NORMA INTERNACIONAL DE AUDITORÍA 330

RESPUESTAS DEL AUDITOR A LOS RIESGOS VALORADOS

Introducción

Alcance de esta NIA

Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad que tiene el auditor, en
una auditoría de estados financieros, de diseñar e implementar respuestas a los riesgos de
incorrección material identificados y valorados por el auditor de conformidad con la NIA 315
(Revisada).

Objetivo

El objetivo del auditor es obtener evidencia de auditoría suficiente y adecuada con respecto a
los riesgos valorados de incorrección material mediante el diseño e implementación de
respuestas adecuadas a dichos riesgos.

Definición

A efectos de las NIA, los siguientes términos tienen los significados que figuran a continuación:

Procedimiento sustantivo: procedimiento de auditoría diseñado para detectar incorrecciones

materiales en las afirmaciones. Los procedimientos sustantivos comprenden:

Pruebas de detalle (de tipos de transacciones, saldos contables e información a revelar)

y procedimientos analíticos sustantivos.

Prueba de controles: procedimiento de auditoría diseñado para evaluar la eficacia operativa de

los controles en la prevención o en la detección y corrección de incorrecciones materiales en
las afirmaciones.

Requerimientos

1. Procedimientos de auditoría que responden a los riesgos valorados de incorrección

material en las afirmaciones.
 El auditor diseñará y aplicará procedimientos de auditoría posteriores cuya
naturaleza, momento de realización y extensión estén basados en los riesgos
valorados de incorrección material en las afirmaciones y respondan a dichos
riesgos.
 Considerará los motivos de la valoración otorgada al riesgo de incorrección
material en las afirmaciones para cada tipo de transacción, saldo contable e
información a revelar, incluyendo:
 La probabilidad de que exista una incorrección material debido a las características
específicas del correspondiente tipo de transacción, saldo contable o información a
revelar (es decir, el riesgo inherente)
 Si en la valoración del riesgo se han tenido en cuenta los controles relevantes (es
decir, el riesgo de control), siendo entonces necesario que el auditor obtenga
evidencia de auditoría para determinar si los controles operan eficazmente (es
decir, el auditor tiene previsto confiar en la eficacia operativa de los controles para
la determinación de la naturaleza, momento de realización y extensión de los
procedimientos sustantivos)
 El auditor realizará pruebas sobre los controles en lo que respecta al momento
concreto, o a la totalidad del periodo en relación con el cual tiene previsto confiar
en dichos controles, sin perjuicio de lo dispuesto en los apartados 12 y 15
siguientes, con el fin de obtener una base adecuada para la confianza prevista por
el auditor.
 Para la evaluación de la eficacia operativa de los controles relevantes, el auditor
evaluará si las incorrecciones que se han detectado mediante los procedimientos
sustantivos indican que los controles no están funcionando eficazmente. Sin
embargo, la ausencia de incorrecciones detectadas mediante procedimientos
sustantivos no constituye evidencia de auditoría de que los controles relacionados
con la afirmación que son objeto de pruebas sean eficaces.
 Cuando se detecten en una fecha intermedia incorrecciones que el auditor no
esperaba en su valoración de los riesgos de incorrección material, el auditor
evaluará si resulta necesario modificar la correspondiente valoración del riesgo y la
naturaleza, el momento de realización o la extensión planificados de los
procedimientos sustantivos planificados que cubren el periodo restante.
2. Adecuación de la presentación y de la información revelada

El auditor aplicará procedimientos de auditoría para evaluar si la presentación global de los

estados financieros es conforme con el marco de información financiera aplicable. Al
realizar esta evaluación, el auditor considerará si los estados financieros se presentan de un
modo que refleja adecuadamente:

 la clasificación y la descripción de la información financiera y de las transacciones,

hechos y condiciones subyacentes, y
 la presentación, estructura y contenido de los estados financieros.

3. Evaluación de la suficiencia y adecuación de la evidencia de auditoría

Sobre la base de los procedimientos de auditoría aplicados y de la evidencia de auditoría

obtenida, el auditor evaluará, antes de que termine la auditoría, si la valoración de los
riesgos de incorrección material en las afirmaciones sigue siendo adecuada.

El auditor concluirá si se ha obtenido evidencia de auditoría suficiente y adecuada. Para

formarse una opinión, el auditor considerará toda la evidencia de auditoría relevante,
independientemente de si parece corroborar o contradecir las afirmaciones contenidas en
los estados financieros.

