La Gestión de Riesgo es una parte importante dentro del ejercicio de auditoría, esto supone entender de qué manera se desarrolla el riesgo a nivel empresarial y las implicaciones positivas o negativas que pueden significar.
Para empezar, el riesgo se entiende como una probabilidad de que ciertas situaciones se conviertan en amenazas para el funcionamiento de la empresa. La gestión de esta probabilidad supone la evaluación del nivel de vulnerabilidad de las organizaciones frente a estas amenazas y requiere de tres fases específicas: identificación, evaluación y control de los riesgos.
Los tipos de riesgo que se abarcan desde el ejercicio de auditoría son: riesgo inherente, riesgo de control y riesgo de detección, estos se miden en una escala de bajo, moderado y/o alto. Esta estructura permite llevar un control más adecuado y certero de aquellas situaciones que pueden resultar una amenaza para la empresa. Además de esto, dentro de los elementos de riesgo de estas categorías se pueden encontrar: para el riesgo inherente se tiene en cuenta el tipo y tamaño de la organización, la manera en la que han llevado a cabo los procesos de auditoría, la cultura organizacional, el estilo de gerencia, los canales de comunicación a nivel interno y externo y finalmente los sistemas de gerencia y administración. Por su parte, el riesgo de control abarca los mecanismos de control financiero y de gestión operacional, la información y la comunicación, el ambiente de control, los sistemas de supervisión y finamente los mecanismos de evaluación de riesgos.
Una herramienta recurrente para la valoración del riesgo inherente y de control es la matriz DOFA desde las cuales se identifican las debilidades inherentes y de control, las fortalezas inherentes y de control, las oportunidades y amenazas que se pueden presentar a través del ejercicio de auditoría. Este análisis debe abarcar tanto a nivel interno como externo para validar en totalidad aquellas situaciones de amenaza y de oportunidad. Además de esto, permite entender que los riesgos también son oportunidades de mejorar aquello que no está bien dentro de la empresa, reformarlo o cambiarlo, de manera que se pueda sacar provecho de ellos. La gestión del riesgo también significa tomar decisiones para el crecimiento de la empresa, que muchas veces significan cambios e incertidumbre, pero que si son bien estudiadas, se pueden obtener grandes beneficios.
En cuanto a los riesgos de detección, se relacionan especialmente con la tarea del auditor, es decir, su experticia, la claridad de los objetivos que se propuso o los alcances de la auditoría, la aptitud y la actitud del equipo de trabajo, la planificación y administración de recursos, el conocimiento previo acerca de la organización o unidad que va a ser auditada, el conocimiento de técnicas adecuadas y actualizadas de auditoría, la comprensión de la metodología y otro tipo de situaciones esporádicas como la enfermedad dentro del grupo auditor y otro tipo de contingencias.
Respecto a este tipo de riesgo de detección, el auditor debe llevar a cabo un proceso de síntesis de la evidencia, a través de la búsqueda y valoración de toda la información financiera y de distinta índole que sea necesaria para llevar el proceso de auditoría de la manera más responsable posible. Muchas veces este análisis parte de un síntoma de que algo anda mal dentro de la empresa, a partir de allí el auditor crea una sospecha y emprende un análisis completo de la situación, es decir, busca darle validez y certeza a aquella situación de riesgo.
Lo que es más, en el marco del nuevo COSO ERM 2017 y la Generación de Valor, Deloitte (2017) hace una evaluación de la evolución de la gestión de riesgos a nivel empresarial. Para empezar, la Gestión Tradicional se hace una reflexión acerca de cuáles son los riesgos asegurables y contractuales que enfrente la organización y la manera en la que se busca mitigarlos. En ese sentido, el objetivo clave va a ser identificar y valorar los riesgos, entendiéndolos como un gasto ya que se requiere comprar seguros y/ coberturas. En la Gestión Integrada se hace la pregunta clave de cuáles son las amenazas claves que se enfrentan al tratar de lograr los objetivos de negocio de la empresa y de qué manera se debe responder a ellas, por tal motivo, se presenta una identificación y análisis de riesgos con el objetivo de establecer procesos para gestionar proactivamente amenazas operativas para el negocio. Finalmente, la Gestión Estratégica analiza cómo tomar buenas decisiones acerca de las incertidumbres que generan las situaciones de riesgo, esto supone establecer un margo de Gestión de Riesgo para que sea significativo para la empresa, lo que permitirá mejorar el logro de los objetivos estratégicos y la supervisión de riesgos de parte de los administrativos.
Esta evaluación supone un cambio en la perspectiva en la que se entiende el riesgo como una situación de valor ya sea negativo o positivo de la empresa. En este caso, la Gestión de Riesgo entiende la necesidad de administrar los riesgos ya que pueden llevar a oportunidades como el desarrollo de nuevos productos, nuevos modelos de precios e incluso nuevos mercados objetivos. No hay que olvidar entonces que las empresas pueden progresar si se atreven a tomar riesgos, siempre y cuando estos sean gestionados de una manera eficaz. Sin embargo, también requiere una mayor severidad con situaciones que se relaciones con el fraude y la corrupción, de manera que se generen sanciones y multas ejemplares.
Bibliografía
Deloitte (2017). COSO ERM 2017 y la Generación de Valor. En línea, disponible AQUÍ