Auditoría basada en riesgo, una estrategia contemporánea en las instituciones financieras no bancarias
- Introducción
- Desarrollo
- Enfoque de Auditoría basada en
riesgo - Modelo
de riesgo de Auditoría para la
planificación - Conclusiones
- Recomendaciones
- Referencias
bibliográficas
Introducción
El presente trabajo tiene como objetivo analizar el
enfoque de riesgo en la auditoría, tanto desde el punto de
vista teórico como de la investigación
aplicada.
Se tuvieron en cuenta los métodos de
investigación teóricos y empíricos tales
como:
El método histórico-lógico
en la revisión de la literatura para estudiar la
naturaleza del riesgo de auditoría, su esencia y
clasificaciones contemporáneas. El enfoque
sistémico, que permitió la
orientación general, de la investigación, sus
tendencias y manifestaciones como una realidad integral, en la
que se manifiestan las funciones e interacciones de sus
componentes.
El análisis documental se centró en
la revisión de documentos normativos de los lineamientos
generales de Administración de Riesgos Empresariales
(ERM), publicados por Basilea II, COSO – ERM, la
Resolución No. 60/2011 de la Contraloría General de
la República, las Normas de Auditoría Interna y
documentos legislativos de la Superintendencia de Cuba para
desarrollar un marco de referencia circunscrito al rol que debe
ejercer el Auditor Interno ante los riesgos en las entidades del
sector financiero cubano.
Todas las organizaciones enfrentan cada vez mayor grado
de incertidumbre, por efectos de la globalización, la
complejidad de los negocios y los avances tecnológicos, el
desafío es determinar cuánto de esta incertidumbre
estamos preparados para aceptar. Con la evolución y
dinámica de los negocios se plantea una gran oportunidad
para fortalecer y optimizar la función de auditoría
interna en el sentido de agregar valor y contribuir efectivamente
al logro de los objetivos de las Instituciones.
Desarrollo
El riesgo de auditoría significa que auditor
acepta cierto nivel de incertidumbre al realizar la
auditoría. El auditor reconoce, por ejemplo, que existe
incertidumbre sobre la competencia de las evidencias, sobre la
eficacia de la estructura del sistema de control interno,
así como sobre la presentación de los estados
financieros con imparcialidad cuando se concluye la
auditoría.
Analizando los tipos de riesgos que configuran el
enfoque de riesgo en auditoría según distintos
autores, no se encuentran mayores diferencias en las definiciones
de los mismos (riesgo de auditoría, riesgo inherente,
riesgo de control y riesgo de detección), la manera en que
impactan en los estados financieros, su consideración en
el planeamiento de la auditoría y las respuestas que se
les da a los mimos en la ejecución de procedimientos para
la obtención de elementos de juicios válidos y
suficientes.
Según expresa Fowler, E (2004), el enfoque de
auditoría (determinación de la naturaleza,
oportunidad y alcance de los procedimientos de auditoría a
aplicar) estaría relacionado estrechamente con la
evaluación de riesgo a realizar por el auditor e
implicará buscar la combinación adecuada entre
pruebas de cumplimiento y sustantivas a fin de obtener evidencias
de auditoría con la menor cantidad de horas
insumidas.
La Resolución No. 350 dictada el 28 de diciembre
de 2007 por la titular del extinto Ministerio de Auditoría
y Control, la que establece las Normas de Auditoría
Interna y las regulaciones sobre la actividad, refleja que al
planificar el trabajo, los auditores internos deben considerar,
entre otros:
a) los riesgos significativos de la actividad,
sus objetivos, recursos y operaciones, y los medios con los
cuales el impacto potencial del riesgo se mantiene a un nivel
aceptable;b) la adecuación y eficacia de los
sistemas de gestión de riesgos y de Control Interno de
la actividad; yc) las oportunidades de introducir mejoras
significativas en los sistemas de gestión de riesgos y
de Control Interno de la actividad.
Como se explicó con anterioridad, el auditor al
realizar el trabajo de planeamiento de la auditoría debe
evaluar el riesgo que pudiera estar presente. Por ello se
considera importante definir conceptualmente riesgo de
auditoría y los tipos de riesgos que la
componen.
Riesgo de auditoría: La
consideración del riesgo probable supone la posibilidad de
que el auditor no detecte un error significativo que pudiera
existir en la evidencia analizada.
El riesgo probable está relacionado con las
acciones u omisiones vinculadas con las estructuras, operaciones,
funciones y actividades desarrolladas por el sujeto de la
acción de control y las personas que las dirigen,
planifican, controlan, organizan y ejecutan; por las cuales el
auditor no puede detectar errores, irregularidades o fraudes en
las evidencias que examina, lo que le impide hacer una
evaluación adecuada y razonable de la situación
existente.
Para clasificar conceptualmente el riesgo de
auditoría es conveniente su clasificación
en:
a. Riesgo Inherente: Son los que se
generan por las características propias del sujeto de
la acción de control, bien sea por la naturaleza; de
las actividades, funciones o programas que desarrolla, o de
la cuenta o cuentas de los estados financieros a
verificar.b. Riesgo de Control: Son los que se
generan por la estructura, procedimientos y diseño del
Sistema de Control Interno del sujeto de la acción de
control.c. Riesgo Detección: Relacionado
con que los auditores no logren detectar los errores
existentes con los Programas de trabajo diseñados y la
aplicación del juicio profesional adecuado.
Existe un consenso general, de que el auditor debe
reconocer los riesgos que existen y enfrentarlo de manera
adecuado, considerándolos desde la etapa previa del
trabajo (planeamiento) hasta después de finalizado el
trabajo.
Figura No I. "Interrelación de
los registros de auditoría"
Figura No. II "Probabilidad de
ocurrencia de errores en función del nivel de riesgo
específico"
Fuente: Elaboración Propia
Enfoque de
Auditoría basada en riesgo
La auditoría basada en riesgos requiere que el
auditor entienda primero la entidad y luego identifique y
evalúa los riesgos de declaración distorsionada
significativa contenida en los estados financieros. Esto permite
a los auditores identificar y responder a:
Posibles saldos de cuentas, clases de transacciones
o revelaciones del estado financiero que puedan ser
incompletas, declaradas de manera distorsionada o que falten
por completo en los estados financieros. Ejemplos pueden
incluir:
1. Activos y/o pasivos sobre o
sub-valorados;2. Activos no registrados, activos tales como
efectivo e inventario que pudieron haber sido usados de forma
indebida; y3. Revelaciones faltantes o
incompletas.
Áreas de vulnerabilidad donde podría
ocurrir que se eludan los controles y manipulen los estados
financieros. Los ejemplos podrían incluir:
1. Comprobantes de operaciones falsos,
realizados a través de la general sin
autorización y los mecanismos de control necesarios
para detectarlos,2. Política de reconocimiento de ingreso
y tratamiento de los gastos inadecuadas; y3. Estimaciones incorrectas: tasas de
interés diferentes de lo aprobado en el comité
de control, aprobaciones de créditos a clientes no
autorizados (extranjeros u otros).
La identificación de riesgos es un eje
transversal en el proceso de auditoría, ya que comienza en
etapas tempranas de dicho proceso. De la evaluación de
riesgos que efectúe el auditor en las instancias previas
al desarrollo del plan dependerá el enfoque que
dará a su trabajo, es decir, su respuesta a los riesgos
potenciales identificados. Así lo expresa Lattuca: "Luego
de haber cumplido con la identificación y
evaluación de riesgos surgida de los procedimientos
cumplidos en la fase anterior, el auditor está en
condiciones de desarrollar el plan de auditoría dando una
adecuada consideración a tales riesgos. En otras palabras,
decidir el enfoque de auditoría. Para ello, deberá
relacionar los factores específicos de riesgos
identificados en la etapa anterior que pueden producir errores
potenciales significativos en las transacciones y saldos de
cuentas."(Lattuca, 2008)
Decidir el enfoque de auditoría implica entonces
poner sobre el tapete cuestiones disímiles que tienen que
ver con la consideración del riesgo desde diversas
aristas. Por un lado, deberán segregarse aquellos riesgos
que comprometen a la organización desde una perspectiva
global. Estos riesgos, por sus características, pueden
causar distorsiones cuya individualización no obedece a
una única partida o transacción afectada, ni a un
conjunto determinado de las mismas, sino que impacta en los
estados financieros en su conjunto. Esto implica que su efecto no
puede ser aislado en forma eficiente a efectos de determinar las
consecuencias que, de materializarse, podrían tener sobre
la información contable sujeta a análisis. Casal
(2009), sostiene que el nuevo enfoque de auditoría
incorpora la administración de riesgos para pasar a un
modelo de los riesgos del negocio.
Por otro lado, deberán considerarse aquellos
riesgos que afecten en forma exclusiva a determinadas partidas, y
que, por ello resulten disgregables9 para su consideración
singular. El auditor, con este fin, reflexionará sobre la
medida en que ha podido obtener algún grado de seguridad
de otras fuentes distintas a su tarea. Analizará aquellos
elementos que en las etapas preliminares le hayan proporcionado
evidencia de que una partida dada no es susceptible de incluir
errores significativos, en cuyo caso descansará en la
seguridad inherente de dicha partida. Adicionalmente,
evaluará la existencia de controles adecuados cuya
operación efectiva durante el ejercicio haya podido
corroborar y que resulten mitigantes de riesgos
específicos identificados, permitiéndole obtener
cierta seguridad de control.
Para Fowler Newton, el riesgo inherente combinado con el
riesgo de control conforma el denominado riesgo de
representación errónea significativa. Por su parte,
Casal llama a esta perspectiva Enfoque basado en riesgos, que
consiste en: "a) identificar los riesgos de negocios que encara
la entidad al comienzo de la auditoría, dirigiendo los
esfuerzos del auditor hacia las áreas de riesgos
significantes que corresponden a los estados financieros; b)
concentrar los mayores esfuerzos en las transacciones no
rutinarias y en las estimaciones contables; y c) siempre que sea
posible y eficaz, obtener evidencia de auditoría de las
pruebas de controles (enfoque basado en sistemas)."(Casal,
2009).
Como corolario de las tareas antes señaladas, se
deberá determinar la naturaleza, el alcance y la
oportunidad de los procedimientos de auditoría a realizar,
a efectos de lograr los objetivos de efectividad y eficiencia que
deben guiar el proceso. Así lo sostiene Casal al afirmar
que "El enfoque de auditoría (determinación de la
naturaleza, oportunidad y alcance de los procedimientos de
auditoría adicionales a aplicar), está relacionado
estrechamente con la valoración del riesgo, tanto a nivel
de planificación estratégica o global, como de
planificación táctica o detallada (respuesta al
riesgo por componente y por afirmaciones/objetivos de
auditoría), e implicará buscar la
combinación adecuada (eficacia) entre pruebas de
cumplimiento de controles, procedimientos de validación o
sustantivas ( de detalle y revisión analítica) y
pruebas de doble propósito, para obtener las evidencias de
auditoría (suficientes, relevantes y competentes), con la
menor cantidad posible de tiempo insumido (eficiencia), para
beneficio del auditor (…)."(Casal, 2009).
Para el autor, este enfoque es también aplicable
a las pequeñas y medianas empresas (PyMES); sin embargo
Lattuca, resalta un aspecto no menos válido: el
tamaño de la empresa cuyos estados financieros son objeto
de auditoría influye en la elección de un
determinado enfoque. Dicho autor considera que, por lo general,
mientras más grande y compleja sea la entidad, resulta
probablemente más eficiente aplicar una estrategia de
confianza en controles en lugar de usar una estrategia que
comprenda únicamente pruebas sustantivas. Para entidades
más pequeñas, y especialmente, es menos probable
que se adopte una estrategia de confianza en controles debido a
que con frecuencia solamente hay un pequeño número
de actividades de control en las que el auditor puede
confiar.
