1 ..
-----
-
La auditoría basada en riesgos considera la planeación
y el desarrollo en los puntos críticos, en otros términos,
en los de mayor impacto negativo al cumplir objetivos.
La necesidad de
gestionar los riesgos ha sido reconocida
como parte esencial de las prácticas de
un buen gobierno corporativo. Esto ha
sometido a las organ izaciones a una
creciente presión para identificar los
riesgos asociados a su negocio y ex-
plicar cómo gestionarlos. De hecho, las
ac tividades relacionadas con la admi-
nistración de riesgos han sido consi-
deradas como críticas, por lo que se les
ha asignado un papel fundamental en
el desarrollo de un sistema de control
interno adecuado.
Un riesgo se define como un even-
to que puede afectar la marcha del
proyecto o un negocio en el futuro, de
manera que está asociado a cualquier
10 ( VERITAS ) DICIEMBRE 201B
L
venido utilizando un nuevo concepto
relacionado con la profesión contable: la
auditoría basada en riesgos. Esta nueva
especialidad representa un conocimien-
to estructurado, desde una perspectiva
actividad que se realice, y que plantee
la posibilidad de decidir entre varias
estratégica de sistemas, que combina
la determinación y valoración de los
riesgos del negocio con la evaluación
opciones. Si bien la gestión de riesgos de los controles que mitigan, trasladan
es un proceso que debe implem"entar o eliminan esos riesgos, asentando un
la propia organización, la creciente im- enfoque de juicio profesional sustenta-
portancia que se le ha dado implica un do en metodologías, evidencias y enca-
reto para la profesión del auditor, pues denamientos lógicos.
es precisamente la auditoría la que de- La auditoría basada en riesgos es
be agregar valor a sus clientes a través una forma de conducir las auditorías
de la revisión que permita asegurar que internas y externas de diferentes tipos,
los riesgos están siendo administrados. a partir de la planeación y desarrollo en
En este contexto, en el cual nadie pue- los riesgos críticos, es decir, los que pu-
de soslayar la relevancia de la proble- dieran causar mayor impacto negativo
mática para la comunidad de negocios, en la obtención de objetivos de la orga-
ha surgido una tendencia claramente nización (estratégicos, operacionales,
definida hacia el uso de los conceptos de información y de cumplimiento) con
de risk management en las tareas de el fin de identificar si las operaciones y
auditoría. En los últimos años se ha los productos o servicios se ajustan a

lo establecido en las reglas del negocio,
las buenas y mejores prácticas de con-
trol interno y seguridad, y a las normas
legales aplicables.
AUDITORÍA INTERNA
Es una actividad independiente y obje-
tiva de aseguramiento y consulta, con-
cebida para agregar valor y mejorar las
operaciones de una organización. Este
tipo de auditoría promueve el cumpli-
miento de objetivos y contribuye, con
un enfoque sistemático y disciplinado,
en la evaluación y mejora de la eficacia
de los procedimientos de gestión de ries-
gos, control y gobierno.
La audit oría interna basada en
riesgos se enfoca en evaluar y verifi-
car que los procesos o sistemas audita-
dos satisfagan objetivos y necesidades
de una organización de forma eficaz,
eficiente y segu ra, con énfasis en el
hecho de que activos y recursos uti-
lizados en las operaciones del negocio
estén provistos de controles para re- • Riesgo de control. Para el r¡ue inl,c1
duci r los riesgos inherentes a niveles yen los sistemas de rnntro, inte1110 1rn
aceptables de riesgo residual. plementados en lr1 rrn presa, los Cllule:o
En la era de la información, donde podrían resultar in~uficif' ntrs o marlr
las transacciones dependen cada vez cuados para la apli cac ión y cletccoín
más de herramientas tecnológicas, las oportuna de irregularid:idPs.
