Cómo funciona el modelo
de riesgo de auditoría
La naturaleza del riesgo
de auditoría
El riesgo de auditoría es
el riesgo de que un auditor exprese una opinión incorrecta sobre estados
financieros que contienen errores materiales. Dado que los auditores pueden ser
demandados por esto (y perderán el caso judicial y tendrán que pagar),
necesitan una herramienta para reducir el riesgo.
Podrían reducir el riesgo
de auditoría por la fuerza bruta, lo que significa examinar cada una de las
transacciones del cliente. Pero eso sería increíblemente caro. Por eso, en su
lugar, tienen el modelo de riesgo de auditoría. Este modelo calcula la cantidad
total de riesgo asociado con una auditoría dividiéndola en tres partes. Existe
el riesgo de control, que es el riesgo de que los sistemas de control de un
cliente no detecten o eviten errores materiales. Este es un riesgo importante,
ya que los auditores pueden confiar en un buen sistema de control y reducir
considerablemente sus procedimientos de auditoría. Pero si el sistema de
control apesta, entonces los auditores deben compensarlo con más
procedimientos.
Y luego está el riesgo
inherente, que es el riesgo de que los estados financieros de un cliente sean
susceptibles de errores materiales en ausencia de controles internos. Esto
puede ser un problema en un negocio complejo, y especialmente en aquellos en los
que hay mucho juicio involucrado en la toma de decisiones, porque una persona
sin experiencia tiene más probabilidades de cometer un error. También hay más
riesgo inherente cuando una empresa se ocupa de muchas transacciones no
rutinarias, para las que no hay procedimientos. El mismo problema: una persona
sin experiencia podría arruinarlas. En resumen, una empresa con riesgo
inherente está estructurada de tal manera que las cosas pueden salir mal.
Y finalmente, está el
riesgo de detección. Este es el riesgo de que los procedimientos de auditoría
que se utilicen no sean capaces de detectar un error material. El auditor puede
controlar el riesgo de detección añadiendo más procedimientos, o al menos,
procedimientos relevantes. Esta es la variable principal. El auditor puede
aumentar los procedimientos cuando los otros dos riesgos parecen malos, o
reducirlos cuando los otros niveles de riesgo parecen bastante bajos.
Entonces, el modelo de
riesgo de auditoría establece que se multiplica el porcentaje evaluado de
riesgo de control por el porcentaje evaluado de riesgo inherente y por el
porcentaje evaluado de riesgo de detección, y eso da como resultado el
porcentaje de riesgo de auditoría.
En otras palabras, si
alguno de estos riesgos a nivel subsidiario es alto, y especialmente si varios
de ellos lo son, entonces el auditor estará ante un riesgo muy alto de expresar
una opinión de auditoría incorrecta, lo que puede acabar con su carrera y
vaciar su cuenta bancaria si hay una demanda.
Problemas con el modelo
de riesgo de auditoría
El modelo parece bastante
simple, pero tiene un problema básico. ¿Cómo se obtienen esos porcentajes?
¿Quién puede decir que el riesgo de control debe evaluarse en un diez por
ciento? ¿O en un veinte? ¿O en un treinta? La definición de estos riesgos es
subjetiva, por lo que sería muy difícil defender una cifra específica. Sería
una tontería establecer el riesgo inherente en, digamos, un catorce por ciento.
¿Cómo lo justificaría?
Y, de hecho, dado que
cada dato de la ecuación es subjetivo, ¿cómo puede alguien esperar de manera
realista multiplicarlos y obtener un resultado significativo? Básicamente,
estamos tratando de aplicar conceptos matemáticos a las opiniones.
Un enfoque simplificado
Y es por eso que los
auditores prefieren asignar una calificación alta, media o baja a cada uno de
esos riesgos. Es como un semáforo. El verde es una calificación de riesgo bajo,
el rojo es malo y el ámbar está en algún punto intermedio. Cuando todo está en
verde, el auditor está contento porque el riesgo de auditoría también está en
verde. Cuando todo está en rojo, es hora de que el auditor abandone la
auditoría, porque no hay forma de desarrollar una opinión de auditoría
rentable.
Entonces, ¿cómo llegan
los auditores a estas evaluaciones altas, medias o bajas? Sigue siendo una
cuestión de criterio. El riesgo inherente es rojo cuando el entorno es complejo
y no hay muchos procedimientos. En la situación inversa, es verde. Cuando el
auditor realiza una prueba preliminar de los controles y todos los controles
funcionan según lo planeado, entonces obtiene una calificación verde. Cuando el
resultado es más como una zona de guerra, obtiene una calificación roja. Esos
son los fáciles. El auditor debe decidir bajo qué circunstancias se otorgará
una calificación media. No hay ninguna orientación clara al respecto; sigue
siendo una cuestión de criterio.
Entonces, ¿qué sucede
prácticamente con todas las auditorías, en las que la puntuación no es toda
roja o toda verde? Como regla general, si el riesgo de control y el riesgo
inherente son altos y el riesgo de detección es medio, entonces el auditor no
aceptará el trabajo, porque el costo de todos los procedimientos de auditoría
necesarios será demasiado alto. Si el riesgo de detección cae a verde, entonces
probablemente será rentable para el auditor continuar, pero necesita observar
el resultado de los procedimientos de auditoría, para ver si surge algo
extraño, y hay una buena posibilidad de que así sea.
Por otro lado, si
cualquier combinación de dos riesgos se considera baja, entonces la auditoría
puede continuar. Eso es bueno. El problema es que, si calcula el número de
variaciones de tres riesgos de auditoría y tres clasificaciones de riesgo,
tiene 27 combinaciones posibles de resultados, y en aproximadamente la mitad de
ellos, no está claro si el auditor debe retirarse o aceptar el trabajo.
Por lo tanto, como podría
esperarse, este es un área problemática para los auditores. Durante toda la
auditoría, se reevalúa constantemente el riesgo de auditoría y se modifican los
procedimientos de auditoría para hacer frente a lo que se descubre.
Puede parecer que este
episodio fue exclusivamente para beneficio de los nuevos auditores. No es así.
Hay que mirarlo desde la perspectiva del cliente. Si se le presenta al auditor
un sistema de control deficiente o un entorno operativo inherentemente complejo,
la única forma en que el auditor podrá proporcionar una opinión de auditoría
limpia es acumulando procedimientos de auditoría, lo que puede resultar
bastante caro.
Por lo tanto, tiene
sentido seguir trabajando en los sistemas de control durante la temporada baja,
cuando los auditores no están presentes, para hacerlos lo más sólidos posible.
Y tratar de persuadir a la gerencia para que optimice un poco el negocio, instale
más procedimientos y pague más capacitación para los empleados, de modo que el
riesgo inherente también disminuya.
Cuando se hace eso, los
auditores tienen menos problemas y, lo que es más importante, tendrán menos
trabajo que hacer, por lo que sus honorarios de auditoría serán menores.
Fuente:
Bragg, S. (2020). The Audit Risk Model. ABP No.299
Podcast. Accounting Tools, Inc. USA.
No hay comentarios:
Publicar un comentario