Por: CP Iván Rodríguez. Colaborador de Auditool
Una de las preocupaciones de los auditores es saber si el enfoque de auditoría basado en el riesgo es suficiente para ejecutar el trabajo. Normalmente, el enfoque basado en el riesgo se centra en cómo la alta dirección puede manejar un evento o situación potencialmente inconveniente. Al ejecutar el trabajo, se evalúa el diseño y funcionamiento de los controles internos que permiten evitar pérdidas u otros efectos negativos, tales como errores en los estados financieros, fraudes o la materialización del riesgo reputacional.
Las normas profesionales de auditoría interna recomiendan el enfoque basado en el riesgo, por ejemplo, las normas del Instituto de Auditores Internos, en los siguientes apartes plantea lo siguiente:
"2010 – Planificación
El director ejecutivo de auditoría debe establecer un plan basado en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización.”
Por su parte, la Norma IIA 2010.A1 dice:
“ 2010.A1 - El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos documentada, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo. ”
De acuerdo con lo anterior, es necesario que el director de auditoría desarrolle un plan basado en el riesgo. Para el efecto, debe tener en cuenta el marco de gestión de riesgos de la organización, incluidos los niveles de apetito de riesgo establecidos por la dirección para las diferentes actividades. En caso de no existir un marco de gestión de riesgos, el director de auditoría debe utilizar su propio juicio, después de considerar los aportes de la alta dirección y la junta. Posteriormente y a lo largo de la ejecución del trabajo, se revisa y ajusta el plan, según sea necesario, en respuesta a los cambios en el negocio de la organización, riesgos, operaciones, programas, sistemas y controles, entre otros.
Una vez el auditor toma la decisión de emplear el enfoque de riesgos (o cualquier otro), el desafío habitual es la asignación de recursos, que suelen ser limitados, de la manera más eficaz; esto es, definir cómo se seleccionan los temas de auditoría que se van a examinar. Normalmente esto implica una evaluación del riesgo en todas las áreas auditables que un auditor podría examinar.
Bajo riesgo, alto valor
Ahora bien, hay que preguntarse si la identificación, evaluación y priorización de los riesgos que afectan los objetivos de la organización es suficiente. Puede ser necesario considerar en donde añadir valor, más que las mayores fuentes de riesgo empresarial. Si bien la mayoría de las veces hay coincidencias, no siempre es así. Hay situaciones en las que el nivel de riesgo es bajo, pero hay un gran valor que puede ser identificado y aprovechado tanto por la auditoría como por la organización. En ocasiones, hay actividades con costos menores que pueden generar ingresos interesantes en el mediano plazo (incluso en el corto plazo), pero no son consideradas en los planes ni de la auditoría ni de la organización. Por ello, hay que prestar atención y considerar proyectos de auditoría que sean de alto valor para el comité de auditoría o la alta administración.
Alto riesgo, bajo valor
En las organizaciones también hay actividades cuyo riesgo es alto, pero no representan valor agregado para la auditoría. Suele suceder con ciertas actividades que no son materiales en términos financieros y que pueden ser atendidas por la administración. En estos casos, no se requiere un esfuerzo significativo de la auditoría, aunque no por ello debe descuidarse. Lo procedente es encontrar un esquema de seguimiento y monitoreo, por ejemplo, a través de reuniones periódicas con los líderes del grupo de trabajo. Un enfoque de auditoría basado exclusivamente en el riesgo puede hacer que se lleve a cabo una auditoría que habría sido redundante y probablemente habría creado cierta tensión innecesaria con el grupo de trabajo.
Aprovechar las oportunidades
El enfoque centrado en el riesgo podría limitar el aprovechamiento de oportunidades, puesto que se centra más en la posibilidad de daño que en considerar si la administración tiene controles y procedimientos para asegurarse de que están aprovechando las oportunidades.
Esto puede verse desde diferentes aspectos. Por ejemplo, la alta dirección no reconoce o aprovecha los beneficios que puede traer la implementación de nuevas tecnologías. Suele ocurrir que se subutiliza por desconocimiento y por ello, se desaprovecha todo su potencial. Así, una situación que pudiera traer grandes beneficios se descuida. Otro aspecto ocurre cuando los controles, si bien están orientados a obtener algún resultado, no se emplean para optimizar el proceso, por lo que en algún momento pueden ser ineficientes.
Incluso, puede darse el caso en que se descuidan situaciones y procesos que no poseen grandes riesgos en sí mismas, pero que al evaluarlas pueden ser susceptibles de mejoras en beneficio de los objetivos organizacionales. La revisión de las cadenas de suministros, costos de fabricación, ubicaciones de puntos de venta, entre otros son algunos ejemplos. En estos casos, el enfoque de auditoría debe orientarse, desde la órbita de su competencia, a asesorar a la administración en la búsqueda de oportunidades para lograr ahorros de costos y mejoras en los procesos productivos o de comercialización, por ejemplo.
De esta manera, complementando el enfoque tradicional de auditoría basado en el riesgo, con la búsqueda de valor, los líderes de auditoría pueden potenciar el efecto de su trabajo. Es así como los temas de riesgo y valor agregado, que no pareciesen ser afines, mediante una acertada integración logran que su impacto en las organizaciones beneficie tanto el logro de los objetivos empresariales como la fortaleza de la auditoría.
Diferentes posiciones no son necesariamente excluyentes y por el contrario, aportan puntos de vista que favorecen la eficiencia, un análisis más enriquecedor y unas conclusiones más estructurales sobre las situaciones evaluadas.
Los auditores deben reflexionar acerca del enfoque de su trabajo y considerar la integración de diferentes visiones, de suerte que se enriquezca su visión, con un complemento interdisciplinario, manteniendo la rigurosidad y el escepticismo en el ejercicio de su labor.
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia