¿Cómo se determina e identifica los tipos de riesgos hay que incluir en las KAM o AMRA?

Hace poco tiempo escribí en este blog un post titulado: ¿Qué tipo de riesgos hay que incluir en la sección AMRA?.

En él llegamos a la conclusión que el tipo de riesgo que debe ser incluido en la sección KAM o AMRA son aquellas cuestiones más significativas de incorrección material, que se seleccionarán entre las comunicadas a los Responsables de Gobierno de la Entidad (RGE).

Las cuestiones no significativas de incorrección material, no caben aquí, por la propia definición dada por la norma de las Cuestiones Calve de Auditoria, que extendemos lógicamente al concepto de AMRA. Puede verse en los requerimientos núms. 9, 2, 5, 10 y en la Guía de Aplicación A9, A10, A14, A20 y A25 de la NIA-ES 701, así como el articulo 5.1 c) de la Ley de Auditoría de Cuentas.

A estos efectos la Guía A20 de la NIA-ES 701 indica: “La NIA 315 (Revisada) define el riesgo significativo como un riesgo identificado y valorado de incorrección material que, a juicio del auditor, requiere una consideración especial en la auditoría. Las áreas en las que la dirección aplica juicios significativos y las transacciones significativas inusuales se pueden, a menudo, identificar como riesgos significativos. En consecuencia, los riesgos significativos son, a menudo, áreas que requieren atención significativa del auditor”.

Para determinar cómo podemos identificar aquellos riesgos que se deben de incluir en el informe de auditoría como riesgos más significativos, resulta fundamental partir del requerimiento núm. 9 de la NIA-ES 701, que dice lo siguiente:

El auditor determinará, entre las cuestiones comunicadas a los responsables del gobierno de la entidad aquellas que hayan requerido atención significativa del auditor al realizar la auditoria. Para su determinación, el auditor tendrá́ en cuenta lo siguiente:


(a) Las áreas de mayor riesgo valorado de incorrección material, o los riesgos significativos identificados de conformidad con la NIA 315 (Revisada).


……….”

 

En resumen, debemos de seguir el siguiente orden, para identificar las KAM/AMRA:

 

1.      En primer lugar, determinar las áreas de mayor riesgo valorado de incorrección material, comunicadas a los RGE

2.      De entre ellas, aquellas que han requerido mayor atención significativa, Riesgos significativos.

3.      Extraer de ahí aquellas que serán consideradas KAM/AMRA.

 

Para realizar este proceso, en mi opinión, hay tres NIA-ES que nos pueden ayudar a ello:

1.     NIA-ES 260, Comunicación con los responsables del gobierno de la entidad.

2.     NIA-ES 315. Identificación y valoración de los riesgos de incorreción material mediante el conocimiento de la entidad y su entorno.

3.     NIA-ES 200. Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las Normas Internacionales de Auditoria.

 

 

^Para ello recomiendo la obra “Normas internacionales de Auditoría adaptadas para su aplicación en España por el ICAC” de Ediciones Francis Lefebvre El Derecho. (en adelante Manual)

 

En cuanto a la NIA-ES 260, llamamos la atención sobre los riesgos que se deben comunicar a los Responsables del Gobierno de la Entidad (RGE), y podemos resaltar lo indicado en la página 65 del Manual:

 

1.     Las responsabilidades en relación con la auditoría de los Estados Financieros.

2.     El alcance y momento de realización de la auditoría planificados.

3.     Los hallazgos significativos de la auditoría.

4.     En el caso de entidades cotizadas y de Interés Público (EIP), cuestiones relativas a los requerimientos éticos y de independencia del auditor.

5.     En el caso de EIPs adicionalmente deberán comunicarse las cuestiones que indique la legislación.

 

Con respecto a la identificación de posibles KAM/AMRA, llamamos la atención sobre el punto 3 los hallazgos significativos de la auditoría que estarán basados sobre los riesgos más significativos de la entidad.

 

Con estos riesgos de incorrección material, se elabora la denominada Matriz de Riesgos (páginas 443 y ss del Manual), según requerimiento 28 de la NIA-ES 315, y se destacan los que son más significativos:

 

–       Transacciones con partes vinculadas.

