Una auditoría siempre está expuesta a distintos riesgos que pueden afectar su realización. Al ser consiente de ellos, el auditor puede estimar cuál es la probabilidad de que haya errores en los estados financieros del cliente y, en esa forma, definir los procedimientos de auditoría que debe llevar a cabo, la cantidad de evidencias que debe recoger y el nivel de errores que puede aceptar en el desarrollo de la misma.
Los riesgos de auditoría pueden clasificarse en los siguientes tipos:
Riesgos inherentes
Los riesgos inherentes son aquellos propios de la naturaleza de la entidad y que son independientes de su sistema de control interno. En otras palabras, son los riesgos que se encuentran presentes en la entidad, antes de considerar las actividades de control establecidas por la gerencia para mitigarlos.
En la medida en que el auditor conozca cuáles son los riesgos inherentes de la entidad, este tendrá mayor facilidad para planear la auditoría y decidir dónde concentrará sus esfuerzos.
Lo anterior, debido a que cuando el auditor conoce qué áreas de los estados financieros presentan un mayor riesgo inherentes, se concentrará en efectuar una mayor cantidad de procedimientos de auditoría que le permitan mitigar dichos riesgos.
Para evaluar cuáles son los riesgos inherentes de la auditoría, es necesario que el auditor obtenga un conocimiento de la entidad que le permita analizar, de acuerdo con el sector al que pertenece la entidad y a las operaciones que realiza, cuáles son las áreas que podrían tener mayor riesgo de incorrecciones.
Riesgo de control
Las entidades deben establecer actividades de control que les permitan prevenir, detectar y corregir las desviaciones que se presentan en sus procedimientos. Dichas actividades de control deben apuntar a mitigar los principales riesgos a los que se expone la entidad.
Pues bien, el riesgo de control hace referencia a la probabilidad que existe de que esos controles no permitan detectar y corregir los errores a tiempo. Dicho de otra manera, el riesgo de control es la probabilidad de que los controles de la entidad fallen.
Entre más eficaces sean los controles de la entidad, menor será el riesgo de control y, por tanto, el auditor podrá establecer una menor cantidad de procedimientos de auditoría.
Por el contrario, cuando el riesgo de control sea alto, el auditor deberá programar mayores procedimientos de auditoría que le permitan mitigar esos riesgos.
Al desarrollar procedimientos de auditoría, el auditor disminuye el riesgo de control de la entidad, lo que le permite ganar más confianza sobre la evidencia obtenida.
Riesgo de detección
El riesgo de detección está relacionado con la posibilidad de que los procedimientos de auditoría no detecten los errores.
Siempre hay posibilidades de que el auditor no detecte el 100 % errores, y por eso siempre existirá riesgo de detección, aunque sea mínimo.
Por lo anterior, el que el auditor debe establecer cuál es el riesgo mínimo de detección que va a aceptar, el cual debe ser aquel que le permita asegurar que los estados financieros no contienen errores importantes.