12
Ene
2023

Novedades NIA-ES 315 (Revisada) Identificación y valoración del Riesgo de Incorrección Material

12 enero, 2023
,

Encuadre normativo

Mediante Resolución de 14 de octubre de 2021, del Instituto de Contabilidad y Auditoría de Cuentas, se publicaron una serie de Normas Técnicas de Auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España. En concreto la NIA-ES 250 (Revisada) “Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros” la NIA-ES 315 (Revisada) “Identificación y valoración del riesgo de incorrección material”, y la NIA-ES 610 (Revisada) “Utilización del trabajo de los auditores internos”.

Cabe recordar que estas normas serán de aplicación obligatoria, para los trabajos de auditoría de cuentas referidos a cuentas anuales o a otros estados financieros o documentos contables correspondientes a ejercicios económicos que se inicien a partir del 1 de enero de 2022, así como para aquellos encargados a partir del 1 de enero de 2023, independientemente de los ejercicios económicos a los que se refieran sus estados financieros. Es por ello por lo que, sin ánimo de ser 100% exhaustivos y teniendo en cuenta la fecha en la que nos encontramos, creemos que puede resultar de gran ayuda extraer las principales novedades, los objetivos que estas revisiones persiguen, así como las ampliaciones y explicaciones más relevantes de sus nuevos contenidos.

Antes de entrar en materia, nos gustaría recalcar que, si bien las normas revisadas son bastante más extensas que las de sus predecesoras, no existen cambios significativos que modifiquen el enfoque y tratamiento de los trabajos requerido a los auditores. Si bien es cierto que en ocasiones aparecen nuevos conceptos antes no tratados, lo cierto es que fundamentalmente se centran en ampliar las explicaciones, aportar ejemplos o matizar ideas que por lo general ya subyacían del estudio de la norma en su totalidad.

Dicho lo cual pasaremos a profundizar un poco en cada una de las normas revisadas, comenzando por la NIA-ES 315 (Revisada) “Identificación y valoración del riesgo de incorrección material”.

 Objetivos, desarrollo y novedades incorporadas a la nueva norma

Los requerimientos revisados se centran en “qué” se necesita hacer, y la guía de aplicación mejorada, modernizada y reorganizada en describir “por qué” y “cómo” se han de aplicar los procedimientos. Así pues, el resultado esperado que se pretende después de su publicación y, por lo tanto, sus objetivos a cumplir son los siguientes:

  1. Promover la coherencia en la aplicación de los procedimientos de identificación y valoración de riesgos.
  2. Graduación en los trabajos de auditoría mediante requerimientos “escalables” que ayude en el ejercicio del juicio profesional del auditor y a determinar los procedimientos de auditoría necesarios, mejorando la adaptabilidad a todo tipo de entidades, según su naturaleza y complejidad.
  3. Fomentar una evaluación de riesgos más sólida, y por tanto respuestas, enfocado a riesgos identificados.
  4. Ayudar a los auditores mediante material orientativo que reconozca un entorno en evolución, incluso en relación con la tecnología de la información.

Estos objetivos van encaminados a mejorar la calidad de los procesos de auditoría, siendo el eje de su consecución la correcta aplicación del escepticismo profesional a la hora de realizar la evaluación de los riesgos. En este sentido, la norma ha tratado de mejorar sus requisitos.

La nueva norma introduce algunos conceptos nuevos y otros que son matizados. Entre los primeros destacamos los siguientes:

  1. Graduación: se indica que la NIA-ES 200 establece que algunas NIA incluyen consideraciones que permiten hacer escalable el proceso de auditoría en función de la naturaleza y complejidad de las entidades.
  2. Los factores de riesgo inherente: introducido para ayudar en la valoración de los riesgos. Pueden ser:
  • Cualitativos: incluyen complejidad, subjetividad, cambio, incertidumbre o susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude, o
  • Cuantitativos como su significatividad cuantitativa o cualitativa y el volumen o la falta de uniformidad en la composición de los elementos que deben ser procesados.
  1. El espectro de riesgo inherente: sirve para ayudar al auditor a aplicar su juicio profesional al determinar la significatividad combinando la probabilidad (considerando los factores de riesgo inherente) de que exista una incorrección y de su magnitud (materialidad), en un rango de mayor a menor, cuando se valoran los Riesgos de incorrección material.

Este rango variará según la naturaleza, dimensión y complejidad de la entidad y tiene en cuenta la valoración de la combinación de la probabilidad de que ocurra una incorrección y su magnitud, así como de los factores de riesgo inherente, para determinar en qué punto del espectro de riesgo inherente (rango) valora que se sitúa.

  1. La norma incluye una definición de qué se entiende por controles y pone el foco en tratar de identificar su naturaleza y alcance necesario para los controles directos e indirectos en el sistema de control interno.
  2. Se incorporan y definen conceptos relacionados con las tecnologías de la información, tales como controles sobre procesos de tecnologías de la información, controles de procesamiento de información, Entorno de TI y riesgos valorados del uso TI.
  3. Se incide en una mayor comprensión del marco de información financiera aplicable y en mejorar el enfoque de los requisitos de información financiera de la entidad.