–       Transacciones significativas.

–       Estimaciones.

–       Transacciones significativas próximas al cierre.

–       Transacciones ajenas al curso normal de los negocios.

–       Otros….

 

La comunicación sobre estos riesgos a los RGE se debe hacer en la fase de planificación, esto es antes de realizar la ejecución de la auditoría, lógicamente según la NIA-ES 200 se realizará cuando se obtiene conocimiento de la entidad y su entorno, que es el momento donde identificamos y valoramos los riesgos de incorrección material debida a fraude o error (véase página 30 del Manual).

Para más claridad, en la misma NIA-ES 200 se define el riesgo de incorrección material, como riesgo de que los EEFF contengan incorrecciones materiales antes de la realización de la auditoría. El riesgo comprende dos componentes:

a)  Riesgo inherente: susceptibilidad de que una afirmación contenga incorrecciones inmateriales antes de tener en cuenta los posibles controles correspondientes.

b)  Riesgo de control: riesgo de que una incorrección que pudiera existir en una afirmación no sea prevenida, o detectada y corregida oportunamente, por el sistema de control interno de la entidad. (véase página 32 del Manual).

Por lo tanto, el riesgo de incorrección material está compuesto por el riesgo inherente y el riesgo de control.

En cuanto a la confección de la matriz de riesgos de incorrección material para cada área, con el fin de determinar el alcance de las pruebas, se valora lógicamente a partir del Riesgo Inherente y el Riesgo de Control. Es cierto que en la fase de planificación no puede conocer con precisión el riesgo de control, pero existe una evaluación preliminar del control que sirve como base (nivel de confianza previo depositado en los controles).

Pero nos podemos preguntar, ¿Qué diferencia hay entre riesgo inherente de incorrección material y riesgo significativo?

Para determinar el riesgo significativo no se deben tener en cuenta el riesgo de control. Es lo que se indica en el requerimiento 27 de la NIA-ES 315: 27. “Como parte de la valoración del riesgo descrita en el apartado 25, el auditor determinará si alguno de los riesgos identificados es, a su juicio, un riesgo significativo. En el ejercicio de dicho juicio, el auditor excluirá los efectos de los controles identificados relacionados con el riesgo”.

También en la NIA-ES 315, requerimiento 28 y 29 nos ofrece algunas consideraciones para detectar el riesgo significativo:

“28. Para juzgar los riesgos que son significativos, el auditor considerará, al menos, lo siguiente:

(a) si se trata de un riesgo de fraude;

(b) si el riesgo está relacionado con significativos y recientes acontecimientos económicos, contables o de otra naturaleza y, en consecuencia, requiere una atención especial;

(c) la complejidad de las transacciones;

(d) si el riesgo afecta a transacciones significativas con partes vinculadas;

(e) el grado de subjetividad de la medición de la información financiera relacionada con el riesgo, en especial aquellas mediciones que conllevan un elevado grado de incertidumbre; y

(f) si el riesgo afecta a transacciones significativas ajenas al curso normal de los negocios de la entidad, o que, por otras razones, parecen inusuales. (Ref: Apartados A119-A123)

29. Si el auditor ha determinado que existe un riesgo significativo, obtendrá conocimiento de los controles de la entidad, incluidas las actividades de control, correspondientes a dicho riesgo. (Ref: Apartados A124-A126)”

En conclusión, el “riesgo de incorrección material” por definición está siempre en función del riesgo inherente y el riesgo de control. Pero, a la hora de identificar un riesgo como “riesgo significativo “es cuando no deberemos de tener en consideración el riesgo de control.

Pues bien, esto nos ofrece ya una idea sobre los riesgos más significativos de donde pueden surgir KAM/AMRA.

En cualquier caso, también hay que decir en cuanto a la planificación hay que decir que es un concepto vivo y que durante la auditoría se puede ir actualizando, y se pueden por tanto ir añadiendo riesgos a la matriz de riesgos.

Dicho de otro modo, en la determinación de los riesgos significativos, se deberá tener en cuenta solamente el riesgo inherente de la entidad, sin considerar el riesgo de control que puede mitigarlos. Véase en este sentido lo indicado en el Manual páginas 443 y siguiente en la elaboración de la matriz de riesgos en la fase de planificación.