Lattuca afirma que "la consideración que haga el
auditor de los factores de riesgo que presenta la entidad objeto
de auditoría, el tipo de errores que pudieran producirse y
afectar las afirmaciones de los estados financieros, la capacidad
del sistema de control interno para impedirlos o detectarlos, el
nivel de significación o importancia relativa que el
auditor determine para considerar o desechar los errores
detectados y el grado de seguridad con el que pretenda sustentar
sus conclusiones, condicionarán su estrategia de
auditoría y le indicarán la naturaleza,
extensión y oportunidad de las pruebas que él
realizará para lograr el nivel deseado de seguridad. Esta
combinación de observaciones, evaluaciones, decisiones,
pruebas por realizar, elementos de juicio o evidencias procuradas
y conclusiones dan forma y contenido a un proceso de
investigación que se conoce como proceso de
auditoría." (Lattuca, 2008)
Según la opinión de Fowler Newton9, el
análisis del riesgo no solo incidirá sobre la
seguridad sustantiva que el auditor deberá obtener
mediante la aplicación de sus pruebas, sino que su impacto
se extenderá además a otros aspectos como la
asignación de trabajos específicos a los
integrantes del equipo de auditoría y la
supervisión que ejercerá sobre los trabajos
encargados a dichos integrantes.
Respecto de los procedimientos a realizar Fowler
Newton10 concluye que, cuanto mayor sea el riesgo de
representación errónea significativa vinculado con
un componente de los estados financieros (o con un grupo de
ellos), debería tratar de reducirse el riesgo de falta de
detección, diseñando las pruebas de
auditoría de una manera que brinde mayor seguridad, y para
ello establece las siguientes pautas:
seleccionar procedimientos más eficaces en
naturaleza;aumentar el alcance o extensión de las
pruebas de auditoría (ampliarlos tamaños de las
muestras);acercar la oportunidad de aplicación de
algunos procedimientos a la fecha de los estados
financieros.
Entonces, la determinación del enfoque
será consecuencia no solo de la evaluación de los
riesgos anteriormente citados, sino que además
tomará en cuenta el grado de tolerancia a errores o
significación que haya postulado el auditor y el nivel de
seguridad mínimo exigido para dar una opinión
favorable sobre los estados contables en su conjunto. En otras
palabras, "existe una relación inversa entre: a) la
significación (o importancia relativa), para la
información contable; y b) el nivel de riesgo de
auditoría.
Como podrá observarse, decidir el enfoque de
auditoría tiene múltiples implicancias, ya que
determina aspectos fundamentales de la metodología de
trabajo a llevar a cabo por el auditor, ya sea en cuanto a la
aplicación de pruebas de detalle o pruebas
analíticas, la elección del momento óptimo
para la ejecución de las mismas, la selección de
muestras de un tamaño adecuado, entre otras. Por lo
expuesto, podemos afirmar que determinar el enfoque de
auditoría conlleva realizar múltiples
clasificaciones y juicios de valor, que requieren de un agudo
criterio profesional y un expertise en materia contable y de
control.
Modelo de riesgo
de Auditoría para la
planificación
La forma principal en que los auditores se enfrentan a
este riesgo al planear las evidencias de la auditoría es a
través de la aplicación del modelo de riesgo de
auditoría. La fuente del modelo de riesgo de
auditoría es la literatura profesional Arens, A;
Loebbecke, J (2008), sobre importancia y riesgo.
El modelo de riesgo de auditoría se utiliza
principalmente para propósitos de planificación, al
decir cuantas evidencias se han de acumular en cada ciclo.
