Director de Auditoría y Control Interno
en Pernod Ricard México, S.A. de C.V.
El presente artículo se enfocará en los cambios relacionados con el conocimiento de la entidad y su entorno para la definición de riesgos; esta última es una tarea fundamental dentro del desarrollo de la auditoría y que toma mayor relevancia en esta actualización.
A nivel global, 61% de los ejecutivos de las empresas esperan ver un incremento en el nivel de riesgo bajo su responsabilidad dentro de los siguientes tres a cinco años; consideran que este incremento se verá en áreas como riesgo operativo, regulatorio y de cumplimiento (de acuerdo con Future of Risk Report 2024 de KPMG). Adicionalmente, 90% de los encuestados concordaron en que el ritmo de la transformación de la administración de riesgos ha incrementado desde el último año.
Una parte esencial dentro del trabajo del auditor es el conocimiento de la entidad y su entorno, así como la identificación y valoración de riesgos, pues esto es uno de los puntos de partida y de revisión dentro de todo el ciclo de la auditoría, ya que, el auditor puede desarrollar expectativas iniciales de riesgo, las cuales pueden irse afinando conforme avanza el proceso. En la actualización de la norma, el foco se está colocando en estos elementos: el abordaje de los riesgos de fraude y corrupción, así como en la documentación asociada.
La identificación de los riesgos de incorrección material se realiza antes de la consideración de cualquier control relacionado (como el riesgo inherente); asimismo, se fundamenta en la consideración preliminar del auditor sobre una posibilidad razonable de que las incorrecciones ocurran y que sean materiales si ocurrieran. Al identificar los riesgos de incorrección material, se obtiene la base para la determinación de las afirmaciones relevantes, lo que ayuda al auditor a determinar, como resultado, las clases significativas de transacciones, saldos de cuentas e información a revelar.
Dentro de los factores clave enlistados por la NIA 315 para el proceso de identificación y valoración de riesgos, se encuentra el conocimiento que tiene el auditor de la entidad y su entorno, el marco de información financiera y el sistema de control interno.
Estos elementos están interrelacionados y forman parte de un proceso dinámico que se vuelve reiterativo, pues el auditor requiere diseñar e implementar respuestas para responder a los riesgos de incorrección material; asimismo, dichas respuestas estarán basadas en el conocimiento del auditor sobre el entorno de control. En este proceso también se debe evaluar si la valoración es adecuada para las circunstancias de la entidad, considerando su naturaleza y complejidad.
La norma presenta una guía respecto de los riesgos relevantes a fin de contar con información fiable; incluye factores relevantes y circunstancias a considerar por el auditor, tales como cambios en el entorno operativo, nuevo personal, sistema de información nuevo o actualizado, crecimiento rápido, nuevas tecnologías, nuevos modelos de negocio, productos o actividades, reestructuraciones corporativas, expansión de actividades en el extranjero, nuevos pronunciamientos contables, uso de Tecnologías de Información (TI) y riesgos relacionados.
También, se presentan consideraciones de escalabilidad con el objetivo de atender a entidades de pequeña dimensión que tienen características muy específicas como:
El auditor tiene la facultad de considerar fuentes internas y externas en su valoración respecto de los riesgos. Basta revisar algunas publicaciones relevantes de riesgo para dimensionar la variedad de factores que deberán ponderarse, donde será muy relevante el juicio y escepticismo profesional del auditor.
Considerando el Global Risks Report (2025) del Foro Económico Mundial, vemos que los riesgos relacionados con los conflictos armados, confrontaciones geoeconómicas, cambio climático, desinformación, así como la polarización social, se presentan como los riesgos con más posibilidades de generar crisis materiales en escala global en 2025.
Fuente: Current Global Risk Landscape, World Economic Forum Global Risks. Perception Survey 2024-2025.
Ahora bien, en el Latin America Risk in Focus 2025 de la Fundación de Auditoría Interna del Institute of Internal Auditors, observamos que los riesgos de más rápido crecimiento han sido la disrupción digital, incluida la Inteligencia Artificial (IA) y el cambio climático; siendo los mayores riesgos (para la región) la ciberseguridad, continuidad de negocio, capital humano y cambio normativo; aunque, al revisar por sector en el análisis, encontramos que las diferencias son importantes, pues no hay un sector que comparta los mismos cinco riesgos principales; asimismo, el cambio climático no se encuentra en el top cinco de ningún sector.
