglamentos ambientales; y

• Los posibles efectos de los requisitos ambientales específicos de los

clientes y sus posibles reacciones ante la conducta ambiental de la
entidad.

Vemos una vez más cómo la normativa sigue manteniendo a los conceptos
de riesgos inherentes y riesgos de control en forma independiente, sin llegar
a unificarlos en riesgos comerciales a los cuales se refieren las NIAs 315 y
330. Si bien esto puede provenir del hecho de que la DIPA 1010 fue emitida
con anterioridad al reordenamiento de las NIAs efectuado por el Proyecto
Claridad, el cual incluye a las NIAs 315 y 330 que se refieren a los riesgos
comerciales con exclusividad. Se recuerda que esas mismas normas
establecen que se pueden aplicar indistintamente (unificados o desdoblados
en sus dos componentes).
 Retornando al tema principal, se debe recordar que es responsabilidad de
la Gerencia diseñar y aplicar controles internos, incluyendo los aspectos
ambientales. La forma en que lo hace puede diferir:

• Las entidades con baja exposición al riesgo ambiental monitorean y

controlan sus aspectos ambientales como parte de sus sistemas
normales de contabilidad y de control

• Otras entidades que operan con una alta exposición al riesgo ambiental
diseñan y aplican sistemas de control independiente con esta finalidad
que se adaptan a los Sistemas de Gestión Ambiental (EMS), constituidos
por la norma ISO 14001 emitida por la Organización Internacional para la
Estandarización, Ginebra, Suiza.

• Otras entidades diseñan un sistema de control integrado que abarca

políticas y procedimientos relacionados con temas contables,
ambientales y otros.

El auditor sólo necesita comprender las políticas y procedimientos relativos

a temas ambientales si a su criterio dichos temas pueden tener un efecto
significativo sobre los estados financieros de la entidad. De la misma forma
deberá comprender el ambiente de control de la entidad y los procedimientos
de control ambiental. Entre otros, se mencionan los siguientes controles
ambientales:

• Monitoreo del cumplimiento de la política ambiental y de la legislación

respectiva;

• Mantenimiento de un sistema de información ambiental (registro de

cantidades físicas de emisiones y residuos peligrosos, reclamos de partes
interesadas, resultados de inspecciones, efectos de incidentes, etc.);

• Conciliación de la información ambiental con los datos financieros

(producción de residuos en relación con el costo de su eliminación); e

• Identificación de posibles temas ambientales y las respectivas

contingencias.

Luego de dichos procedimientos, el auditor podrá tener la necesidad de

evaluar la existencia de riesgos de control vinculados.

Como consecuencia de que el riesgo ambiental ha sido claramente

identificado como inherente, los principales procedimientos de auditoría serán
sustantivos. Los mismos se encuentran ejemplificados en el Apéndice 2 de la
DIPA 1010.

En el transcurso de la auditoría, incluyendo la etapa de conocimiento,

detección de riesgos inherentes y de control y desarrollo de las pruebas
sustantivas, pueden surgir elementos de juicio que indiquen la existencia del
riesgo de distorsiones significativas en los estados financieros debido a temas
ambientales. Entre otros, se pueden mencionar los siguientes casos:

• Informes sobre problemas ambientales de expertos, auditores internos o

auditores ambientales;

• Infracciones a la legislación mencionadas por entes de control;

• Inclusión de la entidad en registros para la restauración de elementos

contaminados;

• Cartas de abogados con mención a temas ambientales;

• Compras inusuales de bienes y servicios relacionados con temas

ambientales;

• Honorarios inusuales de consultores legales o ambientales o pagos de

multas relacionadas.

Cuando el auditor se encuentre con dicha situación, deberá volver a evaluar

los riesgos inherentes y de control y si se generó un riesgo de detección.
Podrá, si fuera necesario, consultar a un experto en temas ambientales.

El auditor podrá utilizar los resultados de los trabajos efectuados por

expertos en temas ambientales que fueran contratados directamente por la
entidad, pero podrá existir la posibilidad de que tenga que contratar a otro
experto para analizar dicho trabajo, aplicar procedimientos adicionales o
afectar su informe sobre los estados financieros.

El auditor también podrá considerar la posibilidad de usar las

determinaciones de las auditorías ambientales como elementos de juicio de
auditoría. En tal caso deberá aplicar las normas de la NIA 610 "Consideración
del trabajo de la Auditoría Interna" o de la NIA 620 "Uso del trabajo de un
experto".

Obviamente el auditor podrá requerir la inclusión de los siguientes temas

en la Declaración o Carta de la Gerencia:

• Que no tiene conocimiento de ninguna contingencia significativa que surja

de temas ambientales, incluyendo los que resulten de actos ilegales;

• Que no tiene conocimiento de ningún otro tema ambiental que pueda

tener incidencia significativa en los estados financieros; o

• Si tuviera conocimiento de dichos temas, que los ha expuesto/mostrado

en forma adecuada en los estados financieros.
 Finalmente la DIPA 1010 establece que si existen incertidumbres
significativas o información inapropiada en los estados financieros debido a
temas ambientales, incluyendo la posibilidad de haber afectado el supuesto
de empresa en marcha, el auditor deberá aplicar en su totalidad las
disposiciones de la NIA 700 "Informe del auditor independiente sobre un
conjunto completo de estados financieros de propósito general" y de la NIA
570 "Empresa en marcha".

El apéndice 1 de la mencionada declaración incluye un listado de preguntas

ilustrativas a efecto de tomar conocimiento de la actividad de la empresa
desde un punto de vista ambiental.