IMPACTO DE COVID-19 EN EL TRATAMIENTO Y GESTION DE LOS RIESGOS DE AUDITORIA

Entrada original publicada en estebanuyarra.com

Budapest 2006

INTRODUCCIÓN

En la charla que impartí el pasado 1 de abril sobre los Efectos
inmediatos del coronavirus en el trabajo del auditor de cuentas
, se abordó
entre otros la necesidad de revisar y replantear en los trabajos en curso, las
estrategias y planes inicialmente previstos a tenor de las actuales
circunstancias provocadas por el coronavirus y  en concreto sobre la relación (matriz) conteniendo
los riesgos identificados y valorados.

Durante la sesión, expliqué de forma rápida, una propuesta
deel texto del riesgo sobrevenido como consecuencia del coronavirus dada su significativa incidencia tanto sobre las
cuentas anuales a auditar como sobre la realización de nuestro trabajo. También
adelanté la publicación de un nuevo máster que incluiría este nuevo riesgo, así
como la modificación de aquellos otros que, bien por omisiones detectadas o por
su eventual afectación deberían ser modificados.

También se ha aprovechado para incluir nuevos riesgos en
diferentes áreas lo que ha ampliado la batería de la versión anterior hasta el
número de 97.

En este post no me voy a extender sobre un tema tan tratado
y conocido como es el nuevo enfoque de la auditoría en base a riesgos.
Sin embargo, considero necesario recordar algunos conceptos fundamentales
recogidos en la actual normativa sobre los que nos hemos de basar para realizar
el proceso de revisión de los riesgos y por ende, de la planificación de los
trabajos actualmente en curso.

MARCO NORMATIVO RELATIVO A LOS RIESGOS DE AUDITORÍA [1]

A diferencia de las
antiguas normas técnicas de auditoría, las actuales establecen la obligación de
identificar y valorar con carácter previo los riesgos que por fraude o error puedan
generar incorrecciones materiales sobre la información y afirmaciones reveladas
por la entidad en sus estados financieros. Riesgos que pueden afectar de forma
particular a determinadas áreas, saldos o transacciones o a los estados
financieros considerados en su conjunto (por ejemplo, riesgos de negocio o la
aparición del COVID-19).

¿Qué es un riesgo? Podría definirse con carácter
general como: “todo hecho, situación o condición que con una cierta
probabilidad pueda afectar a la adecuación de nuestra opinión como auditores o
a la existencia de incorrecciones materiales en las cuentas anuales de la
entidad”.

En cambio, el riesgo de auditoría que asumimos es la
probabilidad de que el contenido de nuestro informe no sea correcto o, como
señala la NCCI (norma de calidad), no sea adecuado a las circunstancias. Riesgo
de auditoría que a su vez depende de dos eventualidades: una la existencia de Incorrecciones Materiales no identificadas
y no reveladas en nuestro informe de auditoría y la otra, denominada como riesgo detectivo, por la realización de procedimientos
no adecuados o ineficientes [2].

A su vez, el riesgo de Incorrección
Material (IM)
depende del denominado Riesgo
Inherente
y del Riesgo de Control
Interno
los cuales, como he podido constatar en numerosas revisiones de
seguimiento de calidad realizados, no siempre son bien comprendidos y tratados
en la planificación de los encargos. Incorrecciones materiales que pueden ser debidas
a errores (involuntarios) o a fraudes (intencionados).

El término de material
hace referencia a la significación de la incorrección, es decir en cómo
afectaría sobre la imagen financiera-patrimonial aportada por los estados
financieros y el perjuicio que podría provocar sobre los usuarios de estos a la
hora de tomar decisiones basadas en la información revelada, lo que nos llevaría
a tratar el tema de la Importancia Relativa que, por motivos de espacio, no voy
a abordar en este post.

El concepto que muchos auditores suelen debatir y que se ha
puesto en evidencia con la aparición del COVID-19 y de la situación provocada,
no es otro que el riesgo inherente el cual, según indica el IFAC en su
guía de aplicación de las NIA se define en el siguiente cuadro:

Detengámonos un momento es esta cuestión. Lo primero que se ha
que destacar es el hecho de que este riesgo está asociado a un saldo,
transacción o un área considerada por sí misma y con independencia de los
controles que le sean de aplicación,
que tienen que ver más con su
naturaleza, su grado probabilidad o de ocurrencia y su eventual impacto en las
cuentas anuales, tanto debida a la incorrección o por el peso (relevancia) que
representan en los estados financieros. Este riesgo es, en mi opinión, el que
más se ha visto afectado por la situación provocada por el COVID-19.