Para más claridad en la página 82 del manual, puede verse la siguiente frase:  “Como parte de la valoración del riesgo el auditor determinará si alguno del riesgo identificados es a su juicio significativo. En el ejercicio de dicho juicio, el auditor excluirá los efectos de los controles identificados relacionados con el riesgo.” (sobre la base de lo indicado en el requerimiento 27 de la NIA-ES 315)

En consecuencia, como resumen, se puede decir que las KAM/AMRA habrá que buscarlas entre las de áreas de mayor riesgo significativos valorados e identificados de conformidad con la NIA 315 (Revisada). De ahí habrá que seleccionar aquellas que han sido comunicadas a los RGE, sobre la base de las que tienen un mayor riesgo significativo. Todo esto en la fase de planificación.

Finalmente, en la fase de confección del informe habrá que seleccionar aquellas que deben ser incluidas como KAM/AMRA.

 

 FASE PLANIFICACIÓN        

CUESTIONES COMUNCADAS A LOS RESPONSABLES DEL GOBIERNO DE LA ENTIDAD.

 

     

CUESTIONES QUE REQUIEREN MAYOR ATENCIÓN SIGNIFICATIVA.

 

 
 FASE INFORMES   FASE INFORMES               KAM/AMRA   

Figura tomada y traducida del IAASB (ver página 243 del Manual)

Por ejemplo, supongamos la auditoría de una cadena de restaurantes, donde las ventas tienen un riesgo inherente de incorrección material, ya que la mayoría de los ingresos por ventas se realizan en efectivo.  En consecuencia, el área de ventas es un área con un riesgo inherente de incorreción material es elevado.

Imaginemos que en esta entidad existe un control interno muy potente, pero como estamos en la fase de planificación todavía no se ha realizado ninguna prueba de control. También es cierto que tenemos una cierta idea preliminar sobre el funcionamiento posible del Control Interno, pero para determinar si dicho riesgo es significativo solamente tenemos que prestar atención al riesgo inherente ya que solamente se puede hablar de nivel de confianza en el control (evaluación previa del control), por lo tanto, ésta será un área de mayor riesgo de incorrección material según la matriz de riesgos que deberá ser comunicada a los RGE en la fase de planificación. Y por lo tanto, lo determinamos como riesgo significativo.

Tras la fase de ejecución, y después de haber hecho las pruebas de control y sustantivas adecuadas en función del riesgo final de auditoría, si finalmente no existe incorreción material en el área de reconocimiento de ingresos, se puede decidir que se incluya como  una KAM/AMPRA ya que se han comunicado previamente a los RGE y ha requerido una atención especial por parte de los auditores, entonces como una respuesta al riesgo valorado de incorrección material se indicará el control interno que ejerce la entidad y el trabajo realizado por el auditor para valorarlo.

Otra cosa será la simplificación que se realice en el caso de AMPRA, pero eso es otra cuestión.

Post publicado en: https://gregorio-labatut.blogspot.com.es/2018/03/como-se-determina-e-identifica-los.html

Un saludo cordial.

Gregorio Labatut Serer

Director de los próximos eventos organizados por la Fundación Universidad Empresa. ADEIT de la Universidad de Valencia, homologados por el ICAC para la formación de los auditores de cuentas:

Jornadas y seminarios presenciales:

Día 13 de abril de 2018. La nueva norma internacional sobre arrendamientos y sus efectos sobre las Cuentas Anuales. https://congresos.adeituv.es/cuentasanuales/ Homologada por el ICAC con 4 horas de formación en contabilidad para auditores inscritos en el ROAC.

Webinars y jornadas on line: Homologadas por el ICAC. http://formacion.adeituv.es/homologacion-icac/jornadas-webinars/

Jornada online 26 de abril de 2018. Métodos actuales de valoración de empresas. Distintas alternativas. Homologada con 4 horas de otras materias.

 

Sin comentarios | Leído 161 veces

Tu puedes enviar una respuesta, or trackback desde tu propio site.

Deja un comentario

*