El Análisis de Riesgos constituye una herramienta muy importante para
el trabajo del auditor y la calidad del servicio, por cuanto implica el
diagnóstico de los mismos para velar por su posible manifestación o no.
En el presente artículo presentamos elementos que dan luz a la
afirmación anterior y la vinculación imprescindible de los estudios de
Riesgo al servicio de Auditoria.
Introducción
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con
los que se dan, son las raíces de la incertidumbre y el riesgo que las
organizaciones confrontan. Las fusiones, la competencia global y los
avances tecnológicos, las desregulaciones, y las nuevas regulaciones, el
incremento en la demanda de los consumidores y de los habitantes, la
responsabilidad social y ambiental de las organizaciones así como, la
transparencia generan un ambiente operativo, cada día más riesgoso y
complicado, surgiendo en adición nuevos retos con los cuales lidiar,
resultado de los problemas que se presentan en las organizaciones que
operan al margen de la ley o de conductas éticas.
La administración de riesgos en un marco amplio implica que las
estrategias, procesos, personas, tecnología y conocimiento están
alineados para manejar toda la incertidumbre que una organización
enfrenta.
Por el otro lado los riesgos y oportunidades van siempre de la mano, y
la clave es determinar los beneficios potenciales de estas sobre los
riesgos.
Riesgos
Es importante en toda organización contar con una herramienta, que
garantice la correcta evaluación de los riesgos a los cuales están
sometidos los procesos y actividades de una entidad y por medio de
procedimientos de control se pueda evaluar el desempeño de la misma.
Si consideramos entonces, que la Auditoría es “un proceso sistemático,
practicado por los auditores de conformidad con normas y procedimientos
técnicos establecidos, consistente en obtener y evaluar objetivamente
las evidencias sobre las afirmaciones contenidas en los actos jurídicos
o eventos de carácter técnico, económico, administrativo y otros, con el
fin de determinar el grado de correspondencia entre esas afirmaciones,
las disposiciones legales vigentes y los criterios establecidos.” es
aquella encargada de la valoración independiente de sus actividades. Por
consiguiente, la Auditoría debe funcionar como una actividad concebida
para agregar valor y mejorar las operaciones de una organización, así
como contribuir al cumplimiento de sus objetivos y metas; aportando un
enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de
los procesos de gestión de riesgos, control y dirección.
Los servicios de Auditoría comprenden la evaluación objetiva de las
evidencias, efectuada por los auditores, para proporcionar una
conclusión independiente que permita calificar el cumplimiento de las
políticas, reglamentaciones, normas, disposiciones jurídicas u otros
requerimientos legales; respecto a un sistema, proceso, subproceso,
actividad, tarea u otro asunto de la organización a la cual pertenecen.
A diferencia de algunos autores, que definen la ejecución de las
auditorías por etapas, somos del criterio que es una actividad dedicada
a brindar servicios que agrega valores consecuentemente en dependencia
de la eficiencia y eficacia en el desarrollo de diferentes tareas y
actividades las cuales deberán cumplirse sistemáticamente en una cadena
de valores que paulatinamente deberán tenerse en cuenta a través de
subprocesos que identifiquen la continuidad lógica del proceso, para
proporcionar finalmente la calidad del servicio esperado.
Viendo la necesidad en el entorno empresarial de este tipo de
herramientas y teniendo en cuenta que, una de las principales causas de
los problemas dentro de los subprocesos es la inadecuada previsión de
riesgos, se hace necesario entonces estudiar los Riesgos que pudieran
aparecen en cada subproceso de Auditoría, esto servirá de apoyo para
prevenir una adecuada realización de los mismos.
Es necesario en este sentido tener en cuenta lo siguiente:
· La evaluación de los riesgos inherentes a los diferentes subprocesos
de la Auditoría.
· La evaluación de las amenazas o causas de los riesgos.
· Los controles utilizados para minimizar las amenazas o riesgos.
· La evaluación de los elementos del análisis de riesgos.
Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de
los Sistemas de Control Interno, en los cuales se asumen tres tipos de
Riesgo:
Riesgo de Control: Que es aquel que existe y que se propicia por falta
de control de las actividades de la empresa y puede generar deficiencias
del Sistema de Control Interno.
Riesgo de Detección: Es aquel que se asume por parte de los auditores
que en su revisión no detecten deficiencias en el Sistema de Control
Interno.
Riesgo Inherente: Son aquellos que se presentan inherentes a las
características del Sistema de Control Interno.
Sin embargo, los Riesgos están presentes en cualquier sistema o proceso
que se ejecute, ya sea en procesos de producción como de servicios, en
operaciones financieras y de mercado, por tal razón podemos afirmar que
la Auditoría no está exenta de este concepto.
En cada Subproceso, como suele llamársele igualmente a las etapas de la
misma, el auditor tiene que realizar tareas o verificaciones, en las
cuales se asumen riesgos de que esas no se realicen de la forma
adecuada, claro que estos Riesgos no pueden definirse del mismo modo que
los riesgos que se definen para el control Interno.
El criterio del auditor en relación con la extensión e intensidad de las
pruebas, tanto de cumplimiento como sustantivas, se encuentra asociado
al riesgo de que queden sin detectar errores o desviaciones de
importancia, en la contabilidad de la empresa y no los llegue a detectar
el auditor en sus pruebas de muestreo. El riesgo tiende a minimizarse
cuando aumenta la efectividad de los procedimientos de auditoría
aplicados.
El propósito de una auditoría a los Estados Financieros no es descubrir
fraudes, sin embargo, siempre existe la posibilidad de obtener cifras
erróneas como resultado de una acción de mala fe, ya que puede haber
operaciones planeadas para ocultar algún hecho delictivo. Entre una gran
diversidad de situaciones, es posible mencionar las siguientes:
· Omisión deliberada de registros de transacciones.
