En el examen ROAC 2019 una de las preguntas que me trasladaron los alumnos fue la de la Matriz de riesgos, a fecha de esta entrada no tenemos aun la solución oficial del examen pero vamos a hablar de los riesgos obligatorios a incluir y algunas consideraciones adicionales.
El modelo de matriz de riesgos se puede consultar en el ICJCE (Ver AQUÍ) y el REA (ver AQUÍ), ambas corporaciones tienen publicados modelos similares de matrices de riesgos comentadas. La matriz en sí, es una forma de dar respuesta a los requerimientos de la norma, si bien hay que reconocer que es de uso generalizado en la profesión en España.
Uno de los problemas que le veo a esta pregunta es que en gran medida es una cuestión de metodología y que además es complicado incluirla en un formato Din A4 en horizontal, yo he hecho un intento dentro del grupo de dar respuesta a esto y de hecho en el punto 2 hago alguna sugerencia en este sentido, pero lo relevante será lo que se publique en la solución oficial.
A continuación te dejo los riesgos que he localizado como obligatorios en la matriz de riesgos, te propongo que leas los requerimientos de la NIA-ES mientras repasas estos riesgos y que si ves que me he dejado alguna cosa, por supuesto los comentarios son todo tuyos.
1. ¿Cuales son los riesgos obligatorios? (Filas)
3. Otros riesgos de incorrección material debida de fraude detectados (R25 NIA-ES 240)
4. Riesgos significativos importados del proceso de aceptación (A22 NIA-ES 240)
5.- Otros riesgos que impliquen un alto error esperado (Riesgo Inherente alto y significativo en terminos de materialidad) (A22 NIA-ES 240)
6.- Otros riesgos de Fraude (R27 NIA-ES 240)
Nota IAJ: Bajo NIA-ES 315 el requerimiento 28 aporta una especie de "chek list" de las cuestiones a considerar para determinar que riesgo es significativo, al marge de los riesgos obligatorios que aplican a todos las entidades, como es el de reconocimiento de ingresos y el riesgo de que la dirección eluda controles.
Bajo la nueva NIA-ES 315 revisada, que entra en vigor para los ejercicios iniciados a partir de 1/1/2022, el requerimiento 32 y A218 al A221 de la guía de aplicación, son los que establecen las consideraciones ("check list") para deteminar que un riesgo es significativo.
Nota IAJ: Hay firmas que incluyen en la matriz de riesgos las áreas sobre las que se realiza trabajo (superiores a la materialidad de ejecución o impredecibilidad), indicando, si no hay riesgos específicos identificados, un riesgo bajo en el área.
2. ¿Qué columnas debe contener la matriz de riesgo? ¿Cual es el contenido de la matriz de riesgos?
1. Columna de riesgos identificados (R25 NIA-ES 315)
Nota IAJ: Yo omitiría la columna "Origen del Riesgo" (Fraude o error) ya que
indicamos que hay que identificar todos los riesgos de fraude, siendo
los demás de error, es decir, para que me quepa en el formato Din A4 (a mano), pasaría una de las cuestiones de columna a una indicación en la fila. Fíjate que arriba hemos añadido una fila como obligatoria que dice "Otros riesgos de Fraude".
2. Columna área estados financieros y Columna de afirmaciones afectadas (R25 y R26 NIA-ES 315)
3. En la fila Identificación del riesgos de fraude en columna o fila (R25 NIA-ES 315 y R25 NIA-ES 240)
4.- Columna que identifique si el riesgo es significativo (R27 y R28 NIA-ES 315)
Nota IAJ: En este punto hemos omitido "Origen del Riesgo" (Fraude o error) ya que indicamos que hay que identificar todos los riesgos de fraude, siendo los demás de error.
