La auditoría basada en riesgos en la práctica

La auditoría basada en riesgos considera la planeación y el desarrollo en los puntos críticos, en otros términos, en los de mayor impacto negativo al cumplir objetivos.

La necesidad de gestionar los riesgos ha sido reconocida como parte esencial de las prácticas de un buen gobierno corporativo. Esto ha sometido a las organizaciones a una creciente presión para identificar los riesgos asociados a su negocio y explicar cómo gestionarlos. De hecho, las actividades relacionadas con la administración de riesgos han sido consideradas como críticas, por lo que se les ha asignado un papel fundamental en el desarrollo de un sistema de control interno adecuado.

Un riesgo se define como un evento que puede afectar la marcha del proyecto o un negocio en el futuro, de manera que está asociado a cualquier actividad que se realice, y que plantee la posibilidad de decidir entre varias opciones. Si bien la gestión de riesgos es un proceso que debe implementar la propia organización, la creciente importancia que se le ha dado implica un reto para la profesión del auditor, pues es precisamente la auditoría la que debe agregar valor a sus clientes a través de la revisión que permita asegurar que los riesgos están siendo administrados. En este contexto, en el cual nadie puede soslayar la relevancia de la problemática para la comunidad de negocios, ha surgido una tendencia claramente definida hacia el uso de los conceptos de risk management en las tareas de auditoría. En los últimos años se ha venido utilizando un nuevo concepto relacionado con la profesión contable: la auditoría basada en riesgos. Esta nueva especialidad representa un conocimiento estructurado, desde una perspectiva estratégica de sistemas, que combina la determinación y valoración de los riesgos del negocio con la evaluación de los controles que mitigan, trasladan o eliminan esos riesgos, asentando un enfoque de juicio profesional sustentado en metodologías, evidencias y encadenamientos lógicos.

La auditoría basada en riesgos es una forma de conducir las auditorías internas y externas de diferentes tipos, a partir de la planeación y desarrollo en los riesgos críticos, es decir, los que pudieran causar mayor impacto negativo en la obtención de objetivos de la organización (estratégicos, operacionales, de información y de cumplimiento) con el fin de identificar si las operaciones y los productos o servicios se ajustan a lo establecido en las reglas del negocio, las buenas y mejores prácticas de control interno y seguridad, y a las normas legales aplicables.

AUDITORÍA INTERNA

Es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Este tipo de auditoría promueve el cumplimiento de objetivos y contribuye, con un enfoque sistemático y disciplinado, en la evaluación y mejora de la eficacia de los procedimientos de gestión de riesgos, control y gobierno.

La auditoría interna basada en riesgos se enfoca en evaluar y verificar que los procesos o sistemas auditados satisfagan objetivos y necesidades de una organización de forma eficaz, eficiente y segura, con énfasis en el hecho de que activos y recursos utilizados en las operaciones del negocio estén provistos de controles para reducir los riesgos inherentes a niveles aceptables de riesgo residual.

En la era de la información, donde las transacciones dependen cada vez más de herramientas tecnológicas, las auditorías internas basadas en riesgos se estructuran con el fin de satisfacer dos grandes propósitos: el primero, evaluar la efectividad del control interno en los procesos del modelo de operación de una organización, los procesos de tecnología de la información y las aplicaciones informáticas sobre las que se opera el negocio para ayudar a determinar la capacidad de los controles establecidos que reduzcan los riesgos potenciales críticos a niveles aceptables de riesgo residual; el segundo, verificar el cumplimiento de los controles para los riesgos críticos a fin de determinar si presentan un nivel de efectividad apropiada, y comprobar que la información no resulte afectada.

AUDITORÍA EXTERNA

De estados financieros consiste en que un revisor independiente determine si, de manera razonable, la información contenida en los estados contables refleja la realidad de la organización. En relación con este tipo de auditorías, el riesgo principal para un auditor es que haya afirmaciones erróneas en los estados financieros, que puedan afectar de manera material su contenido.

Específicamente, el auditor se enfrenta a tres tipos de riesgos al desarrollar una auditoría externa de estados financieros:

Riesgo inherente. Está relacionado de manera directa con la actividad económica de la empresa, independientemente de los sistemas de control interno.
Riesgo de control. Para el que influyen los sistemas de control interno implementados en la empresa, los cuales podrían resultar insuficientes o inadecuados para la aplicación y detección oportuna de irregularidades.
Riesgo de detección. Está directamente asociado con los procedimientos sobre auditoría. Se trata de la no detección de errores en el proceso realizado. Una auditoría externa basada en riesgos se enfoca justamente en evaluar los riesgos del negocio para comprender en qué aspecto de las actividades de una organización existe una mayor exposición a que se produzca información financiera errónea. La auditoría externa basada en riesgos focaliza los esfuerzos del auditor en evaluar rubros, transacciones, saldos u operaciones relevantes, dando menos atención a las de un nivel inferior.

Para comprender de manera adecuada lo antes expuesto, cabe recordar que los riesgos del negocio resultan de eventos, circunstancias, acciones o inacciones que podrían afectar de manera adversa la capacidad de la entidad para lograr sus metas y ejecutar estrategias. Desde el punto de vista de la auditoría de los estados financieros, el entendimiento profundo de los riesgos del negocio incrementa la posibilidad de identificar riesgos de declaración material errónea. En otras palabras, contribuye a que el auditor efectúe tareas tendientes a mitigar el riesgo de no detección eficaz y eficientemente.

