Generalmente se habla de Riesgo y
conceptos de Riesgo en la evolución de los Sistemas de
Control Interno, en los cuales se asumen tres tipos de
Riesgo:
Riesgo de Control: Que
es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y
puede generar deficiencias del Sistema de
Control
Interno.
Riesgo de Detección: Es aquel que se asume
por parte de los auditores que en su revisión no detecten
deficiencias en el Sistema de Control Interno.
Riesgo Inherente: Son aquellos que se presentan
inherentes a las características del Sistema de Control
Interno.
Sin embargo, los Riesgos
están presentes en cualquier sistema o proceso que se
ejecute, ya sea en procesos de
producción como de servicios, en
operaciones
financieras y de mercado, por tal
razón podemos afirmar que la Auditoría no está exenta de este
concepto.
En cada Subproceso, como suele llamársele
igualmente a las etapas de la misma, el auditor tiene que
realizar tareas o verificaciones, en las cuales se asumen riesgos
de que esas no se realicen de la forma adecuada, claro que estos
Riesgos no pueden definirse del mismo modo que los riesgos que se
definen para el control Interno.
El criterio del auditor en relación con la
extensión e intensidad de las pruebas, tanto
de cumplimiento como sustantivas, se encuentra asociado al riesgo
de que queden sin detectar errores o desviaciones de importancia,
en la contabilidad
de la empresa y no los
llegue a detectar el auditor en sus pruebas de muestreo. El
riesgo tiende a minimizarse cuando aumenta la efectividad de los
procedimientos
de auditoría aplicados.
El propósito de una auditoría a los
Estados
Financieros no es descubrir fraudes, sin embargo, siempre
existe la posibilidad de obtener cifras erróneas como
resultado de una acción
de mala fe, ya que puede haber operaciones
planeadas para ocultar algún hecho delictivo. Entre una
gran diversidad de situaciones, es posible mencionar las
siguientes:
- Omisión deliberada de registros de
transacciones. - Falsificación de registros y documentos.
- Proporcionar al auditor información falsa.
A continuación se exponen algunas situaciones que
pueden indicar la existencia de errores o
irregularidades.
- Cuando el auditor tiene dudas sobre la integridad de
los funcionarios de la empresa; si la desconfianza solamente es
con relación a la competencia y
no con la honradez de los ejecutivos de la
compañía, el auditor deberá tener presente
que pudiera encontrarse con situaciones de riesgo por errores o
irregularidades en la
administración. - Cuando el auditor detecte que los puestos clave como
cajero, contador, administrador o
gerente,
tienen un alto porcentaje de rotación, existe la
posibilidad de que los procedimientos
administrativos, incluidos los contables, presenten fallas
que pueden dar lugar a errores o irregularidades. - El desorden del departamento de contabilidad de una
entidad implica informes con
retraso, registros de operaciones inadecuados, archivos
incompletos, cuentas no
conciliadas, etc. Esta situación como es fácil
comprender, provoca errores, tal vez realizados de buena fe, o
inclusive con actos fraudulentos. La gerencia
tiene la obligación de establecer y mantener
procedimientos administrativos que permitan un control adecuado
de las operaciones.
Dentro de las auditorías se debe verificar la función de
elaboración o proceso de datos, donde se
deben chequear entre otros los siguientes aspectos:
- existencia de un método
para cerciorarse que los datos recibidos para su
valoración sean completos, exactos y
autorizados; - emplear procedimientos normalizados para todas las
operaciones y examinarlos para asegurarse que tales
procedimientos son acatados; - existencia de un método para asegurar una
pronta detección de errores y mal funcionamiento del
Sistema de Cómputo; - deben existir procedimientos normalizados para
impedir o advertir errores accidentales, provocados por fallas
de operadores o mal funcionamiento de máquinas
y programas
Sistemas de Control de Riesgos
La estructura de
Control de Riesgos pudiéramos fundamentarla en dos
pilares: los Sistemas Comunes
de Gestión
y los Servicios de Auditoría Interna, cuyas definiciones,
objetivos,
características y funciones se
exponen a continuación.
Sistemas Comunes de
Gestión
Definición
Los Sistemas Comunes de Gestión desarrollan las normas internas y
su método para la valuación y el control de los
riesgos y representan una cultura
común en la gestión de los negocios,
compartiendo el
conocimiento acumulado y fijando criterios y pautas de
actuación.
