Hablar de riesgos implica hablar de aquellos errores y situaciones de fraude que se pueden presentar en los estados financieros y que los auditores deben examinar durante el desarrollo de sus tareas acorde con lo propuesto en las Normas Internacionales de Auditoría. El objetivo entonces se va a centrar en hacer una tarea limpia de revisión y de localización de este tipo de errores, para evitar cualquier tipo de consecuencia que afecte de manera directa o indirecta el funcionamiento de la empresa o alguno de sus funcionarios.
De acuerdo con esto, es importante establecer una guía de trabajo que permita examinar de manera completa cada espacio dentro de la empresa de acuerdo con las NIA, las leyes de la empresa, los procesos, las líneas de negocio, etc. Dependiendo del tamaño de la empresa, la evaluación de los riesgos se va a llevar a cabo por un grupo especial de auditores que componen su grupo de trabajo de acuerdo con las necesidades que se detecten.
La evaluación de riesgos implica en primer lugar reconocer la actividad de la empresa y los riesgos que se asocian tanto en primer como segundo y tercer grado. Esto implica hablar de prioridades. No todas las situaciones de riesgo van a requerir una acción inmediata, pero todas deben ser expuestas en los informes de auditoría que se presenten. Es así como se asegura que los administradores tomen decisiones acertadas para superar aquellas situaciones que representen un riesgo mayor o menor para la empresa.
Existe entonces la necesidad de que el informe de auditoría contenga una evaluación de riesgos que esté documentada y apoyada con una serie de datos claros y actualizados como fechas e incluso resultados de auditorías previas. Esto implica además hablar de los impactos y las probabilidades de que ocurran consecuencias o eventos relacionados a los factores de riesgo; es decir que se debe reportar una calificación del riesgo inherente global para la entidad auditada. De igual manera, esta calificación debe estar determinada también de acuerdo con el desempeño comercial de la empresa, los indicadores de riesgo, la efectividad de los sistemas de control, los resultados que se han recopilado de auditorías anteriores y otro tipo de problemas que puedan influir de manera directa.
Recopilar los resultados de auditorías pasadas no implica que la evaluación de los riesgos deba considerarse a partir de aquellos datos. Más bien, no debe olvidarse que hablar de riesgos implica hablar de situaciones que pueden cambiar todos los días, se vuelven más complejas y difíciles de manejar. Es así como hablar de riesgos en la auditoría implica crear un documento que se actualice periódicamente, al menos una vez al año, de acuerdo con las necesidades de una empresa. Esto también debe reconocer los cambios que se presentan en los mecanismos de control, sistemas de la organización, en los modelos comerciales, así como sus leyes y reglamentaciones. Recientemente, incluso los cambios que se presentan dentro de la sociedad pueden llevar a una serie de cambios en el entorno comercial. La incursión de la tecnología es un elemento que recientemente ha cambiado las dinámicas de evaluación de riesgo, de manera que se habla de nuevos escenarios de susceptibilidad para una empresa.
Para Daujotaite es necesario hablar de un paradigma tradicional y uno nuevo dentro de la evaluación de los riesgos. Las diferencias más significativas son: la evaluación de riesgo en el paradigma tradicional se lleva a cabo cada vez que se presente una situación de riesgo, el nuevo paradigma entiende este como un proceso continuo y permanente. En segundo lugar, la identificación de riesgos y el manejo de mecanismos de control es responsabilidad de los contadores, tesoreros y auditores internos dentro del paradigma tradicional, mientras que en el nuevo la responsabilidad es de todos los empleados de la organización. En tercer lugar, el control está enfocado en evitar cualquier riesgo financiero en el paradigma tradicional, mientras que en el nuevo se enfoca en evitar cualquier riesgo relacionado con la actividad de la empresa.
En cuarto lugar, desde el paradigma tradicional, la empresa asume el control de los riesgos solo en el momento en el que un factor de riesgo es identificado, mientras que en el nuevo, el manejo de los riesgos se lleva a cabo de manera regular y constante de manera que se trata de eliminar cualquier posibilidad de ocurrencia de un error o una situación de riesgo. En quinto lugar, en el paradigma tradicional se habla de una fragmentación en la que cada función opera de manera autónoma, mientras que el nuevo se trata de una concentración en la que el manejo de los riesgos y los mecanismos de control están coordinados por los administradores de más altos niveles. Finalmente, en el paradigma tradicional se concentra la evaluación de riesgos en el control de personal incompetente en sus funciones, mientras que en el nuevo se busca identificar los procesos ineficientes.
De manera concluyente, el proceso de identificación y evaluación de riesgos se debe centrar en una serie de actividades que debe llevar a cabo el auditor en busca de suprimir cualquier situación de riesgo que implique error o situaciones de fraude en los estados financieros de la empresa. Esto lleva a generar un plan de planificación desde el cual surge una revisión estratégica en la que se proponen las acciones que van a guiar el proceso de evaluación; después de ello se presenta una planeación de la auditoría y de los elementos que se van a incluir en el reporte; seguido de ello se genera el reporte de auditoría y de manera complementaria se generan recomendaciones para la implementación del reporte.
Referencias:
Daujotaite, D. Insights on risk assessment in performance Audit.