Generalmente se expresa de la siguiente manera:
El riesgo de detección planeada es una
medida de riesgo que las evidencias de auditoría para un
segmento no detectarán los errores superiores a un monto
tolerable, si es que existen dichos errores. Existen dos puntos
importantes sobre el riesgo de detección planeado: en
primer lugar depende de los otros tres (inherente, de control y
de auditoría aceptable) factores del modelo. En segundo
lugar, determina la cantidad de evidencias sustantivas que el
auditor planea acumular, inversamente al tamaño de riesgo
de detección planeada. Si se reduce el riesgo de
detección planeada, es necesario que el auditor acumule
más evidencia para lograr el riesgo de detección
mayor.
El riesgo aceptable de auditoría es una
medida de la disponibilidad del auditor para aceptar que los
estados financieros contienen errores importantes después
que ha terminado la auditoría y que se ha emitido una
opinión sin salvedades. Cuando el auditor se decide por un
riesgo de auditoría menor, ello significa que el auditor
está más seguro que los estados financieros no
contienen errores importantes.
Generalmente se considera el impacto de varios factores
en la evaluación de los riesgos que se mencionaron
anteriormente, los cuales se describen a
continuación.
Riesgo Inherente
La inclusión del Riesgo Inherente en el modelo de
riesgo de auditoría es uno de los conceptos más
importante en la actividad de auditoría. Implica que los
auditores predicen en dónde son más o menos
probables los errores en los ciclos de los estados financieros.
Esta afirmación afecta el monto total de las evidencias
que el auditor tiene que acumular e influye en la forma en los
esfuerzos que hace el auditor para reunir las evidencias son
distribuidos entre los ciclos de la auditoría. La
combinación del riesgo inherente y del riesgo de control
puede considerarse como la expectativa de errores
después de considerar el efecto del sistema de control
interno.
El auditor debe evaluar los factores que constituyen el
riesgo y modifica las evidencias de auditoría para
tomarlos en consideración. El auditor debe considerar para
la evaluación de este riesgo en las Instituciones
Financieras varios factores importantes, entre ellos:
Naturaleza de la Institución.
Determinado por el tipo de operación que realiza, si
es una Institución Financiera Bancaria o no Bancaria.
Existe una mayor probabilidad de fraudes en efectivo y
utilización de medio de pagos con irregularidad en el
sector de las Intuiciones Financieras Bancaria, dado por sus
características.Examen del Manual de Organización,
documento que refleja la estructura de la
organización, su Capital Social, las responsabilidades
y nivel de competencia de los funcionarios y directivos en la
organización y el Sistema de Control Interno, los
órganos colegiados de dirección (en especial el
del Comité de Créditos), el funcionamiento del
Comité de ingreso como seguridad de que los
especialistas y técnicos que desempeñan
funciones sean, los idóneos y se encuentran
capacitados, entre otros documentos de
importancia.
Teniendo en cuenta lo planteado por el documento de
Basilea II para las Instituciones Financieras existen definidos
riesgos específicos que se generan según su
actividad y que deben ser administrados. A continuación se
citan textualmente los aspectos que se consideran importantes
sobre los riesgos, controles y la administración de los
mismos:
Riesgo de
Crédito[1]Posibilidad de que en un
préstamo la contraparte no cumpla sus obligaciones. Es
el Riesgo bancario típico y tradicional, asociado a
las operaciones de préstamo, aval, etc.Riesgo País. Posibilidad de que el
valor de los activos y/o los ingresos en moneda local no
pueden ser convertidos en moneda extranjera, debido a eventos
políticos y/o económicos que no se contemplaron
en las expectativas de los inversionistas.Riesgo de Liquidez. Cuando una contraparte no
paga en la fecha de vencimiento, aunque es capaz de pagar en
una fecha posterior.Riesgo Legal. Incumplimiento de las
disposiciones legales aplicables a las operaciones de la
institución y que se presentan en todas las
instituciones del grupo.Riesgo de mercado. La cantidad de dinero que
se puede perder en un cierto plazo, debido al movimiento de
las variables de mercado: inflación, divisas,
acciones, tipo de mercado y tasas de
interés.Riesgo por tipo de cambio. Pérdidas
que pudieran ocasionar las fluctuaciones de los tipos de
cambio de las monedas.Garantías recibidas y/o otorgadas por
préstamos. Conjunto de bienes o solvencias
reconocidas que se encuentran afectos, general o
específicamente, al buen fin de una operación,
principalmente crédito o préstamo.