· Falsificación de registros y documentos.
· Proporcionar al auditor información falsa.
A continuación se exponen algunas situaciones que pueden indicar la
existencia de errores o irregularidades.
a) Cuando el auditor tiene dudas sobre la integridad de los funcionarios
de la empresa; si la desconfianza solamente es con relación a la
competencia y no con la honradez de los ejecutivos de la compañía, el
auditor deberá tener presente que pudiera encontrarse con situaciones de
riesgo por errores o irregularidades en la administración.
b) Cuando el auditor detecte que los puestos clave como cajero,
contador, administrador o gerente, tienen un alto porcentaje de
rotación, existe la posibilidad de que los procedimientos
administrativos, incluidos los contables, presenten fallas que pueden
dar lugar a errores o irregularidades.
c) El desorden del departamento de contabilidad de una entidad implica
informes con retraso, registros de operaciones inadecuados, archivos
incompletos, cuentas no conciliadas, etc. Esta situación como es fácil
comprender, provoca errores, tal vez realizados de buena fe, o inclusive
con actos fraudulentos. La gerencia tiene la obligación de establecer y
mantener procedimientos administrativos que permitan un control adecuado
de las operaciones.
Dentro de las auditorías se debe verificar la función de elaboración o
proceso de datos, donde se deben chequear entre otros los siguientes
aspectos:
· existencia de un método para cerciorarse que los datos recibidos para
su valoración sean completos, exactos y autorizados;
· emplear procedimientos normalizados para todas las operaciones y
examinarlos para asegurarse que tales procedimientos son acatados;
· existencia de un método para asegurar una pronta detección de errores
y mal funcionamiento del Sistema de Cómputo;
· deben existir procedimientos normalizados para impedir o advertir
errores accidentales, provocados por fallas de operadores o mal
funcionamiento de máquinas y programas .
Sistemas de Control de Riesgos
La estructura de Control de Riesgos pudiéramos fundamentarla en dos
pilares: los Sistemas Comunes de Gestión y los Servicios de Auditoría
Interna, cuyas definiciones, objetivos, características y funciones se
exponen a continuación.
Sistemas Comunes de Gestión
Definición
Los Sistemas Comunes de Gestión desarrollan las normas internas y su
método para la valuación y el control de los riesgos y representan una
cultura común en la gestión de los negocios, compartiendo el
conocimiento acumulado y fijando criterios y pautas de actuación.
Objetivos
1. Identificar posibles riesgos, que aunque están asociados a todo
negocio, deben intentar ser atenuados y tomar conciencia de los mismos.
2. Optimizar la gestión diaria, aplicando procedimientos tendentes a la
eficiencia financiera, reducción de gastos, homogenización y
compatibilidad de sistemas de información y gestión.
3. Fomentar la sinergia y creación de valor de los distintos grupos de
negocio trabajando en un entorno colaborador.
4. Reforzar la identidad corporativa, respetando todas las Gerencias,
sus valores compartidos.
5. Alcanzar el crecimiento a través del desarrollo estratégico que
busque la innovación y nuevas opciones a medio y largo plazo.
Los Sistemas cubren toda la organización en tres niveles:
a) todos las Unidades de Negocio y áreas de actividad;
b) todos los niveles de responsabilidad;
c) todos los tipos de operaciones.
Gestión de riesgos
Servicios de Auditoría
Los auditores internos deben participar, de conjunto, con las demás
áreas de la organización en los procesos de mejora continua relacionados
con:
· la identificación de los riesgos relevantes, tanto externos como
internos y propios de la organización, a partir de la definición de los
dominios o puntos clave de la organización;
· la estimación de la frecuencia con que se presentan los riesgos
identificados, así como la valoración de la probable pérdida que ellos
puedan ocasionar; y
· la determinación de los objetivos específicos de control más
convenientes, debidamente articulados con los objetivos globales y
sectoriales previstos en la misión de la entidad.
Los auditores internos deben evaluar la cantidad y calidad de las
exposiciones al riesgo referidas a la administración, custodia y
protección de los recursos disponibles, operaciones y sistemas de
información de la organización, teniendo en cuenta la necesidad de
garantizar a un nivel razonable los objetivos siguientes:
· confiabilidad e integridad de la información financiera y operacional;
· eficacia y eficiencia de las operaciones;
· control de los recursos de todo tipo a disposición de la entidad; y
· cumplimiento de las leyes, reglamentos, políticas y contratos.
Servicios de Consultoría
Durante los trabajos de Consultoría, los auditores internos deben
considerar el riesgo compatible con los objetivos del trabajo y estar
alertas a la existencia de otros riesgos significativos.
Los auditores internos deben incorporar los conocimientos del riesgo
obtenidos de los trabajos de Consultoría en los procesos de
identificación, análisis y evaluación de las exposiciones de riesgo
significativas en la organización.
Riesgos inherentes al ambiente de sistemas de información automatizados
Los riesgos pueden provenir de:
· deficiencias en actividades generales del sistema de información
automatizado;
· desarrollo y mantenimiento de programas;
· soporte tecnológico de los software de sistemas;
· operaciones;
· seguridad física; y
· control sobre el acceso a programas.
Los riesgos pueden incrementar el potencial de errores o irregularidades
en aplicaciones puntuales, en bases de datos, en archivos maestros o en
actividades de procesamiento específicos.