5.- Columna con respuesta de la dirección incluyendo controles relevantes para la auditoría (R29 NIA-ES 315)
6.- Columna con la indicación de si se depositará confianza en controles (R26 NIA-ES 315)
7.- Riesgo de Incorrección Material (RIM = f(RI, RC)) en este caso de forma cualitativa (Alto, Medio, Bajo) (R25-R26 NIA-ES 315)
8.- Respuesta al Riesgo en los EE.FF (Respuestas Globales) y Respuesta al riesgo en las Afirmaciones (PC, PS (PAS, PD)) (R25-R26 NIA-ES 315)
3. ¿Qué nos pide la norma? Fundamentos de derecho
3.1 Sobre el Fraude (Fundamentos sobre todo para el punto 1 de esta entrada)a) La norma nos pide identificar y evaluar los riesgos de incorrección material debida a fraude
en los estados financieros, y en las afirmaciones relativas a tipos de
transacciones, saldos contables o información a revelar (R25 NIA-ES 240)
b) Para la identificación y valoración de los riesgos de incorrección material debida a fraude, el auditor, basándose en la presunción de que existen riesgos de fraude en el reconocimiento de ingresos, evaluará qué tipos de ingresos, de transacciones generadoras de ingresos o de afirmaciones dan lugar a tales riesgos. El apartado 47 especifica la documentación que se requiere cuando el auditor concluye que la presunción no es aplicable en las circunstancias del encargo y que, por tanto, no ha identificado el reconocimiento de ingresos como un riesgo de incorrección material debida a fraude. (R26 NIA-ES 240)
c) El auditor tratará los riesgos valorados de incorrección material debida
a fraude como riesgos significativos y, en consecuencia, en la medida
en que aún no se haya hecho, el auditor obtendrá conocimiento de los
correspondientes controles de la entidad, incluidas las actividades de
control, que sean relevantes para dichos riesgos. Respuestas a los riesgos valorados de incorrección material
debida a fraude
Respuestas globales (R27 NIA-ES 240)
d) De conformidad con la NIA 330, el auditor determinará las respuestas
globales necesarias frente a los riesgos valorados de incorrección
material debida a fraude en los estados financieros (R29 NIA-ES 240)
e) La dirección se encuentra en una posición privilegiada para cometer
fraude debido a su capacidad de manipular los registros contables y
preparar estados financieros fraudulentos mediante la elusión de
controles que, por lo demás, operan eficazmente. Aunque el nivel de
riesgo de que la dirección eluda los controles variará de una entidad a
otra, la existencia del riesgo en sí está presente en todas las
entidades. Dado el carácter imprevisible del modo en que dicha elusión
podría producirse, es un riesgo de incorrección material debida a
fraude, y por consiguiente, un riesgo significativo. (R31 NIA-E 240)
Nota IAJ: Recordemos que la Dirección es quien hace las cuentas, ahí estan los responsables del departamento financiero y que los Responsables del Gobierno de la entidad son los que se hacen responsables de la formulación de los estados financieros y el control interno de la entidad, en este grupo estarían los administradores o la comisión de auditoría en las EIP.
f) Con independencia de la valoración realizada por el auditor de los riesgos de que la dirección eluda los controles, el auditor diseñará y aplicará procedimientos de auditoría con el fin de:
(1) Comprobar la adecuación de los asientos del libro diario registrados en el libro mayor, así como de otros ajustes realizados para la preparación de los estados financieros. Para el diseño y la aplicación de procedimientos de auditoría al respecto, el auditor:
- realizará indagaciones entre las personas que participan en el proceso de información financiera sobre actividades inadecuadas o inusuales relacionadas con el procesamiento de los asientos en el libro diario y otros ajustes;
- seleccionará asientos del libro diario y otros ajustes realizados al cierre del periodo; y
- considerará la necesidad de comprobar los asientos del libro diario y otros ajustes realizados durante todo el periodo.
Nota IAJ: Este segundo punto es lo que en inglés se conocen como "journal entries" y son esos asientos de cierre que son más susceptibles de incorrección material debida a fraude y por tanto forman parte de la respuesta a estos riesgos.
(2) Revisar las estimaciones contables en busca de sesgos y evaluar si las circunstancias que han dado lugar al sesgo, si lo hubiera, representan un riesgo de incorrección material debida a fraude. Al realizar esta revisión, el auditor:
- evaluará si los juicios formulados y las decisiones tomadas por la dirección al realizar las estimaciones contables incluidas en los estados financieros, aunque sean razonables considerados individualmente, indican un posible sesgo por parte de la dirección de la entidad que pueda representar un riesgo de incorrección material debida a fraude; de ser así, el auditor volverá a evaluar las estimaciones contables en su conjunto; y
- llevará a cabo una revisión retrospectiva de los juicios y de las hipótesis de la dirección relacionados con estimaciones contables significativas reflejadas en los estados financieros del periodo anterior.