auditorías internas basadas en riesgos • Riesgo de detección. [st.:í rli1 ecta
se estructuran con el fin de satisfacer mente asociado con lo~ procedim1Pnto::;
dos grandes propósitos: el primero, eva- sobre auditoría. Se trata de la no detec
luar la efecüvidad del CQntrol interno ción de errores en el proce•;o 1ea! izado
en los procesos del modelo de opera- Una auditoría externa basada en riesgos
ción de una organización, los procesos se enfoca justamente en evaluar los 11es
de tecnología de la información y las gos del negocio para compfender en qué
aplicaciones informáticas sobre las que aspecto de las activid2des ele una orga
se opera el negocio para ayudar a de- nización existe una mayor exposición él
terminar la capacidad de los controles que se produzca información financiera
establecidos que reduzcan los riesgos errónea. La auditoría externa basada en
potenciales críticos a niveles aceptables riesgos focaliza los esfuerzos del audit<11
de riesgo residual; el segundo, verificar en evaluar rubros, transacciones, saldos
el cumplimiento de los controles para u operaciones relevantes, dando menos
los riesgos críticos a fin de determinar atención a las de un nivel inferio1
si presentan un nivel de efectividad Para comprender de mane:ra ade -
apropiada, y comprobar que la infor- cuada lo antes expuesto, cabe 1·ecordRr
mación no resulte afectada. que los riesgos del ne1:;oc10 res u,t:in de
eventos, circunstancia-:;, acciones o m,K
AUDITORÍA ciones que podn::ir, ,1i ec
EXTERNA
De esta dos financ ie - • tarde maner;:i ;,dversíl la
cap::icid 2d de la en Lid ;icl
ros consiste en que un Para cada p,1 ,--: h31:i1 sus 111 'ici,;
revisor ind epend iente riesgo identificado y ejecut::ir cst ratf•'[;Í:··
determine si, de manera en la etapa Desde el pun in de v •s
razonable, la informa- inicial, el auditor ta rle la aud ·tur1 a d1, ios
ción contenida en los debe considerar estados fon11cicro. , el
estados contables refleja probabilidad ente11dimicnto pi of ur,do
la realidad de la organi- e impacto. Luego, de los I ics~os rlPI n2guc10
zación. En relación con establecerá inc1 _mc.11 1 a ,a 1·r, ,11:, iua,i
este tipo de auditorías, las respuestas de idePt ifiGir riPs¡;os de
el riesgo principal para a desarrollar. de cl a r;i uon malP 1L1I
un auditor es que haya crrónr;:i Fn o,1,1s 1':1L1
afirmaciones erróneas en los estados bras, contribuye 1 que c1 &1cli '1 L I 1-cl ú,,
financieros, que puedan afectar de ma- tareas tendientes a 1111Li2,1 , ,:1, ·1• ~;,, ck
nera material su contenido. no deteccion efic.Jz y ei ,c1,:,,.; , me-me'.
Específicamente, el auditor se en- Es im porta nl2 rlL:il ,', ,,r <111, , 1 l.1
frenta a tres tipos de riesgos al desa- relevancia que c01 1.,' ,, , p;:i1 ,, , ; 1,,
rrollar una auditoría externa de estados el conoci1111entfl q11: rldi 1' L ,- '1 d ,
financieros: negocio de su C!!c'lll ~ .1·,. l ill J cl,-
1
• Riesgo inherente. Está relacionado de ambientc en que r.q ,, op2r· ' , n , 1
manera directa con la actividad económi- Modelo COSOde con u,,. i,·,tr, 11c• ,, 11, ,. ,
ca de la empresa, independientemente de delmarco in ll:g1 ~¡,ln, -·¡1,. :i, · · >11 , ,
0
los sistemas de control interno. ambiente de con1 n1
O!Ch 1~>: .t: ..!lJ.!l,

EJERCICIO PROFESIONAL Auditoría
Un adecuado conocimiento del ne-
Bocio permitirá al auditor enfocarse en
los riesBOS apropiados, que son precisa- .