El auditor evalúa la información que
afecta el riesgo inherente y decide sobre un factor de riesgo
inherente adecuado para cada ciclo y muchas veces para cada
objetivo de la auditoría.
El riesgo inherente será bajo
cuando:
No existan deudores en la cartera de financiamiento
tipificados en la Categoría "D" de la
clasificación de activos crediticios y al menos la
cuenta de provisiones se haya recuperado una vez al
año.Cuando el índice de morosidad no exceda el 3
% de lo indicado por Basilea.No existan clientes con deudas reestructuradas y/o
renegociadas y además vencidas.Cuando las garantías ofrecidas a la
Institución ofrezcan respaldo suficiente como para
cubrir el monto del préstamo en caso que no se
reembolse.La rentabilidad de los activos sea o supere el 0.2
%
El riesgo inherente será más alto
cuando:
Los clientes tipificados en la Categoría "C"
representen al menos el 25 por ciento de la cartera de
financiamiento y los de la Categoría "D" alcancen al
menos el 15 por ciento de la cartera de
financiamientos.No existan protecciones ante posibles
pérdidas futuras (provisiones de la
cartera).La Cartera de Financiamiento supera el índice
de morosidad del 3 por ciento.No exista, sea insuficiente o existan antecedentes
de fallos en la garantía como aval para recuperar los
financiamientos.Exista evidencia que no se logró cumplir al
menos el 90 por ciento de los objetivos de
trabajo.La rentabilidad Sobre el Capital sea inferior al 6
por ciento
Lo reflejado en los puntos anteriores hacía
referencia a los factores cualitativos para evaluar el riesgo
inherente, pueden utilizarse además criterios
cuantitativos que son empleados en el modelo de riesgo de
detección planeada.
La mayoría de los auditores probablemente
determinen un riesgo inherente superiores al 50 por ciento,
aún en las mejores circunstancias y en un ciento por
ciento cuando existe cualquier posibilidad razonable de errores
significativos.
Riesgo de Control
Un riesgo de Control es una medida de la
evaluación que hace el auditor de la probabilidad que
errores superiores a un monto tolerable en un ciclo no sean
prevenidos o detectados por la estructura del Sistema Control
Interno de la Institución. Este riesgo representa,
primero, una evaluación de la eficacia de la estructura
del sistema de control interno de la Institución para
prevenir o detectar los errores y dos, la intención del
auditor para hacer esa evaluación en un nivel inferior al
máximo (100 %) como parte de la planeación de
auditoría.
Al igual que con el riesgo inherente, la relación
entre el riesgo de control y el de detección planeada es
inverso, en tanto que la relación entre el riesgo de
control y las evidencias sustantivas es directa.
El auditor debe considerar para la evaluación de
este riesgo en las Instituciones Financieras varios factores
importantes, entre ellos:
El Manual de Normas y Procedimientos de las
áreas, con el objetivo de comprobar si todos los
procedimientos se encuentran reflejados, si se ejecutan
siguiendo lo establecido por ellos, además cuando
existan modificaciones de los procedimientos por no adecuarse
al desarrollo de la entidad.Los diagramas de flujo con que cuente la
Institución, o los realizados por el auditor como
parte del estudio de la estructura del sistema de control
interno.La aplicación de cuestionarios de
Control Interno, entrevistas con los trabajadores y
encuestas en caso de ser preciso.