Documentación

El auditor incluirá en la documentación de auditoría:

Las respuestas globales frente a los riesgos valorados de incorrección material en los estados
financieros, y la naturaleza, momento de realización y extensión de los procedimientos de
auditoría posteriores aplicados; la conexión de dichos procedimientos con los riesgos valorados
en las afirmaciones y los resultados de los procedimientos de auditoría, incluidas las
conclusiones cuando éstas no resulten claras.

Si el auditor planifica utilizar evidencia de auditoría obtenida en auditorías anteriores sobre la

eficacia operativa de los controles, en la documentación de auditoría incluirá las conclusiones
alcanzadas sobre la confianza en los controles sobre los que se realizaron pruebas en una
auditoría anterior.

Guía de aplicación y otras anotaciones explicativas

El conocimiento del entorno de control por el auditor afecta a la valoración que hace de los
riesgos de incorrección material en los estados financieros, y, por lo tanto, a sus respuestas
globales. Un entorno de control eficaz puede permitirle tener más confianza en el control
interno y en la fiabilidad de la evidencia de auditoría generada internamente por la entidad,
permitiéndole, por ejemplo, aplicar procedimientos de auditoría en una fecha intermedia en
vez de aplicarlos al cierre del periodo. Sin embargo, las deficiencias en el entorno de control
tienen el efecto opuesto. El auditor puede responder a un entorno de control ineficaz, por
ejemplo:

 Mediante la aplicación de un mayor número de procedimientos de auditoría al cierre

del periodo que en una fecha intermedia.
 A través de la obtención de evidencia de auditoría más amplia a partir de
procedimientos sustantivos.
 Incrementando el número de ubicaciones que deben incluirse en el alcance de la
auditoría.

Procedimientos de auditoría que responden a los riesgos valorados de incorrección material

en las afirmaciones.

 La naturaleza de un procedimiento de auditoría se refiere a su objeto (es decir, prueba

de controles o procedimiento sustantivo) y a su tipo (es decir, inspección, observación,
indagación, confirmación, recálculo, re ejecución o procedimiento analítico). La
naturaleza de los procedimientos de auditoría es fundamental para responder a los
riesgos valorados.
 El momento de realización de un procedimiento de auditoría se refiere al momento en
el que se aplica, o al periodo o fecha al que corresponde la evidencia de auditoría.
 La extensión de un procedimiento de auditoría se refiere al volumen cuantitativo de lo
que ha de realizarse, por ejemplo, el tamaño de la muestra o el número de
observaciones de una actividad de control.
 El diseño y la aplicación de procedimientos de auditoría posteriores cuya naturaleza,
momento de realización y extensión se basan en los riesgos valorados de incorrección
material en las afirmaciones y responden a ellos, proporcionan una correspondencia
clara entre los procedimientos de auditoría posteriores y la valoración del riesgo.
CASO PRACRICO

Auditoría de la Empresa ABC S.A.

Contexto

La empresa ABC S.A. es una compañía de tecnología que desarrolla software para clientes
corporativos. La empresa ha crecido rápidamente en los últimos años y ha solicitado una
auditoría externa para sus estados financieros del año 2023. La auditoría será realizada por la
firma de auditoría XYZ Auditores.

Identificación y Valoración de Riesgos

Durante la fase de evaluación de riesgos, los auditores de XYZ Auditores identificaron varios
riesgos de incorrección material en los estados financieros de ABC S.A. Algunos de estos riesgos
incluyen:

Reconocimiento de ingresos: Riesgo de que los ingresos sean registrados antes de que los
servicios hayan sido proporcionados.

Valoración de intangibles: Riesgo de que los activos intangibles (software en desarrollo) estén
sobrevaluados.

Fraude: Riesgo de fraude debido a la rápida expansión de la empresa y la presión para cumplir
con las expectativas de crecimiento.

Paso 1: Respuesta Global al Riesgo

Como respuesta global a los riesgos valorados, los auditores de XYZ Auditores deben ajustar su
enfoque de auditoría. Esto puede incluir:

Aumentar la asignación de recursos: Designar auditores más experimentados para áreas de

mayor riesgo.

Mayor escepticismo profesional: Mantener un escepticismo profesional adicional al evaluar

evidencia de auditoría.

Supervisión adicional: Incrementar la supervisión de los trabajos realizados por el equipo de

auditoría.

Paso 2: Procedimientos de Auditoría para Responder a Riesgos Específicos

Además de las respuestas globales, los auditores deben diseñar y aplicar procedimientos de
auditoría específicos para responder a los riesgos identificados.