La naturaleza de los riesgos y las características del Control Interno
integrado al sistema de información automatizado incluye lo siguiente:
· Falta de rastro de las transacciones.
o Algunos sistemas de información automatizada son diseñados de modo que
un rastreo completo de una transacción que podría ser útil para fines de
la Auditoría Interna, existe sólo por un corto período de tiempo o
únicamente en forma legible por computadora.
o Un sistema complejo de aplicaciones incluye un gran número de
procedimientos que pueden no dejar un rastro completo, por consiguiente,
los errores en la lógica de un programa de aplicaciones pueden ser
difíciles de detectar oportunamente por procedimientos manuales.
· Falta de segregación de funciones.
Algunos procedimientos de control que normalmente son desempeñados por
el personal a través de sistemas manuales en forma individual, pueden
ser concentrados en un sistema de información automatizado. Se debe
tener en cuenta que un mismo trabajador no debe tener acceso a los
programas automatizados, al procesamiento de la información y a los
datos que se obtienen a través de la computadora, porque el desempeño
simultáneo de estas funciones son incompatibles.
Auditoría Interna
Definición
La función de Auditoría Interna está estructurada alrededor de los
Servicios Mancomunados de Auditoría, que engloban los equipos de
auditoría de las Unidades de Negocio y Servicios Corporativos, que
actúan de forma coordinada, en dependencia del Comité de Auditoría.
Objetivos Generales
1. Prevenir los riesgos de auditoría de las Gerencias, Proyectos y
Actividades del conjunto, tales como fraudes, quebrantos patrimoniales,
ineficiencias operativas y, en general, riesgos que puedan afectar a la
buena marcha de los negocios.
2. Controlar la aplicación y promocionar el desarrollo de normas y
procedimientos adecuados y eficientes de gestión, de acuerdo con los
Sistemas Comunes de Gestión Corporativos.
3. Crear valor, promoviendo la construcción de sinergias y el
seguimiento de prácticas óptimas de gestión.
4. Coordinar los criterios y enfoques de los trabajos con los auditores
externos, buscando la mayor eficiencia y rentabilidad de ambas
funciones.
Objetivos Específicos
· Evaluar el Riesgo de Auditoría, de acuerdo con un procedimiento
objetivo.
· Definir tipos de trabajo estándar de Auditoría y Control Interno a fin
de desarrollar los correspondientes Planes de Trabajo con los alcances
convenientes a cada situación. Esta tipología está enlazada con la
Evaluación de Riesgos de Auditoría, determina los Planes de Trabajo a
utilizar e implica un tipo de Recomendaciones e Informes apropiados, y
por tanto deberá utilizarse de manera explícita en dichos documentos.
· Orientar y coordinar el proceso de planificación de los trabajos de
auditoría y control interno de las Gerencias y Unidades de Negocio,
definir un procedimiento de notificación de dichos trabajos y
comunicación con las partes afectadas y establecer un sistema de
codificación de los trabajos para su adecuado control y seguimiento.
· Definir el proceso de comunicación de los resultados de cada trabajo
de auditoría, las personas a las que afecta y el formato de los
documentos en que se materializa.
· Revisar la aplicación de los planes, la adecuada realización y
supervisión de los trabajos, la puntual distribución de los resultados y
el seguimiento de las recomendaciones y su correspondiente implantación.
Riesgo e Importancia Relativa.
· Las evaluaciones esperadas de los riesgos inherentes y de control y la
identificación de áreas de auditoría importantes.
· El establecimiento de niveles de importancia relativa para propósitos
de auditoría.
· La posibilidad de manifestaciones erróneas o de fraude.
· La identificación de áreas de contabilidad complejas incluyendo las
que implican estimaciones contables.
Programa de trabajo
El auditor deberá desarrollar y documentar un programa de trabajo que
exponga la naturaleza, oportunidad y alcance de los procedimientos de
auditoría planeados que se requieren para implementar el plan de
auditoría global. El programa de trabajo sirve como un conjunto de
instrucciones a los auxiliares involucrados en la auditoría y como un
medio para el control y registro de la ejecución apropiada del trabajo.
Al preparar el programa de trabajo, el auditor debe considerar las
evaluaciones específicas de los riesgos inherentes y de control y el
nivel requerido de certeza que tendrán que proporcionar los
procedimientos sustantivos. Debe también considerar los tiempos para
pruebas de controles y de procedimientos sustantivos, la coordinación de
cualquier ayuda esperada de la entidad, la disponibilidad de los
auxiliares y la inclusión de otros auditores o expertos.
El auditor debe considerar la importancia relativa y las relaciones con
el riesgo del trabajo cuando planea y desarrolla un servicio de
auditoría para reducir el riesgo de expresar una conclusión inapropiada.
La importancia relativa se juzga, teniendo en cuenta factores tanto
cuantitativos como cualitativos, en relación con el prospecto razonable
de una materia modificando o influenciando las decisiones del usuario a
quien va dirigido el informe del auditor. El mismo, necesita entender y
valorar qué factores pueden influir en las decisiones del usuario a
quien va dirigido el informe. Esto es materia de juicio profesional en
las circunstancias específicas del trabajo de auditoría ordenado.
Definición de conceptos de Riesgos asociados a la Auditoría
El riesgo ante el trabajo ordenado, es el riesgo de que el auditor
exprese una conclusión inapropiada. El auditor planea y realiza el
trabajo entonces de manera tal que reduzca a un nivel aceptable el
riesgo de expresar una conclusión inapropiada. En general, esos riesgos
se pueden representar por los componentes, explicados anteriormente y
asociados a la auditoría;
a) Riesgo inherente - los riesgos asociados con la naturaleza de la
temática;
b) Riesgo de control - el riesgo de que los controles sobre la temática
no existan u operen inefectivamente; y,
c) Riesgo de detección - el riesgo de que los procedimientos del auditor
no detecten los aspectos importantes que pueden afectar la temática.