Al examinar este riesgo, el auditor puede auxiliarse
además, de las siguientes revisiones
documentales:
El Plan de Prevención de Riesgos
elaborado por la Institución, verificando el
cumplimiento en las fechas previstas, así como la
calidad del mismo.La Estrategia de Prevención
diseñada por la entidad y su relación con el
Plan de Prevención del año en cuestión,
en aras de comprobar si se han manifestados algunos de los
previsto y con ellos evaluar la efectividad del
mismo.La planificación de las Pruebas y
Revisiones y su ejecución en un período
determinado, indagando en posibles errores y/o
irregularidades presentadas en dichas pruebas y su posible
impacto con relación a los estados
financieros.Examen de la aplicación de la Guía
de Autocontrol de la Institución, sus hallazgos y
el tratamiento a las deficiencias detectadas.
El riesgo de control será bajo
cuando:
Exista evidencia de los análisis
periódicos de los Planes de Prevención de
Riesgo en el Comité de Prevención y Control,
Asambleas de Afiliados, así como de los cumplimientos
según las fechas previstas y análisis
profilácticos.Los Sistemas de Contabilidad y de Control Interno
son efectivos.Exista evidencia de la realización de pruebas
y revisiones en las fechas previstas según el Manual
de Procedimientos y los ajustes necesarios en caso de errores
o modificaciones en los procedimientos.Exista evidencia de los seguimientos a los Planes de
Medidas derivados de acciones de control, tanto internas como
externas, así como los análisis
correspondientes en los Órganos Colegiados de
Dirección.La Institución haya ajustado la Guía
de Autocontrol según las características y
estructura de la misma. Unido a ello su posterior
aplicación y constancia de las medidas adoptadas con
el objetivo de erradicar las insuficiencias detectadas en
cada uno de los Componentes y Normas que la integran y su
incorporación al Plan de Prevención de
Riesgos.
El riesgo de control será alto
cuando:
Al examinar el Expediente Único de acciones
de control se compruebe un predominio de acciones de control
con resultados desfavorables, motivados en lo fundamental por
errores reiterativos, impactos significativos de los
hallazgos en las cuentas contables, que requirieron ajustes
de importancia con afectaciones considerables en los Estados
Financieros emitidos.Se hallan detectado hechos delictivos y/o de
corrupción y se mantengan las causas y condiciones que
propiciaron los hechos.No se utilice el Plan de Prevención de
Riesgos como una herramienta de trabajo efectiva y no sean
actualizados a partir de los nuevos riesgos existentes en la
Institución.Al realizar las pruebas de cumplimiento a
determinados procedimientos descritos en el Manual,
éstos revelen errores que no han sido puestos de
manifiesto en las pruebas y revisiones practicadas a los
mismos.No se haya ajustado la Guía de Autocontrol, o
su aplicación no haya contribuido a comprobar fisuras
y fallas existentes en el Sistema de Control Interno
imperante en la Institución.
Figura No. III "Relación de
factores que influyen en los riesgos y evidencia
planeada"
Una limitación importante en la aplicación
del modelo de riesgo de auditoría es la dificultad de
medir los componentes del modelo. A pesar de los mejores
esfuerzos del auditor para planear, las evaluaciones de riesgo
aceptable de auditoría, el riesgo inherente y los de
control, por lo tanto, el riesgo de detección planeada son
muy subjetivos y son aproximaciones de la realidad en el mejor de
los casos. A fin de solucionar este problema de medición,
muchos auditores utilizan términos de medición
amplios y subjetivos tales como: bajo, medio y alto.
Generalmente los auditores necesitan utilizar la
información derivada del modelo de riesgos para decidir
sobre la cantidad adecuada de evidencias que han de
acumular.
De igual forma es difícil medir la cantidad de
evidencias que implica un riesgo detección planeado. Un
programa de auditoría común que tiene como objetivo
reducir el riesgo de detección al nivel planeado es una
combinación de varios hechos que se aplican a diferentes
objetivos de auditoría. Como práctica general los
auditores evalúan de forma subjetiva si han planeado
suficientes procedimientos para satisfacer un riesgo de
detección planeado, alto, medio o bajo. Es probable que
los métodos de medición sean suficientes para
permitir a un auditor saber que se necesitan más
procedimientos para satisfacer un riesgo de detección
planeada baja que para un riesgo medio alto. Se requiere de un
juicio profesional para decidir cuantos más.