1. Reconocimiento de Ingresos:

Procedimiento: Realizar pruebas sustantivas detalladas sobre una muestra de transacciones de

ingresos para verificar que los ingresos se registran solo cuando los servicios han sido
proporcionados.

Acción: Revisar contratos con clientes para entender los términos de reconocimiento de
ingresos y confirmar que el reconocimiento está en línea con los principios contables
aplicables.
2. Valoración de Intangibles:

Procedimiento: Revisar las valoraciones de los activos intangibles (software en desarrollo) y

evaluar la razonabilidad de las estimaciones de valor.

Acción: Verificar el progreso del desarrollo del software y evaluar la viabilidad futura de los
proyectos en desarrollo. Revisar los informes de expertos independientes si es necesario.

3. Riesgo de Fraude:

Procedimiento: Implementar procedimientos de auditoría diseñados específicamente para

detectar posibles fraudes.

Acción: Realizar entrevistas con empleados clave, revisar correos electrónicos y otra
correspondencia, y analizar transacciones inusuales o significativas cerca de las fechas de
cierre.

Paso 3: Evaluación y Documentación

Después de realizar los procedimientos de auditoría, los auditores deben evaluar los resultados
y documentar sus hallazgos. Esto incluye:

Evaluación de Evidencia: Evaluar si la evidencia obtenida proporciona una base razonable para
las conclusiones alcanzadas respecto a los riesgos identificados.

Documentación: Documentar todas las respuestas a los riesgos valorados, los procedimientos
realizados y los resultados obtenidos. Esto asegura que el proceso de auditoría sea
transparente y rastreable.

Ejemplo de Documentación:

Reconocimiento de Ingresos: Se seleccionaron 50 transacciones de ingresos. Se verificó que en

todas las transacciones los ingresos se reconocieron correctamente cuando se completaron los
servicios.

Valoración de Intangibles: Se revisaron los proyectos de software en desarrollo con un valor

total de $5,000,000. Todos los proyectos revisados están en etapas avanzadas de desarrollo y
se espera que generen beneficios futuros.

Fraude: Se llevaron a cabo entrevistas con 10 empleados clave y se revisaron 100 correos
electrónicos. No se identificaron indicios de fraude.

Conclusión

Al aplicar la NIA 330, los auditores de XYZ Auditores pudieron diseñar respuestas adecuadas a
los riesgos valorados en la auditoría de los estados financieros de ABC S.A. Este enfoque
permitió abordar los riesgos de manera efectiva y proporcionar una opinión de auditoría
basada en evidencia suficiente y apropiada.

PREGUNTAS

1. ¿Cuál es el objetivo principal de la NIA 330?

2. ¿Qué tipos de respuestas debe considerar el auditor al abordar los riesgos valorados?
3. ¿Qué factores debe considerar el auditor al diseñar respuestas globales a los riesgos
valorados?
4. ¿Cuáles son algunos ejemplos de procedimientos específicos que el auditor podría aplicar
para riesgos significativos?
5. ¿Cómo debe el auditor responder al riesgo de fraude identificado durante la valoración de
riesgos?
6. ¿Qué debe incluir la documentación del auditor respecto a las respuestas a los riesgos
valorados?
7. ¿Qué importancia tiene la supervisión del trabajo del equipo de auditoría según la NIA
330?
8. ¿Cómo deben los auditores evaluar la suficiencia y adecuación de la evidencia de auditoría
obtenida?

NORMA INTERNACIONAL DE AUDITORÍA 402

 CONSIDERACIONES DE AUDITORÍA RELATIVAS A UNA ENTIDAD QUE UTILIZA UNA
ORGANIZACIÓN DE SERVICIOS

Introducción

Alcance de esta NIA

Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad que tiene el auditor de
la entidad usuaria de obtener evidencia de auditoría suficiente y adecuada cuando la entidad
usuaria utiliza los servicios de una o más organizaciones de servicios. Muchas entidades
externalizan aspectos de su negocio con organizaciones que prestan servicios que comprenden
desde la realización de una tarea específica, bajo la dirección de una entidad, hasta la
sustitución de unidades o funciones enteras de negocio de la entidad, tal como la función de
cumplimiento de obligaciones fiscales. Muchos de los servicios prestados por dichas
organizaciones son parte integrante de las actividades empresariales de la entidad. Sin
embargo, no todos los citados servicios son relevantes para la auditoría.

