En cada una de sus etapas, debe tenerse en cuenta que una auditoría siempre está expuesta a distintos riesgos que pueden afectar su realización. Al ser consciente de ellos, el auditor puede estimar cuál es la probabilidad de que haya errores en los estados financieros del cliente y definir los procedimientos de auditoría que debe llevar a cabo, la cantidad de evidencias que debe recoger y el nivel de errores que puede aceptar.
Los riesgos de auditoría pueden clasificarse en los siguientes tipos:
Riesgos inherentes
Los riesgos inherentes son aquellos propios de la naturaleza de la entidad y que son independientes de su sistema de control interno. En otras palabras, son los riesgos que se encuentran presentes en la entidad antes de considerar las actividades de control establecidas por la gerencia para mitigarlos.
En la medida en que el auditor conozca cuáles son los riesgos inherentes de la entidad, tendrá mayor facilidad para planear la auditoría y decidir dónde concentrará sus esfuerzos.
Cuando el auditor conoce qué áreas de los estados financieros presentan un mayor riesgo inherente, se puede concentrar en efectuar una mayor cantidad de procedimientos de auditoría que le permitan mitigar dichos riesgos.
Para evaluar cuáles son los riesgos inherentes de la auditoría, es necesario que el auditor obtenga un conocimiento de la entidad que le permita analizar, de acuerdo con el sector al que esta pertenece y las operaciones que realiza, cuáles son las áreas que podrían tener mayor riesgo de incorrecciones.
Riesgo de control
Las entidades deben establecer actividades de control que les permitan prevenir, detectar y corregir las desviaciones que se presentan en sus procedimientos. Dichas actividades de control deben apuntar a mitigar los principales riesgos a los que se expone la entidad.
Pues bien, el riesgo de control hace referencia a la probabilidad que existe de que esos controles no permitan detectar y corregir los errores a tiempo.
Dicho de otra manera, el riesgo de control es la probabilidad de que los controles de la entidad fallen.
Entre más eficaces sean los controles de la entidad, menor será el riesgo de control y, por tanto, el auditor podrá establecer una menor cantidad de procedimientos de auditoría.
Por el contrario, cuando el riesgo de control sea alto, el auditor deberá programar mayores procedimientos de auditoría que le permitan mitigar esos riesgos.
Al desarrollar procedimientos de auditoría, el auditor disminuye el riesgo de control de la entidad, lo que le permite ganar más confianza sobre la evidencia obtenida.
Riesgo de detección
El riesgo de detección está relacionado con la posibilidad de que los procedimientos de auditoría no detecten los errores.
Siempre hay posibilidades de que el auditor no detecte el 100 % de los errores, y por eso siempre existirá riesgo de detección, aunque sea mínimo.
Por lo anterior, el auditor debe establecer cuál es el riesgo mínimo de detección que aceptará, el cual debe ser aquel que le permita asegurar que los estados financieros no contienen errores importantes.