Aunque hay un gran número de industrias sensibles a la escasez o afectación en la disponibilidad de recursos, derivado de efectos del cambio climático (disponibilidad de agua, por ejemplo), podría ser algo que no se está considerando, o bien, podría estar teniendo un efecto parecido al riesgo geopolítico al que, en este reporte, no se le asignó una prioridad de auditoría generalizada, dado que hay poca acción directa del auditor que se pueda tomar en torno a dicho riesgo.
Respecto de los riesgos relacionados con la integridad y el fraude, al observar el índice de percepción de corrupción, generado por Transparencia Internacional en el último reporte de 2023, más de dos tercios de los países presentaron un score menor a 50 de una escala de 100; la mayoría de las naciones no han presentado mejoras; incluso, 23 países presentaron un puntaje más bajo en dicho año, por lo tanto, se pueden visualizar riesgos importantes a considerar durante los procedimientos de auditoría.
Fuente: Reporte de Transparencia Internacional 2023.
En relación con la identificación y valoración de riesgos de incorrección material debida a fraude, al contar con el conocimiento de la entidad y su entorno, el auditor podrá ponderar la naturaleza y extensión de los controles implementados por la entidad, así como ponderar los que se decidieron no implementar o mantener (considerando las limitaciones del control interno) y evaluar el impacto que esto puede tener en la reducción de los riesgos de incorrección. Por su importancia, la NIA 240 incluye requerimientos adicionales respecto a riesgos de incorrección material debida a fraude.
Para completar la revisión al proceso de valoración de riesgos, la norma requiere que exista una documentación suficiente y adecuada, la cual sustente la justificación de los juicios importantes realizados en materia de comprensión del entorno y evaluación de riesgos, por lo que, es necesario considerar dentro de ésta las fuentes de información y los procesos de valoración realizados.
El escepticismo profesional es necesario para realizar una evaluación crítica de la evidencia de auditoría recopilada al realizar los procesos de valoración de riesgos; asimismo, ayuda al auditor a vigilar que la evidencia no esté sesgada hacia la corroboración de la existencia de riesgos, o bien, que pueda ser contradictoria. El auditor también debe ejercer el juicio profesional para determinar cuándo tiene evidencia de auditoría que proporciona un fundamento adecuado para la valoración de riesgo.
Los riesgos de incorrección material son identificados y valorados por el auditor a fin de determinar la naturaleza, momento de realización y extensión de los procedimientos de auditoría, esto para hacerse con evidencia suficiente y adecuada; al contar con ésta, el auditor puede expresar una opinión sobre los estados financieros con un nivel de riesgo de auditoría aceptablemente bajo (acorde con la norma).
Sin dejar de lado los aprendizajes y el conocimiento acumulado por el auditor a lo largo del tiempo, cada vez más, será necesario que el proceso de valoración de riesgos y el conocimiento del entorno de las entidades sea amplio, integral, dinámico y reiterativo. Es y seguirá siendo un reto constante, tanto de las normas como del ejercicio de la auditoría, responder a la realidad cambiante y compleja, así como sustentar la confianza en los controles y el gobierno corporativo de las entidades.
La finalidad de las NIS y las métricas de sostenibilidad es que las entidades identifiquen riesgos ambientales, de recursos humanos y gobernanza.
José Luis Zamora Morales
Al incorporar IA, robótica y análisis de datos, el equipo de auditoría puede anticipar riesgos, mejorar el cumplimiento y contribuir al éxito organizacional.
Christian Alexis Cervantes Valdes, Juan Pablo Alcántara González
Por los servicios de terceros a la empresa, el auditor debe entender su naturaleza, la importancia relativa y los efectos en el control interno de la entidad.
Jose Alfredo Estudillo Cruz
Se ha presentado un aumento en el número de operaciones reportadas ante la UIF, resultado de la implementación de prácticas de PLD y FT.
Roberto Flavio Ramos Maruri
© 2025 Colegio de Contadores Públicos de México, A.C.
Directorio Contacto Aviso legal Acerca de Veritas
Inicia sesión o suscríbete para continuar leyendo.