1. Obtención y Evaluación de Evidencia.
El auditor deberá obtener evidencia suficiente y apropiada en la
auditoría para poder extraer conclusiones razonables sobre las cuales
basar su informe.
Evidencia en la auditoría: Significa la información obtenida por el
auditor para llegar a las conclusiones sobre las que se basa su informe.
La evidencia en la auditoría comprenderá documentos fuente y registros
contables, información corroborativa de otras fuentes, procedimientos
sobre el manejo de las áreas o divisiones e indicadores de gestión. La
evidencia en la auditoría se obtiene de una mezcla apropiada de pruebas
de control, de procedimientos sustantivos, análisis de proyecciones y
análisis de los indicadores claves de éxito.
Pruebas de control: Significa pruebas realizadas para obtener evidencia
en la auditoría sobre lo adecuado del diseño y operación efectiva de los
sistemas de contabilidad y de control interno; el cumplimiento de las
metas y objetivos propuestos; y el grado de eficacia, economía y
eficiencia y el manejo de la entidad.
Procedimientos sustantivos: Significa pruebas realizadas para obtener
evidencia en la auditoría para encontrar manifestaciones erróneas de
importancia relativa en los estados financieros o en sus operaciones, y
son de dos tipos: a) pruebas de detalles de transacciones y saldos; y b)
procedimientos analíticos.
Evidencia suficiente y apropiada en la auditoría: La suficiencia y la
propiedad están interrelacionadas y se aplican a la evidencia en la
auditoría obtenida, tanto de las pruebas de control, como de los
procedimientos sustantivos. La suficiencia es la medida de la cantidad
de evidencia en la auditoría; apropiada es la medida de la calidad de
evidencia en la auditoría y su relevancia para una particular afirmación
y su confiabilidad. Normalmente, el auditor, encuentra necesario confiar
en la evidencia de la auditoría, que es persuasiva y no definitiva y a
menudo buscará evidencia en la auditoría de diferentes fuentes o de una
naturaleza diferente para soportar la misma afirmación.
Para obtener las conclusiones de la temática, el auditor normalmente no
examina toda la información disponible ya que se puede llegar a
conclusiones sobre el saldo de una cuenta, los procesos, operaciones,
transacciones o controles, por medio del ejercicio de su juicio o de
muestreo estadístico. El juicio del auditor respecto de qué es evidencia
suficiente y apropiada en la auditoría es influenciado por factores
como:
· La evaluación del auditor de la naturaleza y nivel del riesgo
inherente tanto en el ámbito de los estados financieros como a nivel del
saldo de la cuenta o clase de transacciones u operaciones.
· Naturaleza de los sistemas de contabilidad y de control interno y la
evaluación del riesgo de control.
· Importancia relativa de la partida o transacción que se examina.
· Experiencia obtenida en auditorías previas.
· Resultados de procedimientos de auditoría, incluyendo fraude o error
que puedan haberse encontrado.
· Fuente y confiabilidad de información disponible.
Fuente de la que es obtenida: La confiabilidad de la evidencia en la
auditoría es influenciada por su fuente: interna o externa, y por su
naturaleza: visual, documental o verbal. Si bien, la confiabilidad de la
evidencia en la auditoría depende de la circunstancia individual, las
siguientes generalizaciones ayudarán para evaluar la confiabilidad de la
evidencia en la auditoría:
· La evidencia en la auditoría de fuentes externas por ejemplo,
confirmación o manifestación recibida de una tercera persona es más
confiable que la generada internamente.
· La evidencia en la auditoría generada internamente es más confiable
cuando los sistemas de contabilidad y de control interno relacionados
son efectivos.
· La evidencia en la auditoría obtenida directamente por el auditor es
más confiable que la obtenida de la entidad.
· La evidencia en la auditoría en forma de documentos y manifestaciones
escritas es más confiable que las manifestaciones verbales.
La evidencia en la auditoría es más persuasiva cuando las partidas de
evidencia de diferentes fuentes o de una diferente naturaleza son
consistentes. En estas circunstancias, el auditor puede obtener un grado
acumulativo de confianza más alto del que se obtendría de partidas de
evidencia en la auditoría cuando se consideran individualmente. Por el
contrario, cuando la evidencia en la auditoría obtenida de una fuente es
inconsistente con la obtenida de otra, el auditor debe determinar los
procedimientos adicionales necesarios para resolver la inconsistencia.
2. Documentación
El auditor deberá documentar los asuntos que son importantes para apoyar
las conclusiones expresadas en el informe de auditoría y dejar evidencia
de que la auditoría se llevó a cabo de acuerdo con las normas técnicas
de trabajo señaladas por los organismos profesionales.
Documentación significa el material, papeles de trabajo preparados por y
para, u obtenidos o retenidos por el auditor en conexión con la
ejecución de la auditoría. Los papeles de trabajo pueden ser en la forma
de datos almacenados en papel, película, medios electrónicos, u otros
medios y cumplen los siguientes objetivos:
· Auxilian en la planeación y ejecución del trabajo;
· Auxilian en la supervisión y revisión del trabajo; y
· Registran la evidencia en la auditoría resultante del trabajo
realizado, para soportar el informe.
El auditor deberá preparar papeles de trabajo que sean lo
suficientemente completos y detallados para proporcionar una comprensión
global de la auditoría.