Para terminar el viejo conocido Riesgo de Control que, de
acuerdo con la misma fuente, consiste en:

Otra clasificación clásica es por la debida a la significación
o impacto
que las incorrecciones tengan sobre los estados financieros
(EEFF) que, como es sabido, dependerá de las cifras de materialidad establecidas
y que no voy a abordar aquí. En cambio, sí me voy a referir en la clasificación
de los riesgos en función de su incidencia tal como se muestra en la
siguiente imagen:

Así como los riesgos relativos a las afirmaciones se aplican
sobre saldos y transacciones concretas, las que afectan al conjunto se refieren
a los EEFF considerados en su conjunto. El riesgo por el COVID-19 puede
tratarse como un riesgo general, y así lo aconsejo, o mediante su tratamiento
en los riesgos específicos a los que afecte directa o indirectamente; aspecto
éste que abordaré más adelante.

Mencionar
por último el denominado riesgo
por relevancia
correspondiente a aquellos saldos y transacciones que, con
independencia de las eventuales incorrecciones materiales que pueden presentar,
se consideran relevantes por su peso específico o significación en los
EEFF en base a las
cifras de materialidad establecidas, tal y como establece la NIA-ES 330.18 [3].

En definitiva, la normativa que de forma directa o indirecta
se refiere a la identificación
y valoración de los riesgos se relaciona en el siguiente cuadro:

MASTERFILE DE RIESGOS

Desde hace años, la aplicación GESIA se distribuía junto con
un máster de auditoría conteniendo una estructura de papeles, formularios y
modelos lo que permitía al auditor planificar y ejecutar sus trabajos de
conformidad con las normas entonces existentes y que fue sustancialmente
modificado a raíz de la publicación de las NIA. Una de las iniciativas
adoptadas por AUDINFOR dentro de su continuo proceso de protocolización de los
procedimientos de auditoría, fue la creación de un máster de riesgos incluyendo
aquellos que, con carácter general, podrían ser considerados en la denominada matriz
de riesgos
a confeccionar en la fase de planificación y que fue adoptado a
partir del 2016 con 52 riesgos iniciales.

Como se muestra en la imagen anterior, la estructura del
formulario permite incorporar la descripción
y motivos que justifican su consideración como riesgo, su afectación tanto a
las diferentes afirmaciones, su valoración y graduación, su eventual
calificación como cuestión clave de auditoría y relación de los
procedimientos de auditoría que, a modo de respuesta se han de diseñar y
aplicar para reducir dichos riesgos a un nivel razonablemente bajo.

Como he indicado al inicio de este post, la actual situación
generada por el COVID-19 está obligando a todos los auditores a cuestionar y
replantear las estrategias y planes de auditoría ya diseñadas, no sólo en
cuanto a la ampliación y modificación de los riesgos entonces identificados y
valorados sino respecto a las cifras de materialidad establecidas y sobre la
validez de los resultados alcanzados a la fecha de los procedimientos y pruebas
realizadas.

EL RIESGO DERIVADO DEL El COVID-19

Como he indicado, la estructura y diseño del formulario permite incluir toda la información necesaria relativa a un riesgo, incluso la referencia o vinculación a otros papeles o archivos disponibles en formato digital. En el caso del riesgo por el coronavirus, ya se trate de auditoría de cuentas individuales o consolidadas, su contenido, que deberá ser adaptada a cada circunstancia y trabajo se muestra en el PDF adjunto.

Es importante describir con suficiente detalle tanto el
impacto del riesgo de incorrección sobre la situación financiera y patrimonial
de la entidad, sus operaciones y la continuidad de sus actividades, como las
medidas mitigantes adoptadas y por aquellas otras que establezca el Gobierno o
las Comunidades Autónomas.

En cuanto a la relación de los procedimientos a diseñar y
aplicar, se atendrá a las circunstancias y áreas afectadas, señalando en su
caso su naturaleza y alcance, con especial mención a aquellos cambios en las
pruebas inicialmente previstas que, por las limitaciones sobrevenidas se han de
sustituir por otros procedimientos alternativos.

