AUDITORIA EXTERNA CON ENFOQUE A RIESGOS

AUDITORIA EXTERNA CON ENFOQUE A RIESGOS

El riesgo de auditoría significa que auditor acepta cierto nivel de incertidumbre al realizar la auditoría. El auditor reconoce, por ejemplo, que existe incertidumbre sobre la competencia de las evidencias, sobre la eficacia de la estructura del sistema de control interno, así como sobre la presentación de los estados financieros con imparcialidad cuando se concluye la auditoría.

Analizando los tipos de riesgos que configuran el enfoque de riesgo en auditoría según distintos autores, no se encuentran mayores diferencias en las definiciones de los mismos (riesgo de auditoría, riesgo inherente, riesgo de control y riesgo de detección), la manera en que impactan en los estados financieros, su consideración en el planeamiento de la auditoría y las respuestas que se les da a los mimos en la ejecución de procedimientos para la obtención de elementos de juicios válidos y suficientes.

Según expresa Fowler, E (2004), el enfoque de auditoría (determinación de la naturaleza, oportunidad y alcance de los procedimientos de auditoría a aplicar) estaría relacionado estrechamente con la evaluación de riesgo a realizar por el auditor e implicará buscar la combinación adecuada entre pruebas de cumplimiento y sustantivas a fin de obtener evidencias de auditoría con la menor cantidad de horas insumidas.

La Resolución No. 350 dictada el 28 de diciembre de 2007 por la titular del extinto Ministerio de Auditoría y Control, la que establece las Normas de Auditoría Interna y las regulaciones sobre la actividad, refleja que al planificar el trabajo, los auditores internos deben considerar, entre otros:

• a) los riesgos significativos de la actividad, sus objetivos, recursos y operaciones, y los medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable;

• b) la adecuación y eficacia de los sistemas de gestión de riesgos y de Control Interno de la actividad; y

• c) las oportunidades de introducir mejoras significativas en los sistemas de gestión de riesgos y de Control Interno de la actividad.

Como se explicó con anterioridad, el auditor al realizar el trabajo de planeamiento de la auditoría debe evaluar el riesgo que pudiera estar presente. Por ello se considera importante definir conceptualmente riesgo de auditoría y los tipos de riesgos que la componen.

Riesgo de auditoría: La consideración del riesgo probable supone la posibilidad de que el auditor no detecte un error significativo que pudiera existir en la evidencia analizada.

El riesgo probable está relacionado con las acciones u omisiones vinculadas con las estructuras, operaciones, funciones y actividades desarrolladas por el sujeto de la acción de control y las personas que las dirigen, planifican, controlan, organizan y ejecutan; por las cuales el auditor no puede detectar errores, irregularidades o fraudes en las evidencias que examina, lo que le impide hacer una evaluación adecuada y razonable de la situación existente.

Para clasificar conceptualmente el riesgo de auditoría es conveniente su clasificación en:

• a. Riesgo Inherente: Son los que se generan por las características propias del sujeto de la acción de control, bien sea por la naturaleza; de las actividades, funciones o programas que desarrolla, o de la cuenta o cuentas de los estados financieros a verificar.

• b. Riesgo de Control: Son los que se generan por la estructura, procedimientos y diseño del Sistema de Control Interno del sujeto de la acción de control.

• c. Riesgo Detección: Relacionado con que los auditores no logren detectar los errores existentes con los Programas de trabajo diseñados y la aplicación del juicio profesional adecuado.

Existe un consenso general, de que el auditor debe reconocer los riesgos que existen y enfrentarlo de manera adecuado, considerándolos desde la etapa previa del trabajo (planeamiento) hasta después de finalizado el trabajo.

Figura No I. "Interrelación de los registros de auditoría"

Figura No. II "Probabilidad de ocurrencia de errores en función del nivel de riesgo específico"

Fuente: Elaboración Propia

Enfoque de Auditoría basada en riesgo

La auditoría basada en riesgos requiere que el auditor entienda primero la entidad y luego identifique y evalúa los riesgos de declaración distorsionada significativa contenida en los estados financieros. Esto permite a los auditores identificar y responder a:

• Posibles saldos de cuentas, clases de transacciones o revelaciones del estado financiero que puedan ser incompletas, declaradas de manera distorsionada o que falten por completo en los estados financieros. Ejemplos pueden incluir:

• 1. Activos y/o pasivos sobre o sub-valorados;

• 2. Activos no registrados, activos tales como efectivo e inventario que pudieron haber sido usados de forma indebida; y

• 3. Revelaciones faltantes o incompletas.