Por otro lado, los conceptos matizados por la norma revisada son los siguientes:

  1. Riesgo significativo: es aquel para el que la valoración del riesgo inherente se encuentra próxima al límite superior del espectro de riesgo inherente debido al grado en el que los factores de riesgo inherente afectan a la combinación de la probabilidad de que exista una incorrección y a la magnitud de la incorrección potencial. También lo serán aquellos que deban ser tratados como riesgo significativo de conformidad con los requerimientos de otras NIA-ES.
  2. La importancia de las afirmaciones queda muy reforzada al detallarse exhaustivamente su utilización a lo largo del proceso auditor, ampliando su definición y haciéndola más comprensible.

Finalmente, de la lectura de la norma revisada se identifican otras novedades que creemos vale la pena reseñar:

  1. Valoración separada del riesgo inherente y del riesgo de control de forma expresa y detallada: solo se exige valorar el riesgo de control si se tiene previsto probar la eficacia operativa de los controles o cuando los procedimientos sustantivos por sí solos no proporcionan suficiente evidencia de auditoría a nivel de afirmación. De lo contrario, su valoración del riesgo de incorrección material será la misma que la valoración del riesgo inherente. De este modo se evita realizar valoraciones de Riesgo inherente inadecuadamente bajas sin haber evaluado el diseño y probado la eficacia operativa de dichos controles. Esta consideración es muy apropiada, puesto que la propia norma establece que en la evaluación del riesgo inherente no deben de considerarse los controles de la entidad.
  2. El control interno adaptado a COSO 2013: se actualizan todos los aspectos relativos a los componentes de un sistema de control interno de acuerdo con lo establecido por COSO 2013.
  3. El conocimiento de las actividades de control: la nueva NIA-ES 315 (Revisada), elimina el concepto de controles relevantes para la auditoría, concretando los controles que el auditor debe conocer obligatoriamente (A150 y A151). La nueva norma está pensada y desarrollada para auditar en los actuales entornos de administración electrónica avanzados y establecer los procedimientos de auditoría, para identificar y valorar riesgos en ellos. Concede un énfasis importante a la consideración de los riesgos tecnológicos y ofrece una amplia orientación sobre el conocimiento de las TI y la identificación de los riesgos derivados del uso de las TI, en especial en su Anexo 5 “Consideraciones para el conocimiento de las tecnologías de la información”, donde se incluyen orientaciones sobre los casos en que puede haber un mayor riesgo relacionado con la ciberseguridad.

Por otro lado, el Anexo 6 “Consideraciones para el conocimiento de los controles generales de TI (CGTI)” proporciona consideraciones adicionales para que el auditor tenga en cuenta en el conocimiento de los CGTI.

Los CGTI son las políticas y procedimientos que se aplican a los sistemas de información y aseguran su correcto funcionamiento. Su finalidad es establecer un marco general de control y confianza sobre las actividades del sistema informático y asegurar razonablemente la consecución de los objetivos generales de control interno y el correcto funcionamiento de los controles de procesamiento de la información. Al tener un efecto generalizado, si no funcionan adecuadamente, se imposibilita que se pueda confiar en los controles de los procedimientos y aplicaciones de gestión. Desde el punto de vista del auditor, debe garantizarse que los CGTI proporcionar una garantía razonable de que los datos, la información y los activos de los sistemas de información cumplen con los criterios de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.

Todo ello influye en las cualificaciones demandadas por el equipo auditor. En el párrafo A171 se insiste en que cuando el entorno de TI de una entidad es más complejo se requiere la participación de miembros del equipo con cualificaciones especializadas en TI, siendo posible que en ocasiones resulte esencial.

Conclusión

Podríamos decir que la nueva NIA-ES 315 (Revisada) es la que ha sufrido mayores modificaciones, sin embargo, y como ya veníamos alertando, el modelo de riesgo de auditoría y su objetivo de identificar y valorar los riesgos de incorrección material en los estados financieros y en las afirmaciones, ya sea por fraude o error, no han cambiado.

Se realiza un esfuerzo en cuanto a la transmisión al lector de la importancia de obtener por parte del auditor un conocimiento de las actividades de control, donde cada vez tiene una mayor relevancia el entorno TI.

El último de los aspectos que consideramos más destacables, la revisión, trata de aportar una mayor ayuda a la hora de valorar los riesgos inherentes identificados, así como de apuntalar la idea de que la valoración del riesgo inherente y del riesgo de control se deben realizar de forma separada.

 

Accede aquí para descargar el pdf. completo de la NIA-ES 315

Últimas noticias

auditor
El relevo generacional ya ha comenzado…pese a algunos frenos
23 marzo, 2023By
Palancas económicas ¿una alternativa a la financiación crediticia de las empresas?
16 marzo, 2023By
Papel del asesor en la compraventa de empresas
28 febrero, 2023By