Las conclusiones, han de estar fundamentadas en la
información revelada en los estados financieros y en la memoria, así como en
los resultados obtenidos de las pruebas realizadas y se han de referir al
impacto sobre la opinión y contenido de nuestro informe de auditoría.

RIESGO GENERAL O MODIFICACIÓN DE LOS EXISTENTES

Cuando he tratado este tema con algunos compañeros me
comentaban que en lugar de incorporar un único riesgo general de carácter
significativo derivado del COVID-19, habían optado por revisar y modificar los
riesgos individuales de incorrección considerados en su planificación inicial,
incorporando aquellos otros sobrevenidos y no considerados en la fase
preliminar.

Efectivamente esta opción es factible y aceptable, de hecho
de los 97 riesgos incluidos en el nuevo máster muchos de ellos podrían ser
considerados como nuevos riesgos de incorrección material entre los que, a modo
enunciativo no exhaustivo podrían considerarse, entre otros, los siguientes:

TITULO DEL RIESGO EFECTO DEL COVID-19
Activación del crédito fiscal (Impuestos diferidos) Por su eventual no recuperabilidad.
Obsolescencia del producto en catálogo (de carácter general) Debido a la no salida (venta) de artículos de campaña o de rápida
obsolescencia.
Gestión continuada Por las dudas surgidas en la aplicación del principio de empresa en
funcionamiento.
Reformulación de los estados financieros y memoria Debida a la aparición de hechos que requieren modificar las cuentas
ya formuladas.
Provisiones por responsabilidades (incumplimientos de acuerdos) No cumplimiento de condiciones contractuales con terceros (clientes –
proveedores)
Valoración de la obra en curso Por la cancelación posterior de pedidos o contratos
Inversiones financieras Por la pérdida de valor de los instrumentos financieros
Fondo de comercio Cambio en las perspectivas y estimaciones utilizadas para determinar
los posibles deterioros.

ALGUNAS CONSIDERACIONES SOBRE LOS RIESGOS

Como he tenido ocasión de comentar en las numerosas charlas
que he impartido sobre planificación en general y el tratamiento de los riesgos
en particular, se han de tener en cuenta las siguientes cautelas y
consideraciones respecto a los riesgos identificados y valorados:

  • Su descripción ha de ser lo suficientemente
    detallada para identificar el hecho o circunstancia justificativa, con detalle,
    si se dispone de él, de su importe, nota en la memoria o cualquier otro dato
    que facilite su consideración como riesgo.
  • Es imprescindible referirse a la adecuación del
    diseño y funcionamiento de los controles internos establecidos por la dirección
    para identificar las incorrecciones y mitigar su efecto, así como de los
    procedimientos previstos para su validación.
  • Se ha de indicar, la fuente u origen utilizada en
    la identificación y valoración del riesgo.
  • Relacionar los procedimientos adicionales a
    aplicar a modo de respuesta al riesgo. Su redacción tiene que ser adecuada y
    comprensible para que el equipo de trabajo pueda su incorporación en el plan de
    auditoria y su posterior aplicación.
  • Se ha concluir con los resultados obtenidos,
    sobre todo en los riesgos considerados como significativos indicando los
    motivos por los cuales no se ha considerado conveniente su inclusión como
    cuestiones clave de auditoría o AMRA.; conclusión que es interna pero cuya redacción
    no ha de corresponder con la que el auditor, caso de que así lo decidiera, exprese
    en su informe dentro del párrafo del AMRA.
  • En cuanto a la consideración de si el riesgo
    incide sobre determinadas afirmaciones sobre saldos, transacciones o información
    de la memoria dependerá de su afectación al conjunto de los estados
    financieros, a varias áreas o a una de ellas.
  • No todas las afirmaciones que inciden sobre un área
    o una información determinada han de considerarse como riesgo de incorrección.
    Únicamente lo serán aquellas con probabilidad de contener incorrecciones materiales,
    como por ejemplo en el caso de la valoración de la obra en curso, pero cuya existencia
    y corte no presenta ningún riesgo dados los controles implantados por la
    compañía.
  • Lo más difícil para el auditor no avezado en el
    uso de los conceptos de riesgo se centra en la evaluación del riesgo inherente
    y del control interno asociado, así como la combinación de los mismos para definir
    el riesgo como máximo, alto, moderado o bajo.
  • También, y este es un punto que provoca polémica
    entre los auditores, es la conveniencia o no de incluir en la matriz de riesgos
    además de los considerados como de incorrección material, aquellos otros que por
    su relevancia y en virtud de lo dispuesto en la NIA 330.18, han de ser objeto
    de determinadas pruebas mínimas, tema que será tratado en otro post dedicado a
    este tema. Baste por el momento indicar que en mi opinión y como defendía el
    maestro Jaume Carreras, es conveniente concentrar todos los riesgos en un mismo
    sitio o (matriz de riesgos) pero distinguiendo los de incorrección, los de
    relevancia, o por ambos como ocurre en el caso del riesgo significativo por
    reconocimiento de los ingresos
  • Las referencias cruzadas a otros documentos o a
    ficheros vinculados enriquecen la matriz de riesgos al aportar evidencias o
    referencias externas y que, en el caso de riesgos considerados como AMRAS,
    deberían incluir el correspondiente vínculo al párrafo que figura en el informe
    de auditoría.
  • Los riesgos identificados y valorados en la fase
    preliminar son susceptibles de modificación o ampliación durante el proceso de
    auditoría, como consecuencia de hechos sobrevenidos, como el caso del COVID-19,
    o por los hallazgos y resultados obtenidos tras las pruebas realizadas.
  • La documentación aportada por el módulo de
    riesgos con sus conclusiones y ficheros vinculados deberán se descritos y
    mencionados en el EPA (estrategia y plan de auditoría) del encargo,
    distinguiendo en todo momento los riesgos de incorrección de los considerados
    simplemente como relevantes.
  • Por último, recordar la necesidad de revisar,
    antes del cierre, la coherencia entre los procedimientos adicionales
    establecidos en la matriz de riesgos como respuesta a los mismos y el trabajo efectivamente
    realizado, así como de las preceptivas comunicaciones a los administradores de
    la entidad sobre los riesgos considerados como significativos y cuáles de ellos
    son candidatos a figurar como AMRA o cuestión clave de auditoría. Por tanto, la
    consideración del COVID-19 como riesgo significativo o muy significativo no
    sólo debe de formar parte de la matriz de riesgos, sino que ha de ser
    puntualmente comunicada a la entidad tal y como dispone las NIA 260 y 701.

