El Instituto Estadounidense de Contadores Públicos Certificados (AICPA) emite, según sea necesario, Declaraciones sobre Normas de Auditoría, también denominadas “SAS”. Del total actual de más de 130 SAS, los números 104 a 111 se denominan colectivamente "Estándares de evaluación de riesgos" (RAS) y han estado en vigor desde diciembre de 2006.
Por supuesto, los niveles de riesgo varían entre las empresas. Ejemplo: un negocio mayormente en efectivo frente a una corporación. Pero aquí, siguiendo los estándares RAS, describiremos los pasos a seguir al determinar la evaluación de riesgos en una auditoría de estados financieros. Ellos son: Existencia/Ocurrencia, Completitud, Derechos/Obligaciones, Clasificación, Valuación, Corte y Riesgo Global.
Existencia/Ocurrencia: En pocas palabras, esta es una "afirmación" de que los activos son reales y que la transacción realmente ocurrió. Ejemplo: un edificio de apartamentos que figura como un activo sí existe.
Integridad : ¿Los registros que se auditan representan una lista "completa" de todos los activos? Ejemplo: Todas se incluyen las acciones en una cartera.
Derechos/Obligaciones: ¿La empresa tiene todos los derechos para poseer un activo, o alguien más lo tiene? Ejemplo: Es posible que la empresa tenga que cumplir obligaciones para garantizar la plena propiedad de la patente.
Clasificación: Como implica, este es un sistema para asignar activos en grupos basados en características comunes. Es decir, efectivo, cuentas por cobrar, inventario o activos fijos.
valoración: En pocas palabras, ¿un activo vale lo que el propietario cree que vale? Los valores de los activos pueden cambiar, a veces drásticamente, de un año a otro.
Cortar: Se refiere a la fecha en que se adquirió un activo. Ejemplo: una auditoría es para diciembre de 2019, pero un propietario desea incluir un activo comprado en 2020.
Riesgo general: anulación de los controles por parte de la gerencia: El riesgo aquí es que incluso si una empresa tiene todos sus controles implementados, la gerencia puede eludir los controles y cambiar el resultado.
Y, finalmente, riesgo de TI: A medida que prolifera la piratería, evaluar la vulnerabilidad de una empresa se ha convertido en parte del trabajo de un auditor. Ejemplo: ¿Existe un sistema de respaldo y se sigue el procedimiento?