Objetivos
- Identificar posibles riesgos, que aunque están
asociados a todo negocio, deben intentar ser atenuados y tomar
conciencia
de los mismos. - Optimizar la gestión diaria, aplicando
procedimientos tendentes a la eficiencia
financiera, reducción de gastos,
homogenización y compatibilidad de sistemas de
información y gestión. - Fomentar la sinergia y
creación de valor de los
distintos grupos de
negocio trabajando en un entorno colaborador. - Reforzar la identidad
corporativa, respetando todas las Gerencias, sus valores
compartidos. - Alcanzar el crecimiento a través del desarrollo
estratégico que busque la innovación y nuevas opciones a medio y
largo plazo.
Los Sistemas cubren toda la
organización en tres niveles:
a) todos las Unidades de Negocio y áreas de actividad;
b) todos los niveles de responsabilidad;
c) todos los tipos de operaciones.
Gestión de
riesgos
Servicios de Auditoría
Los auditores internos deben participar, de conjunto,
con las demás áreas de la organización en los procesos de mejora
continua relacionados con:
- la identificación de los riesgos relevantes,
tanto externos como internos y propios de la
organización, a partir de la definición de los
dominios o puntos clave de la organización; - la estimación de la frecuencia con que se
presentan los riesgos identificados, así como la
valoración de la probable pérdida que ellos
puedan ocasionar; y - la determinación de los objetivos
específicos de control más convenientes,
debidamente articulados con los objetivos globales y
sectoriales previstos en la misión
de la entidad.
Los auditores internos deben evaluar la cantidad y
calidad de las
exposiciones al riesgo referidas a la administración, custodia y
protección de los recursos
disponibles, operaciones y sistemas de información de la
organización, teniendo en cuenta la necesidad de
garantizar a un nivel razonable los objetivos
siguientes:
- confiabilidad e integridad de la información
financiera y operacional; - eficacia y eficiencia de las operaciones;
- control de los recursos de todo tipo a
disposición de la entidad; y - cumplimiento de las leyes,
reglamentos, políticas y contratos.
Servicios de Auditoría y Consultoría
Durante los trabajos de Consultoría, los
auditores internos deben considerar el riesgo compatible con los
objetivos del trabajo y
estar alertas a la existencia de otros riesgos
significativos.
Los auditores internos deben incorporar los
conocimientos del riesgo obtenidos de los trabajos de
Consultoría en los procesos de identificación,
análisis y evaluación
de las exposiciones de riesgo significativas en la
organización.
Riesgos inherentes al ambiente de
sistemas de información automatizados
Los riesgos pueden provenir de:
- deficiencias en actividades generales del sistema de
información automatizado; - desarrollo y mantenimiento de programas;
- soporte tecnológico de los software de
sistemas; - operaciones;
- seguridad física;
y - control sobre el acceso a programas.
Los riesgos pueden incrementar el potencial de errores o
irregularidades en aplicaciones puntuales, en bases de datos,
en archivos maestros o en actividades de procesamiento
específicos.
La naturaleza de
los riesgos y las características del Control Interno
integrado al sistema de información automatizado incluye
lo siguiente:
- Falta de rastro de las transacciones.
- Algunos sistemas de información automatizada
son diseñados de modo que un rastreo completo de una
transacción que podría ser útil para
fines de la Auditoría Interna, existe sólo
por un corto período de tiempo o
únicamente en forma legible por computadora. - Un sistema complejo de aplicaciones incluye un gran
número de procedimientos que pueden no dejar un rastro
completo, por consiguiente, los errores en la lógica de un programa de
aplicaciones pueden ser difíciles de detectar
oportunamente por procedimientos manuales.
- Falta de segregación de funciones.
Algunos procedimientos de control que normalmente son
desempeñados por el personal a
través de sistemas manuales en forma individual, pueden
ser concentrados en un sistema de información
automatizado. Se debe tener en cuenta que un mismo trabajador
no debe tener acceso a los programas automatizados, al
procesamiento de la información y a los datos que se
obtienen a través de la
computadora, porque el desempeño simultáneo de estas
funciones son incompatibles.
Auditoría
Interna
Definición
La función de Auditoría Interna
está estructurada alrededor de los Servicios Mancomunados
de Auditoría, que engloban los equipos de auditoría
de las Unidades de Negocio y Servicios Corporativos, que
actúan de forma coordinada, en dependencia del
Comité de Auditoría.
Objetivos Generales
- Prevenir los riesgos de auditoría de las
Gerencias, Proyectos y
Actividades del conjunto, tales como fraudes, quebrantos
patrimoniales, ineficiencias operativas y, en general, riesgos
que puedan afectar a la buena marcha de los
negocios. - Controlar la aplicación y promocionar el
desarrollo de normas y procedimientos adecuados y eficientes de
gestión, de acuerdo con los Sistemas Comunes de
Gestión Corporativos. - Crear valor, promoviendo la construcción de sinergias y el
seguimiento de prácticas óptimas de
gestión. - Coordinar los criterios y enfoques de los trabajos
con los auditores externos, buscando la mayor eficiencia y
rentabilidad
de ambas funciones.
Objetivos Específicos
- Evaluar el Riesgo de Auditoría, de acuerdo con
un procedimiento
objetivo. - Definir tipos de trabajo estándar de
Auditoría y Control Interno a fin de desarrollar los
correspondientes Planes de Trabajo con los alcances
convenientes a cada situación. Esta tipología
está enlazada con la Evaluación de Riesgos de
Auditoría, determina los Planes de Trabajo a utilizar e
implica un tipo de Recomendaciones e Informes apropiados, y por
tanto deberá utilizarse de manera explícita en
dichos documentos. - Orientar y coordinar el proceso de planificación de los trabajos de
auditoría y control interno de las Gerencias y Unidades
de Negocio, definir un procedimiento de notificación de
dichos trabajos y comunicación con las partes afectadas y
establecer un sistema de codificación de los trabajos para su
adecuado control y seguimiento. - Definir el proceso de comunicación de los
resultados de cada trabajo de auditoría, las personas a
las que afecta y el formato de los documentos en que se
materializa. - Revisar la aplicación de los planes, la
adecuada realización y supervisión de los trabajos, la puntual
distribución de los resultados y el
seguimiento de las recomendaciones y su correspondiente
implantación.
Riesgo e Importancia Relativa.
- Las evaluaciones esperadas de los riesgos inherentes
y de control y la identificación de áreas de
auditoría importantes. - El establecimiento de niveles de importancia relativa
para propósitos de auditoría. - La posibilidad de manifestaciones erróneas o
de fraude. - La identificación de áreas de
contabilidad complejas incluyendo las que implican estimaciones
contables.
Programa de trabajo
El auditor deberá desarrollar y documentar un
programa de trabajo que exponga la naturaleza, oportunidad y
alcance de los procedimientos de auditoría planeados que
se requieren para implementar el plan de
auditoría global. El programa de trabajo sirve como un
conjunto de instrucciones a los auxiliares involucrados en la
auditoría y como un medio para el control y registro de la
ejecución apropiada del trabajo.
Al preparar el programa de trabajo, el auditor debe
considerar las evaluaciones específicas de los riesgos
inherentes y de control y el nivel requerido de certeza que
tendrán que proporcionar los procedimientos sustantivos.
Debe también considerar los tiempos para pruebas de
controles y de procedimientos sustantivos, la coordinación de cualquier ayuda esperada de
la entidad, la disponibilidad de los auxiliares y la
inclusión de otros auditores o expertos.
El auditor debe considerar la importancia relativa y las
relaciones con el riesgo del trabajo cuando planea y desarrolla
un servicio de
auditoría para reducir el riesgo de expresar una
conclusión inapropiada. La importancia relativa se juzga,
teniendo en cuenta factores tanto cuantitativos como
cualitativos, en relación con el prospecto razonable de
una materia
modificando o influenciando las decisiones del usuario a quien va
dirigido el informe del
auditor. El mismo, necesita entender y valorar qué
factores pueden influir en las decisiones del usuario a quien va
dirigido el informe. Esto es materia de juicio profesional en las
circunstancias específicas del trabajo de auditoría
ordenado.
Definición de conceptos de Riesgos asociados a
la Auditoría
El riesgo ante el trabajo
ordenado, es el riesgo de que el auditor exprese una
conclusión inapropiada. El auditor planea y realiza el
trabajo entonces de manera tal que reduzca a un nivel aceptable
el riesgo de expresar una conclusión inapropiada. En
general, esos riesgos se pueden representar por los componentes,
explicados anteriormente y asociados a la
auditoría;
- Riesgo inherente – los riesgos asociados con
la naturaleza de la temática; - Riesgo de control – el riesgo de que
los controles sobre la temática no existan u operen
inefectivamente; y, - Riesgo de detección – el riesgo de que
los procedimientos del auditor no detecten los aspectos
importantes que pueden afectar la temática.
- Obtención y Evaluación de
Evidencia.
El auditor deberá obtener evidencia suficiente
y apropiada en la auditoría para poder
extraer conclusiones razonables sobre las cuales basar su
informe.
Evidencia en la auditoría: Significa la
información obtenida por el auditor para llegar a las
conclusiones sobre las que se basa su informe. La evidencia en
la auditoría comprenderá documentos fuente y
registros contables, información corroborativa de otras
fuentes,
procedimientos sobre el manejo de las áreas o divisiones
e indicadores de
gestión. La evidencia en la auditoría se
obtiene de una mezcla apropiada de pruebas de control, de
procedimientos sustantivos, análisis de proyecciones y
análisis de los indicadores
claves de éxito.
Pruebas de control: Significa pruebas
realizadas para obtener evidencia en la auditoría sobre
lo adecuado del diseño y operación efectiva de los
sistemas de contabilidad y de control interno; el cumplimiento
de las metas y objetivos propuestos; y el grado de eficacia,
economía
y eficiencia y el manejo de la entidad.
Procedimientos sustantivos: Significa pruebas
realizadas para obtener evidencia en la auditoría para
encontrar manifestaciones erróneas de importancia
relativa en los estados financieros o en sus operaciones, y son
de dos tipos: a) pruebas de detalles de transacciones y saldos;
y b) procedimientos analíticos
Evidencia suficiente y apropiada en la
auditoría: La suficiencia y la propiedad
están interrelacionadas y se aplican a la evidencia en
la auditoría obtenida, tanto de las pruebas de control,
como de los procedimientos sustantivos. La suficiencia es la
medida de la cantidad de evidencia en la auditoría;
apropiada es la medida de la calidad de evidencia en la
auditoría y su relevancia para una particular
afirmación y su confiabilidad. Normalmente, el auditor,
encuentra necesario confiar en la evidencia de la
auditoría, que es persuasiva y no definitiva y a menudo
buscará evidencia en la auditoría de diferentes
fuentes o de una naturaleza diferente para soportar la misma
afirmación.
Para obtener las conclusiones de la temática,
el auditor normalmente no examina toda la información
disponible ya que se puede llegar a conclusiones sobre el saldo
de una cuenta, los procesos, operaciones, transacciones o
controles, por medio del ejercicio de su juicio o de muestreo
estadístico. El juicio del auditor respecto de
qué es evidencia suficiente y apropiada en la
auditoría es influenciado por factores como:
- La evaluación del auditor de la naturaleza y
nivel del riesgo inherente tanto en el ámbito de los
estados financieros como a nivel del saldo de la cuenta o
clase de
transacciones u operaciones. - Naturaleza de los sistemas de contabilidad y de
control interno y la evaluación del riesgo de
control. - Importancia relativa de la partida o
transacción que se examina. - Experiencia obtenida en auditorías
previas. - Resultados de procedimientos de auditoría,
incluyendo fraude o error que puedan haberse
encontrado. - Fuente y confiabilidad de información
disponible.
Fuente de la que es obtenida: La confiabilidad de
la evidencia en la auditoría es influenciada por su
fuente: interna o externa, y por su naturaleza: visual,
documental o verbal. Si bien, la confiabilidad de la evidencia en
la auditoría depende de la circunstancia individual, las
siguientes generalizaciones ayudarán para evaluar la
confiabilidad de la evidencia en la auditoría:
- La evidencia en la auditoría de fuentes
externas por ejemplo, confirmación o
manifestación recibida de una tercera persona es
más confiable que la generada internamente. - La evidencia en la auditoría generada
internamente es más confiable cuando los sistemas de
contabilidad y de control interno relacionados son
efectivos. - La evidencia en la auditoría obtenida
directamente por el auditor es más confiable que la
obtenida de la entidad. - La evidencia en la auditoría en forma de
documentos y manifestaciones escritas es más confiable
que las manifestaciones verbales.
La evidencia en la auditoría es más
persuasiva cuando las partidas de evidencia de diferentes fuentes
o de una diferente naturaleza son consistentes. En estas
circunstancias, el auditor puede obtener un grado acumulativo de
confianza más alto del que se obtendría de partidas
de evidencia en la auditoría cuando se consideran
individualmente. Por el contrario, cuando la evidencia en la
auditoría obtenida de una fuente es inconsistente con la
obtenida de otra, el auditor debe determinar los procedimientos
adicionales necesarios para resolver la
inconsistencia.
- Documentación.
El auditor deberá documentar los asuntos que
son importantes para apoyar las conclusiones expresadas en el
informe de auditoría y dejar evidencia de que la
auditoría se llevó a cabo de acuerdo con las
normas técnicas
de trabajo señaladas por los organismos
profesionales.
Documentación significa el material, papeles de
trabajo preparados por y para, u obtenidos o retenidos por el
auditor en conexión con la ejecución de la
auditoría. Los papeles de trabajo pueden ser en la forma
de datos almacenados en papel, película, medios
electrónicos, u otros medios y
cumplen los siguientes objetivos:
- Auxilian en la planeación y ejecución del
trabajo; - Auxilian en la supervisión y revisión
del trabajo; y - Registran la evidencia en la auditoría
resultante del trabajo realizado, para soportar el
informe.
El auditor deberá preparar papeles de trabajo
que sean lo suficientemente completos y detallados para
proporcionar una comprensión global de la
auditoría.
El auditor deberá registrar en papeles de
trabajo la planeación, la naturaleza, oportunidad y el
alcance de los procedimientos de auditoría
desarrollados; así como, los resultados y las
conclusiones extraídas de la evidencia obtenida. Los
papeles de trabajo incluirían el razonamiento del
auditor sobre todos los asuntos importantes que requieran un
ejercicio de juicio, junto con las conclusiones. En
áreas que impliquen cuestiones difíciles de
principio o juicio, los papeles de trabajo registrarán
los hechos relevantes que fueron conocidos por el auditor en el
momento de alcanzar las conclusiones.
La extensión de los papeles de trabajo es un
caso de juicio profesional, ya que, no es necesario ni
práctico documentar todos los asuntos que el auditor
examina. Al evaluar la extensión de los papeles de
trabajo que se deberán preparar y ser retenidos, puede
ser útil para el auditor considerar qué es lo que
sería necesario para proporcionar a otro auditor sin
experiencia previa con la auditoría una posibilidad de
comprensión del trabajo realizado y la base de las
decisiones de principios
tomadas pero no los aspectos detallados de la
auditoría.
La forma y contenido de los papeles de trabajo son
afectados por asuntos como:
- La temática del trabajo.
- La forma del informe del auditor.
- La naturaleza y complejidad del
negocio. - La naturaleza y condición de los sistemas de
contabilidad y control interno de la entidad. - Las necesidades en las circunstancias particulares,
de dirección, supervisión, y
revisión del trabajo realizado por los
auxiliares. - Metodología y tecnología de auditoría
específicas usadas en el curso del
trabajo.
Los papeles de trabajo son diseñados y
organizados para cumplir con las circunstancias y las
necesidades del auditor para cada auditoría en
particular. El uso de papeles de trabajo estandarizados puede
mejorar la eficiencia con que son preparados y revisados dichos
papeles de trabajo; facilitan la delegación de
trabajo a la vez que proporcionan un medio para
controlar su calidad, consultándose en correspondientes
manuales de procedimientos de Auditoría que se
establezcan en las organizaciones.
Para mejorar la eficiencia de la auditoría, el
auditor puede utilizar otros análisis concebidos por
él y otros documentos obtenidos y preparados por el
auditado. En tales circunstancias, el auditor
necesitaría estar satisfecho de que esos materiales
han sido apropiadamente preparados.
Administración de
Riesgos
El riesgo es una condición del mundo real en el
cual hay una exposición
a la adversidad, conformada por una combinación de
circunstancias del entorno, donde hay posibilidad de
perdidas.
Por tal razón todas las empresas
productoras de bienes o
servicios se deben ocupar de estudios que garanticen la
identificación de Riesgos como elemento fundamental para
garantizar la calidad del servicio o del producto
final.
Técnicas de Procedimientos para Administrar
Riesgos
- EVITAR RIESGOS: Un riesgo es evitado cuando en
la organización no se acepta. Esta técnica puede
ser más negativa que positiva. Si el evitar riesgos
fuera usado excesivamente el negocio sería privado de
muchas oportunidades de ganancia (por ejemplo: arriesgarse a
hacer una inversión) y probablemente no
alcanzaría sus objetivos. - REDUCCION DE RIESGOS: Los riegos pueden ser
reducidos, por ejemplo con: programas de seguridad,
guardias de seguridad, alarmas y estimación de futuras
pérdidas con la asesoría de personas
expertas. - CONSERVACION DE RIESGOS: Es quizás el
más común de los métodos
para enfrentar los riesgos, pues muchas veces una acción
positiva no es transferirlo o reducir su acción. Cada
organización debe decidir cuales riegos se retienen, o
se transfieren basándose en su margen de contingencia,
una pérdida puede ser un desastre financiero para una
organización siendo fácilmente sostenido por otra
organización. - COMPARTIR RIESGOS: Cuando los riesgos son
compartidos, la posibilidad de pérdida es transferida
del individuo al
grupo.
Definición de Administración de Riesgos
La administración de riesgos es una
aproximación científica del comportamiento
de los riesgos, anticipando posibles pérdidas accidentales
con el diseño e implementación de procedimientos
que minimicen la ocurrencia de pérdidas o el impacto
financiero de las pérdidas que puedan ocurrir.
Control de Riesgos: Técnica
diseñada para minimizar los posibles costos causados
por los riesgos a que esté expuesta la
organización, esta técnica abarca el rechazo de
cualquier exposición a pérdida de una actividad
particular y la reducción del potencial de las posibles
perdidas.
Como podemos apreciar, las bibliografías consultadas
recogen diferentes criterios de Riesgo, pero ninguno de ellos
estudia y mucho menos profundiza en el tema de los Riesgos que se
asumen en cada subproceso de la Auditoría, aspecto de
vital importancia para garantizar la calidad de la
misma.
En estudios de casos analizados, observamos que cuando
no se conocen las tareas y actividades especificas del proceso de
la Auditoría, los resultados finales no se corresponden
por los esperados por quienes ordenan la Auditoría,
teniendo como causa, la falta de previsión de las tareas a
realizar en cada uno de los subprocesos, y las medidas por
supuesto para evitar la comisión de errores y fallas que
pongan en riesgo el cumplimiento sistémico y escalonado de
cada subproceso, es decir, simulando el ejercicio de una
producción en serie.
En estos estudios realizados, hemos podido observar que
riesgos desde cualquier subproceso de Auditoría, sin lugar
a dudas deterioran la calidad del servicio de
ésta.
No es usual que Unidades dedicadas al servicio de
auditoría y mucho menos, las destinadas a servicios de
Auditoría Interna, trabajan en aras de diagnosticar y
evaluar los posibles riesgos en la ejecución de los
diferentes subprocesos que intervienen en un servicio de
Auditoría.
No es posible diagnosticar riesgos desde una mesa, pues
esto no puede ser esquemático y mucho menos ser una
fórmula para sustituir. En cada organización
deberá efectuarse un estudio y trazar la estrategia de la
cadena de valores de ésta y el tipo de servicio que se
debe realizar.
Para ello sería preciso conocer como está
funcionando la cadena de valores en esa organización, pues
es fundamental mantener la consecución de las tareas y
cumplir y hacer cumplir el mantenimiento del flujo
logístico de los subprocesos, ya que uno depende del
otro.
Luego, tendríamos que la Cadena de Valores en
todos los subprocesos de Auditoría, debe representarse de
la siguiente forma.
A continuación detallamos el resultado del
estudio efectuado a las Supervisiones efectuadas en un
período de tres años a diferentes profesionales en
el ejercicio de determinadas auditorías.
Puede observarse, que el diagnóstico fue necesario realizarlo,
partiendo del flujo logístico de la Cadena de Valores a
partir de cada subproceso de Auditoría en una
organización de Auditoría Interna, donde
señalamos las tareas más importantes a realizar en
cada uno de éstos, en este servicio, que como proceso
fundamental realiza esta organización, y hacemos
mención a riesgos en el cumplimiento de diferentes tareas,
y posibles en cualquier organización que brinde los
servicios de auditoría.
Subprocesos | Tareas | Riesgos de |
Exploración Previa |
|
|
Planeamiento |
|
|
Ejecución |
|
|
Informes |
|
|
Preparación del Expediente |
|
|
Supervisión |
|
|
Evaluación de los profesionales de la |
|
|
Medición y Evaluación del
Riesgo
Al concebir los posibles Riesgos en la ejecución
de los diferentes subprocesos de la Auditoría de una
organización interna o externa, debe efectuarse la
evaluación de los mismos, con el fin de conocer el
Impacto, y el tratamiento que este requiere, así como la
Probabilidad
de Ocurrencia.
Ello nos daría la posibilidad de conocer
anticipadamente la valoración y concebir planes que
coadyuven a la reducción de pérdidas, que en
técnicas de auditoría, serían la
extensión de pruebas innecesarias, y gasto de tiempo
invertido adicional, lo que implicaría el requerimiento de
tratamientos diferenciados, y por supuesto pérdidas
financieras. Si se toman las medidas necesarias para disminuir la
ocurrencia, entonces estaríamos hablando de
reducción de pérdidas en la Auditoría. En
este capitulo abordamos anteriormente la necesidad de evaluar los
riesgos de control contable, lo que ayudará al auditor
efectuar una adecuada planeación.
Sería entonces preciso el diseño o
implementación de un procedimiento interno que minimice el
impacto financiero que pueda ocurrir, el cual pudiera tratarse de
excesos de gastos de: dietas de alimentación,
hospedaje, salarios,
transportación, materiales de oficina,
comunicación, y otros.
Es necesario entonces, luego de conocer los posibles
riesgos, tener en cuenta:
a) Probabilidad de ocurrencia del Riesgo
b) Impacto ante la ocurrencia del Riesgo.
Para ello:
- las probabilidades de ocurrencia deberán
determinarse en:
- Poco Frecuente (PF)
- Moderado (M)
- Frecuente (F)
Poco Frecuente: cuando el Riesgo ocurre
sólo en circunstancias excepcionales.
Moderado: Puede ocurrir en algún
momento.
Frecuente: Se espera que ocurra en la
mayoría de las circunstancias.
- El Impacto ante la ocurrencia sería
considerado de:
- Leve (L)
- Moderado (M)
- Grande (G)
Leve: Perjuicios tolerables. Baja
pérdida financiera.
Moderado: Requiere de un tratamiento
diferenciado: Pérdida financiera media.
Grande: Requiere tratamiento
diferenciado. Alta pérdida financiera.
La evaluación del Riesgo sería
de:
Aceptable: (Riesgo bajo). Cuando se pueden
mantener los controles actuales, siguiendo los procedimientos
de rutina.
Moderado: (Riesgo Medio). Se consideran riesgos
Aceptables con Medidas de Control. Se deben acometer acciones
de reducción de daños y especificar las
responsabilidades de su implantación y
supervisión.
Inaceptable: (Riesgo Alto). Deben tomarse de
inmediato acciones de reducción de Impacto y
Probabilidad para atenuar la gravedad del riesgo. Se
especificará el responsable y la fecha de
revisión sistemática.
Si quisiéramos evaluar el Impacto de los Riesgos
en un subproceso, sólo tendríamos que analizar el
Diagnóstico efectuado.
A manera de ejemplo, analizaremos el subproceso de
Exploración previa diagnosticado en el estudio de caso
efectuado, para llegar a él.
Veamos:
Subprocesos | Tareas | Riesgos de |
Exploración Previa |
|
|
Al evaluarlos tendríamos:
EVALUACION DE | |||||||||||
No. | Riesgo | E | I | Impacto (6) | Probabilidad | Nivel de Riesgo | |||||
L | M | G | F | M | PF | ||||||
1 | El auditor no sea capaz de identificar la |
X |
|
X |
X | Aceptable con medidas de | |||||
2 | No concebir un adecuado planeamiento del trabajo | X | X | X | Aceptable con medidas de | ||||||
3 | Concebir la planificación para | X | X | X | Aceptable con medidas de | ||||||
4 | Extensión de pruebas por desconocimiento | X | X | X | Inaceptable | ||||||
5 | Desconocimiento de antecedentes de deficiencias | X | X | X | Aceptable con Medidas de |
Una técnica conocida y muy usada, como
herramienta de trabajo, es la representación
gráfica, y siguiendo el ejemplo anterior,
observemos:
Ilustración. Niveles de Riesgo (Matriz)
Como puede observarse, el gráfico anterior nos
ilustra los cuadrantes donde según su Impacto y
Probabilidad de Ocurrencia se sitúan estos Riesgos, y su
color nos
identifica la Evaluación del mismo, lo que no significa
que en el Plan de Medidas no se tengan en cuenta todos los
Riesgos, pues deberá mantenerse el seguimiento de todos
los identificados y el Plan de acción de cada
uno.