Es importante destacar ahora la relevancia que conlleva para el auditor el conocimiento que debe tener del negocio de su cliente, así como del ambiente en que este opera. Según el Modelo COSO de control interno, el pilar del marco integrado es precisamente ese ambiente de control.

Un adecuado conocimiento del negocio permitirá al auditor enfocarse en los riesgos apropiados, que son precisamente los que tienen un impacto significativo. En tal sentido, y de acuerdo con la Norma Internacional de Auditoría (NIA) 315, un riesgo significativo es aquel, cuya importancia requiere una consideración especial del auditor, en virtud de la valoración de su incorrección material. En otras palabras, lo significativo del riesgo se halla directamente relacionado con el concepto de materialidad. La identificación de los riesgos significativos, entonces, requiere del profundo conocimiento del negocio del cliente. No es posible que un auditor identifique, primero, y valore, después, un riesgo significativo si no conoce el negocio. Práctica habitual en la profesión es que un mismo auditor realice sus tareas para clientes que operan en diferentes sectores o industrias. Un enfoque basado en riesgos no debería admitir la aplicación de tal práctica, debido a lo complejo que resultaría para el auditor comprender los riesgos significativos de rubros diferentes (por ejemplo, una empresa de consumo masivo y una entidad del sector público poseen características totalmente distintas).

¿CÓMO SE APLICA EN LA PRÁCTICA?

Tanto para el desarrollo de la auditoría externa como para el de la interna, la auditoría basada en riesgos sigue un proceso similar. Inicialmente requiere identificar los riesgos existentes, sin tomar en cuenta su magnitud o lo significativo que sean. Ello posibilitará la consideración de un espectro amplio de eventos, los cuales serán evaluados para determinar su tratamiento.

En segunda instancia, es necesario analizar la importancia de los riesgos A tal efecto, para cada riesgo identificado en la etapa inicial, el auditor debe tomar en cuenta su probabilidad e impacto, una parte clave del proceso de significativos. Luego, el auditor deberá establecer las respuestas al riesgo a desarrollar. Para la auditoría externa de estados financieros, tales respuestas al riesgo están claramente definidas en la NIA 330. Si bien los preceptos indicados en dicha norma son parcialmente aplicables a las auditorías de procesos o internas, es importante que el auditor pueda identificar qué procedimientos llevar a cabo a fin de administrar los riesgos evaluados. Las pruebas sustantivas son claros ejemplos de medidas de respuesta al riesgo por parte de los auditores. No obstante, y esto debe enfatizarse, no es la única respuesta posible. La teoría afirma que el riesgo jamás puede eliminarse, sino que se pueden aplicar respuestas tendientes a mitigar, evitar, aceptar y transferirlo.

En particular, la NIA 330 advierte que el auditor de estados financieros debe diseñar y aplicar procedimientos de auditoría, cuya naturaleza, momento de la realización y extensión (alcance) deben estar basados en los riesgos valorados de incorrección material (errores) en las afirmaciones sobre los estados financieros, y que respondan a tales riesgos. Tales respuestas al riesgo, clasificadas, según lo estipulado sobre las acciones que se toman para mitigar, evitar, aceptar o transferir el riesgo, suelen diferenciarse entre procedimientos sustantivos (pruebas de detalle y sustantivas) y pruebas de controles. Una combinación de ambas, de acuerdo con la metodología de auditoría que se defina e implemente, podrá contribuir de manera adecuada a enfocarse en los riesgos significativos identificados en el curso de la auditoría.

Para cada riesgo identificado en la etapa inicial, el auditor debe considerar probabilidad e impacto. Luego, establecerá las respuestas a desarrollar”.

CONCLUSIONES

La auditoría basada en riesgos permite fortalecer el desarrollo de la práctica, proporcionando a los profesionales una herramienta moderna para centrar los esfuerzos en aquellos aspectos realmente relevantes. De alguna manera, este tipo de auditoría plantea un nuevo paradigma: si el auditor dirige su atención solo a las transacciones, actividades o saldos con importancia crítica, podrá efectuar pruebas selectivas y procedimientos precisos, dirigidos a aspectos específicos que sumen valor a su trabajo y cliente.

Sin lugar a dudas, en esta época en la que la tecnología se encuentra al servicio de la comunidad, las herramientas informáticas ayudan a que los auditores puedan desempeñar sus tareas de un modo más eficiente, desde automatizar el análisis de bases de datos hasta cruzar información relevante para presentar los datos de forma apropiada. El análisis de los resultados derivados de la aplicación de la auditoría basada en riesgos contribuye a que el auditor desarrolle un trabajo de calidad y sea un buen apoyo para que su cliente, el auditado, tome decisiones de un modo más apropiado y preciso.

Dr. Julián Laski
Socio representante de la firma PKF Audisur, Argentina

Auditoría Externa

La auditoría basada en riesgos en la práctica

Bienvenido a Auditool, la Red Global de Conocimientos en Auditoría y Control Interno.

Errores frecuentes en la auditoría interna: Evite afectar su...

Biblioteca Integral de controles y riesgos para el proceso de ventas

Curso Virtual: Auditorías de estados financieros basadas en riesgos...

¿Cuál es la Responsabilidad del Auditor Según las NIA?

KIT de Herramientas para implementar y evaluar COSO en los procesos...

Checklist para evaluar la implementación del modelo COSO en el...

Guía para implementar y evaluar COSO en el proceso de activos fijos

Cómo diseñar e implementar un canal de denuncias efectivo

5 Estrategias de Lenguaje Corporal para Impactar en tus Reuniones de...

Política de gestión de riesgos en compras