(3) En el caso de transacciones significativas ajenas al curso normal de los negocios de la entidad o que, de algún modo, parezcan inusuales teniendo en cuenta el conocimiento que tiene el auditor de la entidad y de su entorno, así como otra información obtenida durante la realización de la auditoría, el auditor evaluará si el fundamento empresarial de las transacciones (o su ausencia) indica que pueden haberse registrado con el fin de engañar a través de información financiera fraudulenta o de ocultar una apropiación indebida de activos. (R32 NIA-ES 240)
g) El auditor determinará si, para responder a los riesgos identificados de que la dirección eluda los controles, necesita aplicar otros procedimientos de auditoría adicionales a los mencionados específicamente más arriba (es decir, cuando haya riesgos específicos adicionales de que ladirección eluda los controles que no estén cubiertos por los procedimientos aplicados para cumplir los requerimientos del apartado 32). (R33 NIA-ES 240)
h) Además de la información obtenida mediante la aplicación de procedimientos analíticos, puede ser útil, a fin de identificar los riesgos de incorrección material debida a fraude, considerar otra información sobre la entidad y su entorno. La discusión entre los miembros del equipo puede proporcionar información útil para la identificación de dichos riesgos. Adicionalmente, la información obtenida en los procesos seguidos por el auditor de cara a la aceptación y continuidad de clientes, y la experiencia adquirida en otros encargos realizados para la entidad, como, por ejemplo, encargos de revisión de información financiera intermedia, pueden ser relevantes para identificar los riesgos de incorrección material debida a fraude. (A22 NIA-ES 240)
3.2 Sobre identificación y valoración del riesgo (Fundamentos sobre todo para el punto 2 de esta entrada)
b) El auditor identificará y valorará los riesgos de incorrección material
en (R25 NIA-ES 315):
- los estados financieros; y
- las afirmaciones sobre tipos de transacciones, saldos contables e información a revelar que le proporcionen una base para el diseño y la realización de los procedimientos de auditoría posteriores.
c) Con esta finalidad, el auditor (R26 NIA-ES 315):
- identificará los riesgos a través del proceso de conocimiento de la entidad y de su entorno, incluidos los controles relevantes relacionados con los riesgos, y mediante la consideración de los tipos de transacciones, saldos contables e información a revelar en los estados financieros;
- valorará los riesgos identificados y evaluará si se relacionan de modo generalizado con los estados financieros en su conjunto y si pueden afectar a muchas afirmaciones;
- relacionará los riesgos identificados con posibles incorrecciones en las afirmaciones, teniendo en cuenta los controles relevantes que el auditor tiene intención de probar; y
- considerará la probabilidad de que existan incorrecciones, incluida la posibilidad de múltiples incorrecciones, y si la incorrección potencial podría, por su magnitud, constituir una incorrección material.
- si se trata de un riesgo de fraude;
- si el riesgo está relacionado con significativos y recientes acontecimientos económicos, contables o de otra naturaleza y, en consecuencia, requiere una atención especial;
- la complejidad de las transacciones;
- si el riesgo afecta a transacciones significativas con partes vinculadas;
- el grado de subjetividad de la medición de la información financiera relacionada con el riesgo, en especial aquellas mediciones que conllevan un elevado grado de incertidumbre; y
- si el riesgo afecta a transacciones significativas ajenas al curso normal de los negocios de la entidad, o que, por otras razones, parecen inusuales.
- Si el auditor ha determinado que existe un riesgo significativo, obtendrá conocimiento de los controles de la entidad, incluidas las actividades de control, correspondientes a dicho riesgo.
f) Si el auditor ha determinado que existe un riesgo significativo, obtendrá conocimiento de los controles de la entidad, incluidas las actividades de control, correspondientes a dicho riesgo. (R29 NIA-ES 315)
g) Riesgo de negocio: riesgo derivado de condiciones, hechos,
circunstancias, acciones u omisiones significativos que podrían afectar
negativamente a la capacidad de la entidad para conseguir sus objetivos y
ejecutar sus estrategias o derivado del establecimiento de objetivos y
estrategias inadecuados. (A4.d NIA-ES 315)
Nota IAJ: Algunas corporaciones no identifican expresamente que riesgos son riesgos de negocio en la matriz, es algo implicito a su propia naturaleza. Podrían ser Riesgo de Negocio (Único proveedor, Sector altamente tecnológico, infinidad de clientes).
Espero que te haya resultado interesante, tendremos que estar a lo que diga la solución oficial del examen de acceso al ROAC, cuando la publiquen compararemos el contenido de esta entrada con lo que diga dicha solución oficial y veremos en que podríamos haber mejorado o si esto era suficiente para conseguir una buena calificación.
Recibe un cordial saludo.
Ignacio Aguilar.
Preparador examen ROAC.
Muy buena lectura. Perfecto para complementar la NIA315. ¡Gracias!
ResponderEliminar