¿Toda salvedad tiene forzasemente que llevar una evaluación de Riesgo Significativo?

Estimado lector,

Durante un curso en Fundación Aulalearning mantuvimos un debate interesante a partir del cual he decidido hacer esta entrada para plantear la discusión que mantuvimos. Esta entrada tomese como continuación de la entrada que está publicada en el blog sobre matriz de riesgos, donde incluyo una referencia cruzada.

Vaya por delante que yo creo que este tema, si lo piensas, es un tema de metodología y documentación, no es una cuestión de fondo.

A. Introducción al tema de debate 

Dentro de la matriz de riesgo podemos valorar algunos riesgos como RI ALTO sin ser riesgo significativo (son las áreas de mayor riesgo valorado, están en la parte alta sin alcanzar el límite superior R9 NIA-ES 701) ó RI ALTO y Riesgo sifnificativo (el límite superior del espectro de riesgo inherernte R9 NIA-ES 701).

Sobre los riesgos significativos hay que verificar diseño e implementación de controles obligatoriamente y dar respuesta específica. 

Nota IAJ: En el examen ROAC 2024 te pedían detectar varios riesgos alrededor del FC (nosotros este ejercicio exacto lo hicimos en clase), todos eran áreas de mayor riesgo valorado, pero uno de los riesgos era significativo. Tienes un caso similar en el ejemplo 7 del CT 88 del ICJCE. 

Podemos tener una CCA/AMRA sobre áreas de mayor riesgo valorado o Riesgos significativos (R9a de la NIA-ES 701), esto está en la norma tal cual.

Podemos tener una SALVEDAD,  sobre un riesgo detectado que en la planificación valoramos de RI ALTO pero no significativo. En este caso también sería razonable actualizar la valoración del riesgo inicial, aunque ojo al debate al final.

La NIA-ES 300 nos dice que "el auditor actualizará y cambiará cuando sea necesario en el transcurso de la auditoría la estrategia global de auditoría y el plan de auditoría."

La NIA-ES 315 R nos dice que  "El proceso de identificación y valoración de los riesgos por el auditor es iterativo y dinámico."

"Si el auditor obtiene nueva información que es incongruente con la evidencia de auditoría sobre la que el auditor basó inicialmente la identificación o las valoraciones de los riesgos de incorrección material, el auditor revisará la identificación o la valoración."

 Ejemplo del apartado 236 de la guía de aplicación: 

"Durante la realización de la auditoría puede llegar a conocimiento del auditor nueva información u otra información que difiera significativamente de la información sobre la que se basó la valoración del riesgo: 

(...) Del mismo modo, al aplicar procedimientos sustantivos, el auditor puede detectar incorrecciones por cantidades superiores o con mayor frecuencia de lo que corresponde a las valoraciones del riesgo realizadas por el auditor. En tales circunstancias, puede ocurrir que la valoración del riesgo no refleje adecuadamente las verdaderas circunstancias de la entidad y los procedimientos posteriores de auditoría planificados pueden no ser eficaces para detectar incorrecciones materiales. Los apartados 16 y 17 de la NIA 330 proporcionan orientaciones adicionales para la evaluación de la eficacia operativa de los controles."

B. EL DEBATE 

Aquí el tema que planteo es el siguiente, durante el caso planteo una Holding que invierte en proyectos fotovoltaicos en España, valora el tema del cumplimiento normativo de las SPV que están en construcción como RIESGO INHERENTE MEDIO. 

Durante la auditoría tienes un caso de una de las SPV que puede no obtener una licencia final (está al límite de los plazos), si no obtiene esta licencia pierde toda la inversión que está en un 60% financiada por bancos, esta información no la tenías al principio, lo has descubierto al pedir documentación. Esto en el caso es una salvedad por falta de información en memoria y porque no te dejan hacer procedimientos que son necesarios para obtener evidencia suficiente y adecuada.

¿Estamos obligados a revisar la planificación y subir el RI a alto? ¿Estamos obligados a determinar que es un riesgo significativo?

1. Sí, debemos revisar la valoración inicial del riesgo, ya que el hecho de que se pueda perder toda la inversión que está financiada en un 60% con un prestamos bancario sindicado, es incongruente con la valoración inicial que se hizo de RI MEDIO.

2. Es bastante claro que estamos en el límite supeior del espectro de Riesgo Inherente, por un lado la probabilidad es 100% porque la Incorrección está ahí y es material porque estas pensando incluirla en el informe.

Cuando hablamos de magnitud no se trata sólo de una cifra, es un concepto que se acerca más a la materialidad y por tanto si es significativa en términos cualitativos tenemos magnitud ALTA.

El tema para el examen ROAC es más claro ahí plantearía re-evaluar Riesgo Significativo y ampliar procedimientos, en el caso que expusimos ese día.

De cara a la práctiva profesional es donde me pregunto si no se podría defender otra cosa, para evitar tener que ver diseño e implementación de controles y ampliar procedimientos y aquí me comenta un asistente al curso que,  un departamento técnico, le dice que toda salvedad en el informe debe tener aparejada un  Riesgo Significativo. 

La norma no te obliga pero es difícil justificar por pura lógica, el propio apartado 236 de la NIA-ES 315 R ya te  orienta a que vas a tener que ver la eficacia operativa de controles. 

Al final tengo que dar la razón al asistente, al no estar exigido por la norma, en la práctica puedes intentar defender que no tienes que re-evaluar el riesgo o que puedes re-evaluarlo como alto no significativo, por tratarse de alguna circunstancia excepcinal, pero no tiene mucha lógica. 

Por supuesto en la documentación de la matriz de riesgos, hay que dejar trazabilidad clara de cómo ese riesgo evolucionó, aunque en inicio fuera medio/no significativo

Actualizado a 19.09.2025 He matizado mi conclusión y añadido el apartado A236 de la NIA-ES 315 R.

Recibe un cordial saludo.

Ignacio Aguilar.

Preparador examen ROAC.