Los servicios prestados por la organización de servicios son relevantes para la auditoría de
estados financieros de la entidad usuaria cuando dichos servicios y los controles sobre ellos son
parte del sistema de información de la entidad usuaria, incluidos los correspondientes
procesos de negocio, relevantes para la información financiera. Si bien es probable que la
mayoría de los controles de la organización de servicios estén relacionados con la información
financiera, pueden existir otros controles que también sean relevantes para la auditoría, como
los controles sobre la salvaguarda de los activos.

La naturaleza y extensión del trabajo a realizar por el auditor de la entidad usuaria con respecto
a los servicios prestados por la organización de servicios dependen de la naturaleza de dichos
servicios y su significatividad para la entidad usuaria, así como de su relevancia para la
auditoría.

Objetivos

Los objetivos del auditor de la entidad usuaria, cuando ésta utiliza los servicios de una
organización de servicios, son:

 obtener conocimiento suficiente de la naturaleza y significatividad de los servicios

prestados por la organización de servicios y de su efecto en los controles internos de la
entidad usuaria relevantes para la auditoría, para identificar y valorar los riesgos de
incorrección material; y
 diseñar y aplicar procedimientos de auditoría para responder a dichos riesgos.

Definiciones

A efectos de las NIA, los siguientes términos tienen los significados que figuran a continuación:

 Controles complementarios de la entidad usuaria - Controles que la organización de

servicios, en el diseño de su servicio, asume que serán implementados por las
entidades usuarias. Si es necesario para alcanzar los objetivos de control, estos
controles complementarios se identificarán en la descripción del sistema.
 Informe sobre la descripción y el diseño de los controles de la organización de servicios
(denominado en esta NIA “informe tipo 1”), informe que comprende:
a) una descripción, preparada por la dirección de la organización de servicios, del
sistema de la organización de servicios, de los objetivos de control y de otros
 controles relacionados que se han diseñado e implementado en una fecha
determinada; y
b) un informe elaborado por el auditor del servicio, con el objetivo de alcanzar
una seguridad razonable, que incluya su opinión sobre la descripción del
sistema de la organización de servicios, de los objetivos de control y otros
controles relacionados, así como de la idoneidad del diseño de los controles
para alcanzar los objetivos de control especificados.
 Auditor de la entidad prestadora del servicio - Auditor que, a solicitud de la
organización de servicios, emite un informe que proporciona un grado de seguridad
sobre los controles de ésta.
 Organización de servicios - Organización externa (o segmento de una organización
externa) que presta a las entidades usuarias servicios que forman parte de los sistemas
de información relevantes para la información financiera de dichas entidades usuarias.
 Sistema de la organización de servicios - Políticas y procedimientos diseñados,
implementados y mantenidos por la organización de servicios para prestar a las
entidades usuarias los servicios cubiertos en el informe del auditor de la entidad
prestadora del servicio.
 Subcontratación de la organización de servicios subcontratada - Organización de
servicios contratada por otra organización de servicios para realizar alguno de los
servicios que esta última presta a sus entidades usuarias, los cuales forman parte de
los sistemas de información relevantes para la información financiera de estas
entidades usuarias.
 Auditor de la entidad usuaria - Auditor que audita y emite el informe de auditoría
sobre los estados financieros de la entidad usuaria.
 Entidad usuaria - Entidad que utiliza una organización de servicios y cuyos estados
financieros se están auditando.

Requerimientos

Obtención de conocimiento de los servicios prestados por la organización de servicios,

incluido el control interno

El auditor de la entidad usuaria determinará si se ha obtenido conocimiento suficiente sobre la

naturaleza y la significatividad de los servicios prestados por la organización de servicios, así
como sobre su efecto en el control interno de la entidad usuaria, relevante para la auditoría,
con la finalidad de disponer de una base para la identificación y valoración de los riesgos de
incorrección material.

Respuestas a los riesgos valorados de incorrección material

Con el fin de responder a los riesgos valorados de incorrección, de conformidad con la NIA 330,
el auditor de la entidad usuaria:

 Determinará si los registros mantenidos en la entidad usuaria proporcionan evidencia

de auditoría suficiente y adecuada con respecto a las afirmaciones relevantes incluidas
en los estados financieros; y, en caso contrario,
 Aplicará procedimientos de auditoría posteriores para obtener evidencia de auditoría
suficiente y adecuada o recurrirá a otro auditor con el fin de que aplique dichos
procedimientos en la organización de servicios por cuenta del auditor de la entidad
usuaria.