Por: CP Iván Rodríguez. Colaborador de Auditool.
La gestión de riesgos en auditoría se ha posicionado en el mundo de los negocios y las finanzas en virtud de su importancia y resultados. El conjunto de actividades que se requieren para una adecuada gestión de riesgos fue considerado inicialmente como una técnica, luego como un proceso, una planificación de actividades y ahora, teniendo en cuenta la diversidad de riesgos y los cambios en el entorno, puede calificarse como un arte. En su ejecución se requiere tanto precisión técnica como intuición y creatividad por parte del auditor y su equipo.
Las actividades que se llevan a cabo al gestionar riesgos son generalmente la identificación, evaluación y respuesta a los riesgos que pueden afectar la precisión y la fiabilidad de los estados financieros de una organización, así como sus procesos operativos, administrativos y directivos. Estos riesgos pueden tener diversos orígenes y/o surgir de diversas áreas o actividades de la empresa y del medio, incluyendo la gestión de la organización, las condiciones económicas y sectoriales, y la integridad de los sistemas internos de control.
Al llevar a cabo una buena gestión de riesgos en auditoría, se inicia por la identificación de los riesgos potenciales. Esto requiere una comprensión profunda del entorno de negocio en el que opera la entidad auditada y del conocimiento técnico y escepticismo del auditor. Es importante que los auditores estén atentos a las señales de alerta y utilicen su conocimiento del sector y experiencia profesional para identificar las cuentas, áreas o procesos que presentan mayor riesgo. Aquí es donde entra en juego el componente artístico: la capacidad que tiene el auditor de ver más allá de los números y los procesos evidentes y detectar patrones y anomalías que otros podrían pasar por alto.
Una vez identificados los riesgos, el siguiente paso que debe realizar el auditor es evaluarlos en términos de su probabilidad y el impacto potencial que podrían tener en los estados financieros. Este proceso además de su componente cuantitativo; requiere juicio profesional y experiencia, toda vez que se deben evaluar tanto los riesgos inherentes como los riesgos de control, para lo cual se tienen en cuenta factores tales como la complejidad de las transacciones y la calidad de los controles internos.
Luego de evaluar los riesgos, la organización debe tomar decisiones al respecto. En función de los resultados cuantitativos y cualitativos y del apetito al riesgo, se puede optar por:
Aceptar el riesgo
La organización decide aceptar los riesgos asociados a una situación concreta y asumir los costos en caso de su materialización. Esto ocurre cuando se reconoce que no vale la pena el costo y el esfuerzo para mitigar los eventos que pueden ocurrir.
Transferir el riesgo
La organización transfiere el riesgo a un tercero, por ejemplo, mediante una póliza de seguros. Al contratar un seguro, el riesgo financiero asociado con un acontecimiento cubierto por la póliza se transfiere a la compañía de seguros. No obstante, la organización debe tomar medidas preventivas para evitar la materialización del riesgo.
Evitar el riesgo
En este caso, la organización decide no ejecutar las actividades que impliquen la existencia de cierto riesgo o no se involucra en situaciones en las que pueda materializarse. Así, se elimina la causa de raíz.
Reducir el riesgo
Suele ser la decisión normalmente adoptada. Toda vez que cada actividad empresarial entraña cierto nivel de riesgo, resulta aconsejable adoptar acciones preventivas con el propósito de reducir las pérdidas que pudieran producirse si se materializara algún riesgo. Es una combinación de la aceptación del riesgo, ya que se reconoce el riesgo que conlleva una actividad, al tiempo que se centra en cómo mitigarlo.
Compartir el riesgo
El riesgo compartido se presenta cuando una organización distribuye entre diferentes áreas o con otras organizaciones. De esta manera, los impactos derivados de la ocurrencia de algún riesgo se asumen entre varias partes. Lo mismo ocurre con los controles para su mitigación y con los apoyos para solucionar las dificultades presentadas.
Sobre la base de las decisiones adoptadas por la organización para tratar los riesgos, los auditores deben diseñar y aplicar procedimientos de auditoría específicos para evaluar lo acertado de las alternativas consideradas. Normalmente, se deben aplicar pruebas de controles, procedimientos sustantivos y técnicas analíticas. En estas respuestas a los riesgos, nuevamente la creatividad del auditor se pone de manifiesto. Debe diseñar procedimientos que sean suficientemente robustos para detectar posibles debilidades o errores en los controles (incluso el fraude), pero también que sean eficientes y con un costo razonable para no sobrecargar a la entidad auditada.
Una actitud esencial al gestionar riesgos es el juicio profesional, pues corresponde a la aplicación de la experiencia, conocimiento y criterio ético para tomar decisiones informadas sobre asuntos relevantes y de esta manera, interpretar normas, evaluar riesgos, planificar el trabajo, analizar evidencia y emitir conclusiones en situaciones complejas o ambiguas. Esto implica un robusto conocimiento técnico y normativo, reconocer patrones y situaciones recurrentes, lo que facilita la toma de decisiones, a la vez que se mantiene una actitud crítica y se cuestiona la suficiencia y la validez de la evidencia de auditoría, todo ello en un marco de principios éticos tales como la integridad, la independencia y la imparcialidad para garantizar decisiones justas y confiables. El auditor es finalmente un artista para equilibrar este conjunto de elementos y poder determinar el enfoque y la profundidad de los procedimientos y en particular cuando debe emitir juicios en situaciones donde no se cuenta con toda la información deseable.
A lo anterior se suma que la tecnología está transformando la gestión de riesgos al introducir nuevas herramientas y técnicas que permiten una evaluación más precisa y eficiente de los riesgos. Sin embargo, incluso con estas avanzadas herramientas, el componente humano sigue siendo crucial. La interpretación y el juicio profesional no pueden ser reemplazados por la tecnología.
Al considerar los anteriores planteamientos se puede considerar que la gestión de riesgos en auditoría es un arte. Requiere de una acertada combinación de habilidades técnicas, escepticismo, juicio profesional, creatividad y ética. Los auditores desempeñan un papel vital en la protección de la integridad financiera de las organizaciones y la eficiencia de sus procesos y operaciones; por ello, su capacidad para gestionar los riesgos de manera efectiva es fundamental para el éxito, tanto de la organización como de su propio trabajo. En adición, a la par que la tecnología continúa su evolución, el arte de la auditoría también deberá adaptarse, incorporando nuevas herramientas y técnicas sin perder de vista la importancia del juicio y la experiencia, humanos y todo ello en conjunto, es un arte.
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.