¿Qué es el riesgo de control en

una auditoría de información

financiera?

Las deficiencias en el control interno pueden ocasionar errores de importancia en los

estados financieros. Para tratar estos casos, la Sección 404 de la Ley Sarbanes-Oxley
requiere que los auditores de compañías públicas evalúen e informen acerca de la
eficacia del control interno sobre los informes financieros, además de su informe
referente a la auditoría de los estados financieros. La Sección 404 también precisa que
el auditor debe preparar un informe de auditoría referente a la evaluación de los
controles internos de la administración, incluyendo la opinión del auditor acerca de la
eficacia operativa de esos controles.

Controles internos y auditoría

Durante la auditoría de estados financieros, el auditor se debe enfocar en los controles

relacionados con la confiabilidad de los informes financieros, además de los controles
relacionados con las operaciones y el cumplimiento de las leyes y reglamentos que
pueden afectar de manera importante los informes financieros.

¿Qué es el riesgo de control?

El riesgo de control es el riesgo de que una representación errónea, que pudiera ser de
importancia relativa individualmente o en conjunto con otras, no sea prevenida o
detectada y corregida oportunamente por los sistemas de contabilidad y de control
interno.

El riesgo de control es el riesgo causado por las limitaciones inherentes a cualquier

sistema de contabilidad y de control interno. Es esencial tener en cuenta que el riesgo
de control será diferente para diferentes cuentas dependiendo de la eficacia de los
controles relacionados con cada una.

Evaluación preliminar del riesgo de control

Una vez que se han identificado los controles, las deficiencias importantes, debilidades
materiales y los objetivos de auditoría relacionados con las operaciones, el auditor
puede evaluar de manera preliminar el riesgo de control al nivel de aseveración, para
cada saldo de cuenta o clase de transacciones.

La evaluación preliminar del riesgo de control es el proceso de evaluar la efectividad de

los sistemas de contabilidad y de control interno de una entidad para prevenir o
detectar y corregir representaciones erróneas de importancia relativa.

La evaluación preliminar del riesgo de control para una aseveración del estado
financiero debería ser alta a menos que el auditor:
 Pueda identificar controles internos relevantes a la aseveración que sea
probable que prevengan o detecten y corrijan una representación errónea de
importancia relativa.

 Planee desempeñar pruebas de control para soportar la evaluación.

Documentación de la comprensión y la evaluación del riesgo de control

El auditor debe documentar en los papeles de trabajo de la auditoría:

 La comprensión obtenida de los sistemas de contabilidad y de control interno

de la entidad; y

 La evaluación del riesgo de control.

Cuando el riesgo de control es evaluado como menos que alto, el auditor debería
documentar también la base para las conclusiones.

Pruebas de control

El auditor debe obtener evidencia de auditoría por medio de pruebas de control para
soportar cualquiera evaluación del riesgo de control que sea menos que alto. Mientras
más baja sea la evaluación del riesgo de control, más soporte debería obtener el
auditor de que los sistemas de contabilidad y de control interno están adecuadamente
diseñados y operando en forma efectiva.

Basado en los resultados de las pruebas de control, el auditor debe evaluar si los
controles internos están diseñados y operando según se contempló en la evaluación
preliminar de riesgo de control. El hallazgo de desviaciones puede dar como resultado
que el auditor concluya que es necesario modificar la evaluación del riesgo de control.
En tales casos el auditor debe modificar también la naturaleza, oportunidad y alcance
de los procedimientos sustantivos planeados.

Evidencia

El auditor debe utilizar procedimientos para obtener un conocimiento del control

interno, lo cual incluye reunir evidencia sobre el diseño de controles internos y si se
han puesto en operación. Por lo general, son tres métodos los que utilizan los auditores
para obtener y documentar su conocimiento del diseño de control interno: las
narrativas, los diagramas de flujo y los cuestionarios de control interno (¿Desea saber
más? Vea también: ¿Cómo documentar el conocimiento del control
interno?). Adicionalmente, el auditor hace revisiones exhaustivas, revisa los datos de
auditorías anteriores y realiza pruebas de control y procedimientos sustantivos.

Comunicaciones

Como parte del conocimiento del control interno y la evaluación del riesgo de control,
se requiere que el auditor comunique las deficiencias importantes y debilidades
materiales por escrito al comité de auditoría. Con frecuencia, esta información y otras
recomendaciones relacionadas con los controles también se comunican a la
administración.

Evaluación final del riesgo de control

El auditor utiliza toda la información analizada para hacer una evaluación subjetiva del
riesgo de control para cada objetivo. Existen diferentes formas de expresar esta
evaluación. Algunos auditores utilizan una expresión subjetiva como: alta, moderada o
baja. Otros utilizan probabilidades numéricas como 1.0, 0.6, o 0.2.

Antes de la conclusión de la auditoría y basado en los resultados de los procedimientos

sustantivos y de otra evidencia de auditoría obtenida, el auditor debe revisar si la
evaluación del riesgo de control fue adecuada y presentar su concepto definitivo sobre
el sistema de control interno.

Referencias:

IFAC - Normas Internacionales de Auditoría