El Plan de Acción estaría en
correspondencia con el tipo de riesgo, con la organización
donde se realiza el servicio, con el tipo de auditoría,
con el subproceso que se realice y por supuesto con el auditor o
auxiliar que la ejecute. Vital importancia reviste el dominio de la
actividad, el monitoreo en la ejecución sucesiva sobre el
manejo de futuras acciones y la supervisión
sistemática en diferentes momentos de realización
de las auditorías en correspondencia sobre la incidencia
de los riesgos pasados o reiterados en los subprocesos que
mayores impactos se han observados.
Por el impacto que hoy produce la ocurrencia de los
riesgos observados en la investigación, debe elaborarse un Plan de
Acción en el que se proponga, fundamentalmente
- El diseño de un Sistema Organizativo de
ejecución para cada uno de los subprocesos de la
auditoría. - Capacitar a los profesionales de la auditoría
en la formación teórico-práctica que
garantice la calidad en el ejercicio de sus
funciones. - Evaluar los resultados de las
supervisiones - Mantener la vigilancia de la posible comisión
de riesgos en el desarrollo sistemático del ejercicio de
las auditorías. - Monitorear el cumplimiento de la Cadena de Valores
por cada profesional. - Etc.
Responsables:
- Departamento de Auditoría
- Supervisor
- Jefe de Grupo
- Auditor
Estándares:
- Consiste en una Guía, con determinado aspectos
a evaluar, por cada subproceso, el cual debe concluir con una
evaluación, la cual se deberá clasificar
según la probabilidad de ocurrencia y el Impacto ante la
misma. - Deberá además de resumirse,
representarse en un gráfico, con el fin de elaborar el
consecuente Plan de Acción para reducir la probabilidad
de ocurrencia.
Controles:
Frecuentemente debe evaluarse el comportamiento de cada
subproceso y por cada área de trabajo.
Concluyendo, resulta de vital importancia establecer un
sistema de control en esa Cadena de Valores, donde todos los
subprocesos en Auditoría son necesarios para lograr un
servicio eficaz, y eficiente, con los requerimientos de calidad
esperada. Una administración eficiente de los Riesgos,
sería entonces una aproximación científica
de su comportamiento, anticipando posibles pérdidas
accidentales con el diseño e implementación de
procedimientos que minimicen la ocurrencia de pérdidas o
el impacto financiero de las pérdidas que puedan
ocurrir.
En el próximo Capítulo se explicará
el diseño de una Modelo
Organizativo del Sistema de Auditoría Interna, con el
enfoque de Riesgos expuesto anteriormente.
Bibliografía Consultada
- Hamilton Alexander Institute, Clave del mejoramiento
financiero y operativo de La Auditoría Interna: EEUU,
1982. - Quiroc, M.C. Administración del riesgo y
Auditoría Interna. Universidad
de Costa Rica.
Contraloría Universitaria. 2003. Boletín 1-2003.
Artículo 9. Disponible en: http://ucu.ucr.ac.cr/boletin1-2003.artículo9.htm
(Consulta: febrero 2005). - Rosés, F. El mapa de riesgos permite ver las
amenazas que tiene la empresa. 2000. Disponible en:
http://wwwdiariomedico.com/gestion/ges.220300.com (Consulta:
diciembre 2004)
Aportado por:
Lic. Ederlys
Hernández Meléndrez
Profesora Titular del Centro Universitario de Sancti
Spiritus "José Martí
Pérez". Más de 30 años vinculados a la
actividad empresarial. Supervisora de la Corporación
Copextel SA. Basta experiencia en temas de Contabilidad, Finanzas y
Auditoría. Ha impartido diversos cursos de postgrados en
estas Materias y otros temas relacionados con la actividad.
Profesora de Maestría en esta Disciplina.
Actualmente trabaja en un proyecto de
tesis doctoral
vinculado a Manuales de Procedimientos de Auditoría. Es
Aspirante al Grado de Doctor en Ciencias
Económicas. Autor de varias Publicaciones.
Página anterior | Volver al principio del trabajo | Página siguiente |