Tabla No. I "Relaciones de riesgos con
las evidencias"
Situación | Riesgo de auditoría | Riesgo inherente | Riesgo de control | Riesgo de detección | Cantidad de evidencias | |||
1 | Alto | Bajo | Bajo | Alto | Bajo | |||
2 | Bajo | Bajo | Bajo | Medio | Medio | |||
3 | Bajo | Alto | Alto | Bajo | Alto | |||
4 | Medio | Medio | Medio | Medio | Medio | |||
5 | Alto | Bajo | Medio | Medio | Medio | |||
Al aplicar el modelo de riesgo de auditoría, a
los auditores les preocupa tanto el exagerar como el subestimar
la auditoría, pero a la mayoría de los auditores
les preocupa más lo último. El subestimar una
auditoría expone al despacho de contadores a una
responsabilidad legal y a la pérdida de reputación
profesional.
Debido a la preocupación de evitar subestimar la
auditoría, los auditores por lo común
evalúan los riesgos en forma conservadora. Por ejemplo un
auditor quizás no evalúe el riesgo de control o el
inherente por debajo de 0.5, aún cuando la probabilidad de
errores sea baja. En estas auditorías, un riesgo bajo
sería de 0.5, uno medio de 0.8, y uno alto sería de
1.0, si se cuantifican los riesgos.
Conclusiones
El riesgo es la contingencia o proximidad de un
daño. Lo peor que se podría hacer es ignorarlo.
Lo más acertado es identificarlo y evaluar su impacto.
En el ejercicio de la auditoría siempre estuvo
presente este criterio. Solo que durante los últimos
años se analizó con mayor profundidad la
metodología en la implementación de un enfoque
de la auditoría basada en riesgos.La propuesta de basada en un enfoque de riesgo para
las Instituciones Financieras Bancarias y no Bancarias amplia
el espectro de conocimientos del auditor que practica el
ejercicio de la auditoría a este sector.La flexibilidad de la propuesta permite que sea
utilizada tanto por auditores internos como externos, en
auditorías financieras como especiales.
Recomendaciones
Incorporar al estudio su unidad indisoluble: "La
Materialidad"
Referencias
bibliográficas
Arens, A. y Loebbecke, J. "Auditoría: Un
enfoque integral" Prentice Hall. 1996.Casal, Armando Miguel. "Tratado de informes de
auditoría, revisión, otros aseguramientos y
servicios relacionados" 1ª ed. Buenos Aires: Errepar,
2009Fowler Newton, Enrique. "Tratado de
Auditoría" – Tomos I y II – Editorial La Ley,
Buenos Aires, 2004Lattuca, Antonio Juan. "Compendio de
Auditoría"; Temas Grupo Editorial, Buenos Aires,
2008.Mantilla, Samuel Alberto. "Auditoría
Financiera de Pymes". ECOE Ediciones 2007Resolución No. 399/2003 "Normas para los
auditores gubernamentales": Ministerio de Auditoría y
Control. República de Cuba.Resolución No. 350/2008 "Normas de
Auditorías Internas" Ministerio de Auditoría y
Control. República de Cuba.Resolución No. 353/2008 "Metodología
para la evaluación y calificación de las
Auditorías"
Ley No. 107-2009 De la Contraloría General de
la República.
Autor:
Javier I. Miquel
Fernández
Auditor Interno, FINATUR s.a.
Yaisy Laplace Basulto
Auditor Adjunto. UCAI MES
XX ANIVERSARIO DE FINATUR s.a
EVENTO CIENTÍFICO
Marzo, 2012
[1] Existen criterios de autores, que en el
Riesgo Crediticio están implícitos los riesgos de
insolvencia y de país. Para efectos del presente trabajo
su tratamiento es individual.