El auditor deberá registrar en papeles de trabajo la planeación, la
naturaleza, oportunidad y el alcance de los procedimientos de auditoría
desarrollados; así como, los resultados y las conclusiones extraídas de
la evidencia obtenida. Los papeles de trabajo incluirían el razonamiento
del auditor sobre todos los asuntos importantes que requieran un
ejercicio de juicio, junto con las conclusiones. En áreas que impliquen
cuestiones difíciles de principio o juicio, los papeles de trabajo
registrarán los hechos relevantes que fueron conocidos por el auditor en
el momento de alcanzar las conclusiones.
La extensión de los papeles de trabajo es un caso de juicio profesional,
ya que, no es necesario ni práctico documentar todos los asuntos que el
auditor examina. Al evaluar la extensión de los papeles de trabajo que
se deberán preparar y ser retenidos, puede ser útil para el auditor
considerar qué es lo que sería necesario para proporcionar a otro
auditor sin experiencia previa con la auditoría una posibilidad de
comprensión del trabajo realizado y la base de las decisiones de
principios tomadas pero no los aspectos detallados de la auditoría.
La forma y contenido de los papeles de trabajo son afectados por asuntos
como:
· La temática del trabajo.
· La forma del informe del auditor.
· La naturaleza y complejidad del negocio.
· La naturaleza y condición de los sistemas de contabilidad y control
interno de la entidad.
· Las necesidades en las circunstancias particulares, de dirección,
supervisión, y revisión del trabajo realizado por los auxiliares.
· Metodología y tecnología de auditoría específicas usadas en el curso
del trabajo.
Los papeles de trabajo son diseñados y organizados para cumplir con las
circunstancias y las necesidades del auditor para cada auditoría en
particular. El uso de papeles de trabajo estandarizados puede mejorar la
eficiencia con que son preparados y revisados dichos papeles de trabajo;
facilitan la delegación de trabajo a la vez que proporcionan un medio
para controlar su calidad, consultándose en correspondientes manuales de
procedimientos de Auditoría que se establezcan en las organizaciones.
Para mejorar la eficiencia de la auditoría, el auditor puede utilizar
otros análisis concebidos por él y otros documentos obtenidos y
preparados por el auditado. En tales circunstancias, el auditor
necesitaría estar satisfecho de que esos materiales han sido
apropiadamente preparados.
Administración de Riesgos
El riesgo es una condición del mundo real en el cual hay una exposición
a la adversidad, conformada por una combinación de circunstancias del
entorno, donde hay posibilidad de perdidas.
Por tal razón todas las empresas productoras de bienes o servicios se
deben ocupar de estudios que garanticen la identificación de Riesgos
como elemento fundamental para garantizar la calidad del servicio o del
producto final.
Técnicas de Procedimientos para Administrar Riesgos
· EVITAR RIESGOS: Un riesgo es evitado cuando en la organización no se
acepta. Esta técnica puede ser más negativa que positiva. Si el evitar
riesgos fuera usado excesivamente el negocio sería privado de muchas
oportunidades de ganancia (por ejemplo: arriesgarse a hacer una
inversión) y probablemente no alcanzaría sus objetivos.
· REDUCCION DE RIESGOS: Los riegos pueden ser reducidos, por ejemplo
con: programas de seguridad, guardias de seguridad, alarmas y estimación
de futuras pérdidas con la asesoría de personas expertas.
· CONSERVACION DE RIESGOS: Es quizás el más común de los métodos para
enfrentar los riesgos, pues muchas veces una acción positiva no es
transferirlo o reducir su acción. Cada organización debe decidir cuales
riegos se retienen, o se transfieren basándose en su margen de
contingencia, una pérdida puede ser un desastre financiero para una
organización siendo fácilmente sostenido por otra organización.
· COMPARTIR RIESGOS: Cuando los riesgos son compartidos, la posibilidad
de pérdida es transferida del individuo al grupo.
Definición de Administración de Riesgos
La administración de riesgos es una aproximación científica del
comportamiento de los riesgos, anticipando posibles pérdidas
accidentales con el diseño e implementación de procedimientos que
minimicen la ocurrencia de pérdidas o el impacto financiero de las
pérdidas que puedan ocurrir.
Control de Riesgos: Técnica diseñada para minimizar los posibles costos
causados por los riesgos a que esté expuesta la organización, esta
técnica abarca el rechazo de cualquier exposición a pérdida de una
actividad particular y la reducción del potencial de las posibles
perdidas.
Como podemos apreciar, las bibliografías consultadas recogen diferentes
criterios de Riesgo, pero ninguno de ellos estudia y mucho menos
profundiza en el tema de los Riesgos que se asumen en cada subproceso de
la Auditoría, aspecto de vital importancia para garantizar la calidad de
la misma.
En estudios de casos analizados, observamos que cuando no se conocen las
tareas y actividades especificas del proceso de la Auditoría, los
resultados finales no se corresponden por los esperados por quienes
ordenan la Auditoría, teniendo como causa, la falta de previsión de las
tareas a realizar en cada uno de los subprocesos, y las medidas por
supuesto para evitar la comisión de errores y fallas que pongan en
riesgo el cumplimiento sistémico y escalonado de cada subproceso,
simulando el ejercicio de una producción en serie.
En estudios realizados, hemos podido observar que riesgos desde
cualquier subproceso de Auditoría, sin lugar a dudas deterioran la
calidad del servicio de ésta.
No es usual que Unidades dedicadas al servicio de auditoría y mucho
menos, las destinadas a servicios de Auditoría Interna, trabajan en aras
de diagnosticar y evaluar los posibles riesgos en la ejecución de los
diferentes subprocesos que intervienen en un servicio de Auditoría.
No es posible diagnosticar riesgos desde una mesa, pues esto no puede
ser esquemático y mucho menos ser una fórmula para sustituir. En cada
organización deberá efectuarse un estudio y trazar la estrategia de la
cadena de valores de ésta y el tipo de servicio que se debe realizar.
Para ello sería preciso conocer como está funcionando la cadena de
valores en esa organización, pues es fundamental mantener la consecución
de las tareas y cumplir y hacer cumplir el mantenimiento del flujo
logístico de los subprocesos, ya que uno depende del otro.
Luego, tendríamos que la Cadena de Valores en todos los subprocesos de
Auditoría, debe representarse de la siguiente forma.
A continuación detallamos el resultado del estudio efectuado a las
Supervisiones efectuadas en un período de 2 años a diferentes
profesionales en el ejercicio de determinadas auditorías.
Puede observarse, que el diagnóstico fue necesario realizarlo, partiendo
del flujo logístico de la Cadena de Valores a partir de cada subproceso
de Auditoría en una organización de Auditoría Interna, donde señalamos
las tareas más importantes a realizar en cada uno de éstos, en este
servicio, que como proceso fundamental realiza esta organización, y
hacemos mención a riesgos en el cumplimiento, de diferentes tareas, y
posibles en cualquier organización que brinde los servicios de
auditoría.
|
Subprocesos
|
Tareas |
Riesgos de control |
|
Exploración Previa
|
1.
Conocer las características de la entidad.
2.
Lograr comprender el ambiente de control.
3.
Comprender el flujo de las operaciones.
4.
Estudiar Papeles de Trabajo archivados
de
la auditoría anterior. |
1.
Concebir la planificación para exámenes
innecesarios.
2.
Extensión de pruebas por desconocimiento del ambiente
de control.
3.
Desconocimiento de antecedentes de deficiencias o
presuntos hechos delictivos como resultado de auditorías
anteriores.
4.
El auditor no sea capaz de identificar la naturaleza
operativa del negocio, su organización, ubicación de sus
instalaciones, las ventas, producciones, servicios
prestados, su estructura financiera, las operaciones de
compra y venta
y muchos otros asuntos
que pudieran ser significativos en lo que se va auditar
5.
No concebir un adecuado planeamiento del trabajo a
realizar y/o no dirigirlo hacia las cuestiones que resulten de mayor
interés de acuerdo con los objetivos previstos
|
|
Planeamiento |
1.
Definir los aspectos que deben ser objetos de
comprobación, por las expectativas que dio la exploración,
así como determinar las áreas, funciones y materias
críticas.
2.
Analizar la reiteración de deficiencias y sus causas.
3.
Definir las formas o medios de comprobación que se
van a utilizar.
4.
Definición de lo objetivos específicos de la
Auditoría.
5.
Determinación de los auditores y otros especialistas
que se requieran, atendiendo a los objetivos propuestos, la
magnitud del trabajo y su complejidad.
6.
Programas flexibles confeccionados específicamente,
de acuerdo con los objetivos trazados, que den respuesta a
la comprobación de las tres E (Economía, eficiencia y
eficacia).
7.
Determinación del tiempo que se empleará en
desarrollar la Auditoría, así como del costo estimado. |
1.
Extensión de pruebas sin cumplir objetivos necesarios
para realizar
la Auditoría ordenada.
2.
No se desarrolla
la estrategia
general para el examen.
3.
Incapacidad de crear o adaptar el Programa de
Auditoría.
|
|
Ejecución |
1.
Obtener evidencias suficientes, competentes
y
relevantes para fundamentar los juicios y
conclusiones.
2.
Cumplir
las acciones
previstas
en el
planeamiento elaborado.
3.
Preparar
papeles de trabajo para todos los exámenes efectuados.
4.
Efectuar la
revisión de acuerdo con las normas de auditoría generalmente
aceptadas.
|
1.
No llevar a cabo el examen de acuerdo con las normas
de normas de auditoría generalmente aceptadas.
2.
No asegurarse de la persona responsable y competente
sobre la razonabilidad de las
diferentes manifestaciones financieras.
3.
El auditor no está preparado para dudar de la validez
e integridad de la evidencia.
4.
Que la muestra tomada no sea suficiente para
sustentar los resultados del examen efectuado y el cumplimiento de
los objetivos programados.
5.
No evaluar la evidencia aplicando técnicas confiables
que aseguren su validez y razonabilidad.
6.
No identificar el nivel de importancia relativa y de
riesgo probable de una evidencia.
7.
Las evidencias documentales no expresan con claridad
el objetivo del alcance de las comprobaciones efectuadas.
8.
Los hallazgos no se definen claramente y carecen de
razonabilidad para sustentar el resultado del examen, la
conclusión y recomendación para demostrar la naturaleza y
alcance del trabajo realizado.
9.
No limitarse a los asuntos que sean pertinentes e
importantes.
10.
Las comprobaciones y sus resultados expuestos no son
lo suficientemente
claros, comprensibles y detallados para que un tercero esté
en capacidad de fundamentar conclusiones y recomendaciones
mediante su revisión.
|
|
Informes
|
1.
Cumplir las técnicas sobre la elaboración del
Informe.
2.
Definición de la Evaluación de la Auditoría
desarrollada.
3.
Comunicación
oportuna del Informe.
4.
Efectuar discusión sobre el Informe por los
resultados de la Auditoría efectuada.
|
1.
Que los papeles de trabajo correspondiente a
Notas al Informe no expresen razonabilidad para
sustentar los hallazgos significativos por los resultados de
las comprobaciones.
2.
Que los papeles de trabajo correspondiente a
Notas al Informe no expresen los resultados lo
suficientemente claros, comprensibles y detallados.
3.
No cumplimiento de los objetivos de la auditoría, su
alcance y metodología.
4.
No evaluar correctamente los resultados expuestos,
según legislación establecida.
5.
No definir las responsabilidades ante los
incumplimientos que afecten la buena marcha de la
organización.
6.
No facilitar el seguimiento para determinar si se
adoptan las medidas correctivas apropiadas.
7.
El contenido del Informe no es utilizado
oportunamente por los responsabilizados e interesados
8.
No participación de los directivos y funcionarios
facultados,
para discutir los resultados del Informe.
|
|
Preparación
del Expediente |
1.
Organizar la documentación de todos los papeles de
trabajo originados en la realización de la auditoría,
correspondiente a todas las etapas.
2.
Reconocer la indiciación de cada papel, marcas, etc.
|
1.
Que el auditor no tenga todas las evidencias que
soportan el desarrollo de cada una de las etapas.
2.
Incumplimiento en la confección de los papeles de
trabajo de la auditoría.
3.
Cumplimiento de tareas extemporáneas
4.
Inadecuada organización del archivo de los papeles de
trabajo.
5.
Imposibilidad de que un tercero compruebe el Informe
y la correspondencia con los exámenes. |
|
Supervisión
|
1.
Efectuar visitas de Supervisión en cualquier etapa de
la auditoría.
2.
Elaboración del Informe de la Supervisión. |
1.
Que los auditores
tengan impedimentos que limiten comprender de forma
clara y precisa la etapa que se supervisa.
2.
No se cumplan las recomendaciones dejadas en
supervisiones anteriores.
3.
Que las supervisiones no se efectúen en el momento
necesario que requiere la Auditoría y/o el auditor que
realice el trabajo.
4.
Poca preparación del supervisor para valorar el
desenvolvimiento de una actividad y/o auditoría.
|
|
Evaluación de los profesionales de la Auditoría |
1.
Evaluar el trabajo del personal que directamente
labora en una auditoría.
2.
Analizar con justeza cada uno de los indicadores.
3.
Cumplir y hacer cumplir la escala evaluativa
establecida.
|
1.
Una incorrecta evaluación.
2.
No evaluar con justeza (no estimula los buenos
resultados individuales).
3.
Incumplir la evaluación, (no permite que el evaluado
tome conciencia de las limitaciones que se le señalan).
|
Medición y Evaluación del Riesgo
Al concebir los posibles Riesgos en la ejecución de los diferentes
subprocesos de la Auditoría de una organización interna o externa, debe
efectuarse la evaluación de los mismos, con el fin de conocer el
Impacto, y el tratamiento que este requiere, así como la Probabilidad de
Ocurrencia.
Ello nos daría la posibilidad de conocer anticipadamente la valoración y
concebir planes que coadyuven a la reducción de pérdidas, que en
técnicas de auditoría, serían la extensión de pruebas innecesarias, y
gasto de tiempo invertido adicional, lo que implicaría el requerimiento
de tratamientos diferenciados, y por supuesto pérdidas financieras. Si
se toman las medidas necesarias para disminuir la ocurrencia, entonces
estaríamos hablando de reducción de pérdidas en la Auditoría. En este
capitulo abordamos anteriormente la necesidad de evaluar los riesgos de
control contable, lo que ayudará al auditor efectuar una adecuada
planeación.
Sería entonces preciso el diseño o implementación de un procedimiento
interno que minimice el impacto financiero que pueda ocurrir, el cual
pudiera tratarse de excesos de gastos de: dietas de alimentación,
hospedaje, salarios, transportación, materiales de oficina,
comunicación, y otros.
Es necesario entonces, luego de conocer los posibles riesgos, tener en
cuenta:
a) Probabilidad de ocurrencia del Riesgo
b) Impacto ante la ocurrencia del Riesgo.
Para ello:
· las probabilidades de ocurrencia deberán determinarse en:
a) Poco Frecuente (PF)
b) Moderado (M)
c) Frecuente (F)
Poco Frecuente: cuando el Riesgo ocurre sólo en circunstancias
excepcionales.
Moderado: Puede ocurrir en algún momento.
Frecuente: Se espera que ocurra en la mayoría de las circunstancias.
· El Impacto ante la ocurrencia sería considerado de:
a) Leve (L)
b) Moderado (M)
c) Grande (G)
Leve: Perjuicios tolerables. Baja pérdida financiera.
Moderado: Requiere de un tratamiento diferenciado: Pérdida financiera
media.
Grande: Requiere tratamiento diferenciado. Alta pérdida financiera.
La evaluación del Riesgo sería de:
Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles
actuales, siguiendo los procedimientos de rutina.
Moderado: (Riesgo Medio). Se consideran riesgos Aceptables con Medidas
de Control. Se deben acometer acciones de reducción de daños y
especificar las responsabilidades de su implantación y supervisión.
Inaceptable: (Riesgo Alto). Deben tomarse de inmediato acciones de
reducción de Impacto y Probabilidad para atenuar la gravedad del riesgo.
Se especificará el responsable y la fecha de revisión sistemática.
Si quisiéramos evaluar el Impacto de los Riesgos en un subproceso, sólo
tendríamos que analizar el Diagnóstico efectuado.
A manera de ejemplo, analizaremos el subproceso de Exploración previa
diagnosticado en el estudio de caso efectuado, para llegar a él.
Veamos:
|
Subprocesos
|
Tareas |
Riesgos de control |
|
Exploración Previa
|
ü
Conocer las características de la entidad.
ü
Lograr comprender el
ambiente de control.
ü
Comprender el flujo de las
operaciones.
ü
Estudiar Papeles de Trabajo archivados
de
la auditoría anterior. |
1.