CONCLUSIÓN

La actual situación de confinamiento y practica hibernación
de la actividad económica está teniendo una significativa incidencia tanto en
la actividad de nuestros clientes como en nuestro propio trabajo como
auditores. Sus consecuencias suponen un factor de riesgo muy relevante que ha
de constar en nuestros planes de auditoría y que, dependiendo de las
circunstancias de cada encargo y cliente, exigirá la revisión y replanteamiento
de la estrategia y planificación de las auditorías actualmente en curso. La
opción de considerarlo como un riesgo general o mediante la modificación y
ampliación de los riesgos ya identificados y valorados, es una cuestión que el
auditor ha de considerar a la vista de las circunstancias de cada encargo y de
la metodología de trabajo utilizada. Sea cual sea la opción elegida, lo que es
indudable es la necesidad de reconsiderar la planificación de todas las
auditorías en curso, tanto por la afectación en la actividad y operaciones de
los clientes como por las limitaciones impuestas por la actual situación en la
ejecución y terminación de los trabajos. Todo ello va poner a prueba, entre
otros aspectos, el juicio y buen hacer de los auditores en cuanto al proceso de
identificación y tratamiento de los riesgos de conformidad con la actual
normativa.

Confío en la pronta recuperación de la normalidad, así como
en la importante ayuda que las corporaciones y reguladores, tanto nacionales
como internacionales, nos puedan prestar en la resolución de los problemas y
cuestiones que la actual crisis está generando.

Esteban Uyarra Encalado

Abril 2020


[1] Cuando
me refiero a riesgos de auditoría lo hago de forma general, es decir, incluido todos
los riesgos tanto de incorrección, de relevancia o de detección.

[2] La
situación de confinamiento y
paralización de la actividad económica está agravando de forma más que notable
este tipo de riesgo al impedir visitas presenciales y el acceso a documentos
originales, lo que puede ser constitutivo de importantes limitaciones al
alcance.

[3]
Con independencia de
los riesgos valorados de incorrecci
ón material, el auditor diseñará
y aplicará procedimientos
sustantivos para cada tipo de transacción, saldo
contable e información a revelar que resulte material
”.

Sin comentarios | Leído 84 veces
Puedes saltar al final y dejar una respuesta. Hacer ping no est? permitido.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *