C.P.C. Rafael García Gómez
Socio de auditoría de Deloitte
ragarcia@deloittemx.com
La adopción de las Normas Internacionales de Auditoría (NIA), introduce varios conceptos para analizar, sobre todo, un enfoque general de cómo ver una auditoría de estados financieros, donde el riesgo de auditoría y la forma en que es abordado por el auditor son la base fundamental de las auditorías
El presente artículo tiene por objetivo abordar el concepto de riesgo de auditoría y la forma de responder a este, desde un punto sustentado en la norma, pero, al mismo tiempo, con una perspectiva práctica.
Comencemos por dar una definición de riesgo, genéricamente hablando, riesgo es la probabilidad de que una situación catastrófica suceda, o de que una persona o cosa sufran algún daño.
Tomando como base esta definición de una situación catastrófica o que causare daño, sería que los estados financieros tuvieran un error de importancia tal, que fuera una catástrofe el utilizarlos o basar una decisión en ellos, generando un daño a los usuarios.
Si bien esta forma de abordar el riesgo puede parecer simplista, la realidad es que la mayoría de los tropiezos de los auditores y de las preocupaciones de los reguladores no solo están en que una auditoría pueda ser pobremente ejecutada, sino en la posibilidad de que sea pobremente planeada y de que no atienda a los riesgos relevantes.
Ahora bien, la identificación, análisis y respuesta ante el riesgo de auditoría no es una empresa sencilla, requiere de allegarse de varios elementos no solo de información, sino de juicio y discusión que sustenten dicho juicio.
Para las normas de auditoría existen ciertos pasos o procesos que ayudan al auditor a identificar y analizar los riesgos.
Uno de los pasos primarios es la determinación de la materialidad que, regresando a la definición de riesgo, podríamos decir que es lo que mide o delimita lo catastrófico o el nivel de daño, de lo que no lo es, en forma práctica, es nuestra escala de Richter, qué tan destructivo o dañino puede ser un error en los estados financieros.
La cuantificación de la materialidad como herramienta de auditoría ayuda a determinar el alcance y profundidad de nuestro trabajo, pero, como herramienta de análisis de riesgo realmente es lo que cuantifica la magnitud de un error o varios errores que, en su conjunto, pudieran considerarse como una catástrofe dentro de los estados financieros.
Con esta visión de las cosas, desde el punto de vista del análisis de riesgo, las normas de auditoría establecen que, para determinar la materialidad, el auditor debe atender a los usuarios de la información financiera, ya sean privados o inversionistas públicos, a la complejidad de las transacciones y, en general, al ambiente de control que exista en una compañía, respecto a la generación de información financiera con la que los estados financieros son elaborados.
La Norma Internacional de Auditoría (NIA) 320 (ISA, por sus siglas en inglés), aborda el tema de la materialidad de la siguiente forma:
Primero, da la referencia de la materialidad desde el punto de vista de los marcos contables (si bien es cierto algunos marcos contables la consideran, no debemos confundirla con la materialidad de auditoría), por lo cual debe tomarse como contexto. La NIA 320 resalta lo siguiente:
“Errores o representaciones erróneas, incluyendo omisiones, son consideradas materiales si puede esperarse de forma razonable que estos de forma individual o agregada influyan en las decisiones económicas de los usuarios que tomen como bases los estados financieros.”
Habremos de considerar que la definición anterior se refiere al punto de vista del preparador de los estados financieros; sin embargo, la misma NIA 320, aclara que el auditor debe considerar también en su labor de determinación de la materialidad que los usuarios de la información:
“a) Tienen un conocimiento razonable de las actividades económicas y de negocios, así como de la contabilidad, y están dispuestos a estudiar la información de los estados financieros con cierta diligencia;
b) Entienden que los estados financieros son preparados, presentados y auditados con niveles de materialidad;
c) Reconocen las incertidumbres inherentes a la determinación de los montos basados en estimaciones y juicios, y la consideración de eventos futuros.
d) Realizan decisiones económicas razonables sobre las bases de la información de los estados financieros”.
Con lo comentado hasta aquí, podemos resumir que el riesgo de auditoría es la probabilidad de que exista un error o un conjunto de ellos que sean materiales, entendiendo que los errores materiales son aquellos que pueden llevar a un lector informado y con cierto conocimiento a tomar una decisión equivocada, si esta fue basada en los estados financieros.
Pero, ¿cómo o de qué herramientas o metodología puede el auditor allegarse de la información necesaria para la identificación de riesgos de auditoría? Empecemos por repasar lo que la norma requiere en cuestión de identificación de riesgos materiales, la NIA 315, establece lo siguiente:
“Identificación y evaluación de riesgos de error material
El auditor deberá identificar y evaluar el riesgo de error material al nivel de:
a) Los estados financieros y
b) De aseveración, por clase de transacciones, saldos de cuenta y revelaciones, para proveer una base para diseñar y realizar adicionales procesos de auditoría.
Para este propósito el auditor deberá:
a) Identificar riesgos a través del proceso de obtener un entendimiento de la entidad y su ambiente, incluyendo los controles relevantes que son relativos a los riesgos, y mediante la consideración de clases de transacciones, saldos de cuenta y revelaciones de los estados financieros.
b) Definir los riesgos identificados y evaluar si estos están relacionados de manera más penetrante en los estados financieros como un todo y, por lo tanto, afectarían varias aseveraciones;
c) Relacionar los riesgos identificados a lo que puede ir mal en un nivel de aseveración, tomando en cuenta los controles relevantes que el auditor intentara probar y,
d) Considerar la probabilidad de error, incluyendo la posibilidad de múltiples errores, y si estos pueden tener el potencial de ser de tal magnitud que pudieran resultar en errores materiales.”
Con lo antes expuesto podemos darnos cuenta de que el proceso de identificación y evaluación de riesgos resulta en un reto especial para un auditor, pues hay que identificar dichos riesgos: a nivel de clase de transacciones, por ejemplo, “ventas a crédito”; a nivel de saldo de una cuenta y aseveración, por ejemplo, “las cuentas por cobrar representan operaciones reales”; a nivel de estados financieros, por ejemplo, “las cuentas por cobrar son correctamente clasificadas como corrientes y a largo plazo”, y, por si fuera poco, el riesgo a nivel revelación, por ejemplo, “se ha revelado adecuadamente la política de reconocimiento de ingresos de las ventas a crédito materiales”.
En este orden de ideas, el auditor antes de identificar los riesgos debe indagar e informase respecto a la entidad para hacer del proceso de identificación de riesgos uno que sea realmente atinado. Pero, ¿qué requiere la norma para hacernos de esta información?, la NIA 315 marca lo siguiente:
“El auditor debe obtener un entendimiento de lo siguiente:
(a) Información relevante de industria, regulaciones y otros factores externos incluyendo los aplicables al marco contable y de reporte financiero.
(b) La naturaleza de la entidad incluyendo:
(i) Sus operaciones;
(ii) Su estructura accionaria y de gobierno;
(iii) Los tipos de inversiones que la entidad realiza los planes que tiene incluyendo aquellos en entidades de propósito especial, y
(iv) La manera en que la entidad está estructurada y cómo se financia. Esto para que el auditor puede entender las clases de transacciones, los saldos de cuenta y las revelaciones que se esperan de los estados financieros.
(c) La selección y aplicación de la entidad de las políticas contables, incluyendo las razones para cualquier cambio a las mismas. El auditor debe evaluar si las políticas contables de la entidad son apropiadas para el negocio y consistentes con el marco aplicable a los estados financieros y a la industria.
(d) Los objetivos y estrategias de la entidad, y aquellas relacionadas con los riesgos de negocios que pudieran resultar en errores materiales.
(e) La manera en que evalúa y revisa su desempeño la entidad.”
Con estos pasos el auditor tiene información de la entidad y su ambiente, pero, ¿habrá algo relevante qué entender del control interno?, la misma norma continúa al respecto y marca lo siguiente:
“El auditor debe obtener un entendimiento del control interno relevante a la auditoría. A pesar de que la mayoría de los controles relevantes a la auditoría son aquellos relacionados con la información financiera, no todos los controles relevantes a la información financiera son relevantes para la auditoría. Esto es un tema de juicio profesional donde el auditor juzgue que un control individual o junto con otros sean relevantes a la auditoría.”
En este tema, hay que tener especial cuidado y no confundir el entendimiento del control interno, para efectos de contar con información necesaria e identificar riesgos de aquel entendimiento, así como con pruebas que se requieran para variar el alcance de una prueba sustantiva e, incluso, soportar la misma.
En este sentido, aun cuando pueda realizarse el proceso de entendimiento y revisión de control interno, al mismo tiempo, se debe considerar que el objetivo es diferente, por lo tanto, la profundidad en la que se entienden los controles internos es diferente.
Con este análisis podemos darnos cuenta de que la auditoría de estados financieros está basada en la identificación y evaluación de riesgos materiales, y que este proceso es donde la mayor experiencia y liderazgo del auditor responsable es requerido, ya que su nivel de involucramiento y la aplicación de su juicio profesional son, al final de este proceso, lo que sentará las bases para que una auditoría responda a las necesidades e inquietudes de los usuarios de la información, de los inversionistas y de los reguladores, quienes comparten la misma expectativa respecto de los estados financieros que se encuentren; es decir, libres de errores materiales y puedan ser una base sólida para fundamentar decisiones de negocios.