El auditor no sea capaz de identificar la naturaleza
operativa del negocio, su organización, ubicación de sus
instalaciones, las ventas, producciones, servicios
prestados, su estructura financiera, las operaciones de
compra y venta
y muchos otros asuntos
que pudieran ser significativos en lo que se va auditar
2.
No concebir un adecuado planeamiento del trabajo a
realizar y/o no dirigirlo hacia las cuestiones que resulten de mayor
interés de acuerdo con los objetivos previstos
3.
Concebir la planificación para exámenes
innecesarios.
4.
Extensión de pruebas por desconocimiento del ambiente
de control.
5.
Desconocimiento de antecedentes de deficiencias o
presuntos hechos delictivos como resultado de auditorías
anteriores.
|
Al evaluarlos tendríamos:
|
RIESGOS |
EVALUACION DE RIESGOS |
||||||||||
No.
|
Riesgo
|
E |
I |
Impacto (6) |
Probabilidad (7) |
Nivel de Riesgo |
|||||
|
L |
M |
G |
F |
M |
PF |
||||||
|
1 |
El auditor no sea capaz de identificar la naturaleza
operativa del negocio, su organización, ubicación de sus
instalaciones, las ventas, producciones, servicios
prestados, su estructura financiera, las operaciones de
compra y venta
y muchos otros asuntos
que pudieran ser significativos en lo que se va auditar |
|
X |
|
X |
|
|
X |
|
Aceptable con medidas de control |
|
|
2 |
No concebir un adecuado planeamiento del trabajo a realizar
y/o
no dirigirlo hacia las cuestiones que resulten de
mayor interés de acuerdo con los objetivos previstos. |
|
X |
|
X |
|
|
X |
|
Aceptable con medidas de control |
|
|
3 |
Concebir la planificación para exámenes innecesarios. |
|
X |
|
X |
|
|
X |
|
Aceptable con medidas de control |
|
|
4 |
Extensión de pruebas por desconocimiento del ambiente de
control.
|
|
X |
|
|
X |
X |
|
|
Inaceptable |
|
|
5 |
Desconocimiento de antecedentes de deficiencias o presuntos
hechos delictivos como resultado de auditorías anteriores. |
|
X |
|
X |
|
|
|
X |
Aceptable
con Medidas de Control |
|
Una técnica conocida y muy usada, como herramienta de trabajo,
es la representación gráfica, y siguiendo el ejemplo anterior,
observemos:
Ilustración. Niveles de Riesgo (Matriz)
|
|
|
|
|
|
|
|
F |
Inaceptable |
Inaceptable |
Inaceptable |
|
|
|
|
|
|
|
|
|
|
|
|
|
Probabilidad |
M |
Moderado |
Moderado |
Inaceptable |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PF |
Aceptable |
Moderado
|
Inaceptable |
|
|
|
|
|
|
|
|
|
L |
M |
G |
|
|
|
|
Impacto |
|
Como puede observarse, el gráfico anterior nos ilustra los
cuadrantes donde según su Impacto y Probabilidad de Ocurrencia
se sitúan estos Riesgos, y su color nos identifica la Evaluación
del mismo, lo que no significa que en el Plan de Medidas no se
tengan en cuenta todos los Riesgos, pues deberá mantenerse el
seguimiento de todos los identificados y el Plan de acción de
cada uno.
El Plan de Acción estaría en correspondencia con el tipo de
riesgo, con la organización donde se realiza el servicio, con el
tipo de auditoría, con el subproceso que se realice y por
supuesto con el auditor o auxiliar que la ejecute. Vital
importancia reviste el dominio de la actividad, el monitoreo en
la ejecución sucesiva sobre el manejo de futuras acciones y la
supervisión sistemática en diferentes momentos de realización de
las auditorías en correspondencia sobre la incidencia de los
riesgos pasados o reiterados en los subprocesos que mayores
impactos se han observados.
Por el impacto que hoy produce la ocurrencia de los riesgos
observados en la investigación, debe elaborarse un Plan de
Acción en el que se proponga, fundamentalmente
ü El diseño de un Sistema Organizativo de ejecución para cada
uno de los subprocesos de la auditoría.
ü Capacitar a los profesionales de la auditoría en la formación
teórico-práctica que garantice la calidad en el ejercicio de sus
funciones.
ü Evaluar los resultados de las supervisiones
ü Mantener la vigilancia de la posible comisión de riesgos en el
desarrollo sistemático del ejercicio de las auditorías.
ü Monitorear el cumplimiento de la Cadena de Valores por cada
profesional.
ü Etc.
Concluyendo, resulta de vital importancia establecer un sistema
de control en esa Cadena de Valores, donde todos los subprocesos
en Auditoría son necesarios para lograr un servicio eficaz, y
eficiente, con los requerimientos de calidad esperada. Una
administración eficiente de los Riesgos, sería entonces una
aproximación científica de su comportamiento, anticipando
posibles pérdidas accidentales con el diseño e implementación de
procedimientos que minimicen la ocurrencia de pérdidas o el
impacto financiero de las pérdidas que puedan ocurrir.
Responsables:
· Departamento de Auditoría
· Supervisor
· Jefe de Grupo
· Auditor
Estándares:
· Consiste en una Guía, con determinado aspectos a evaluar, por
cada subproceso, el cual debe concluir con una evaluación, la
cual se deberá clasificar según la probabilidad de ocurrencia y
el Impacto ante la misma.
· Deberá además de resumirse, representarse en un gráfico, con
el fin de elaborar el consecuente Plan de Acción para reducir la
probabilidad de ocurrencia.
Controles:
Frecuentemente debe evaluarse el comportamiento de cada
subproceso y por cada área de trabajo.