• Áreas de vulnerabilidad donde podría ocurrir que se eludan los controles y manipulen los estados financieros. Los ejemplos podrían incluir:

• 1. Comprobantes de operaciones falsos, realizados a través de la general sin autorización y los mecanismos de control necesarios para detectarlos,

• 2. Política de reconocimiento de ingreso y tratamiento de los gastos inadecuadas; y

• 3. Estimaciones incorrectas: tasas de interés diferentes de lo aprobado en el comité de control, aprobaciones de créditos a clientes no autorizados (extranjeros u otros).

La identificación de riesgos es un eje transversal en el proceso de auditoría, ya que comienza en etapas tempranas de dicho proceso. De la evaluación de riesgos que efectúe el auditor en las instancias previas al desarrollo del plan dependerá el enfoque que dará a su trabajo, es decir, su respuesta a los riesgos potenciales identificados. Así lo expresa Lattuca: "Luego de haber cumplido con la identificación y evaluación de riesgos surgida de los procedimientos cumplidos en la fase anterior, el auditor está en condiciones de desarrollar el plan de auditoría dando una adecuada consideración a tales riesgos. En otras palabras, decidir el enfoque de auditoría. Para ello, deberá relacionar los factores específicos de riesgos identificados en la etapa anterior que pueden producir errores potenciales significativos en las transacciones y saldos de cuentas."(Lattuca, 2008)

Decidir el enfoque de auditoría implica entonces poner sobre el tapete cuestiones disímiles que tienen que ver con la consideración del riesgo desde diversas aristas. Por un lado, deberán segregarse aquellos riesgos que comprometen a la organización desde una perspectiva global. Estos riesgos, por sus características, pueden causar distorsiones cuya individualización no obedece a una única partida o transacción afectada, ni a un conjunto determinado de las mismas, sino que impacta en los estados financieros en su conjunto. Esto implica que su efecto no puede ser aislado en forma eficiente a efectos de determinar las consecuencias que, de materializarse, podrían tener sobre la información contable sujeta a análisis. Casal (2009), sostiene que el nuevo enfoque de auditoría incorpora la administración de riesgos para pasar a un modelo de los riesgos del negocio.

Por otro lado, deberán considerarse aquellos riesgos que afecten en forma exclusiva a determinadas partidas, y que, por ello resulten disgregables9 para su consideración singular. El auditor, con este fin, reflexionará sobre la medida en que ha podido obtener algún grado de seguridad de otras fuentes distintas a su tarea. Analizará aquellos elementos que en las etapas preliminares le hayan proporcionado evidencia de que una partida dada no es susceptible de incluir errores significativos, en cuyo caso descansará en la seguridad inherente de dicha partida. Adicionalmente, evaluará la existencia de controles adecuados cuya operación efectiva durante el ejercicio haya podido corroborar y que resulten mitigantes de riesgos específicos identificados, permitiéndole obtener cierta seguridad de control.

Para Fowler Newton, el riesgo inherente combinado con el riesgo de control conforma el denominado riesgo de representación errónea significativa. Por su parte, Casal llama a esta perspectiva Enfoque basado en riesgos, que consiste en: "a) identificar los riesgos de negocios que encara la entidad al comienzo de la auditoría, dirigiendo los esfuerzos del auditor hacia las áreas de riesgos significantes que corresponden a los estados financieros; b) concentrar los mayores esfuerzos en las transacciones no rutinarias y en las estimaciones contables; y c) siempre que sea posible y eficaz, obtener evidencia de auditoría de las pruebas de controles (enfoque basado en sistemas)."(Casal, 2009).

Como corolario de las tareas antes señaladas, se deberá determinar la naturaleza, el alcance y la oportunidad de los procedimientos de auditoría a realizar, a efectos de lograr los objetivos de efectividad y eficiencia que deben guiar el proceso. Así lo sostiene Casal al afirmar que "El enfoque de auditoría (determinación de la naturaleza, oportunidad y alcance de los procedimientos de auditoría adicionales a aplicar), está relacionado estrechamente con la valoración del riesgo, tanto a nivel de planificación estratégica o global, como de planificación táctica o detallada (respuesta al riesgo por componente y por afirmaciones/objetivos de auditoría), e implicará buscar la combinación adecuada (eficacia) entre pruebas de cumplimiento de controles, procedimientos de validación o sustantivas ( de detalle y revisión analítica) y pruebas de doble propósito,

...