mente los que tienen un impacto siBni-
ficativo. En tal sentido, y de acuerdo con
la Norma Internacional de Auditoría (NlA)
315, un rieSBO significativo es aquel, cuya
importancia requiere una consideración
1 especial del auditor, en virtud de la va-
loración de su incorrección material. En
otras palabras, lo siBnificativo del rieSBO
1 se halla directamente relacionado con el
concepto de materialidad. La identifica-
ción de los rieSBOS significativos, enton-
ces, requiere del profundo conocimiento
del neBocio del cliente. No es posible que
un auditor identifique, primero, y valo-
re, después, un riesgo significativo si no
conoce el negocio. Práctica habitual en la
profesión es que un mismo auditor rea-
lice sus tareas para clientes que operan
en diferentes sectores o industrias. Un
enfoque basado en riesgos no debería ad-
mitir la aplicación de tal práctica, debido a
lo complejo que resultaría para el auditor
comprender los riesBOS significativos de
rubros diferentes (por ejemplo, una em-
presa de consumo masivo y una entidad
del sector público poseen características
totalmente distintas).
lCÓMO SE APLICA
EN LA PRACTICA?
Tanto para el desarrollo de la auditoría
externa como para el de la interna, la
auditoría basada en rieSBOS sigue un
proceso similar. Inicialmente requiere
identificar los riesBos existentes, sin
tomar en cuenta su maBnitud o lo siB-
nificativo que sean. Ello posibilitará la
consideración de un espectro amplio de
eventos, los cuales serán evaluados pa-
ra determinar su tratamiento.
En segunda instancia, es necesario
analizar la importancia de los riesBOS.
12 ( VERITAS ) DICIEMBRE ZOlB
◄
A tal efecto, sustantivas)
para cada y pruebas
riesgo iden- de controles.
tificado en la Una combina-
etapa inicial, ción de ambas,
el auditor debe de acuerdo con
tomar en cuen- la metodología
ta su probabilidad de auditoría que se
defina e implemente,
e impacto, una parte
clavedelprocesodesiBni- .. . podrá contribuir de ma-
ficativos. LueBO, el auditor de- ~ nera adecuada a enfocarse en
berá establecer las respuestas al riesBo los riesgos significativos identificados
a desarrollar. Para la auditoría externa en el curso de la auditoría.
de estados financieros, tales respuestas
al riesgo están claramente definidas en CONCLUSIONES
la NIA 330. Si bien los preceptos indica- La auditoría basada en riesgos permite
dos en dicha norma son parcialmente fortalecer el desarrollo de la práctica,
aplicables a las auditorías de procesos o proporcionando a los profesionales una
internas, es importante que el auditor herramienta moderna para centrar los
pueda identificar qué procedimientos esfuerzos en aquellos aspectos real-
llevar a cabo a fin de administrar los mente relevantes. De alguna manera,
riesgos evaluados. Las pruebas sustan- este tipo de auditoría plantea un nue-
tivas son claros ejemplos de medidas vo paradigma: si el auditor dirige su
de respuesta al riesgo poí parte de los atención solo a las transacciones, acti-
auditores. No obstante, y esto debe en- vidades o saldos con importancia críti-
fatizarse, no es la única respuesta posi- ca, podrá efectuar pruebas selectivas
ble. La teoría afirma que el rieSBO jamás y procedimientos precisos, dirigidos a
puede eliminarse, sino que se pueden aspectos específicos que sumen valor
aplicar respuestas tendientes a mitigar, a su trabajo y cliente.
evitar, aceptar y transferirlo. Sin lugar a dudas, en esta época en
En particular, la NlA 330 advierte la que la tecnología se encuentra al ser-
que el auditor de estados financieros vicio de la comunidad, las herramientas
debe diseñar y aplicar procedimientos informáticas ayudan a que los auditores
de auditoría, cuya naturaleza, momen- puedan desempef\ar sus tareas de un
to de la realización y extensión (alcan- modo más eficiente, desde automati-
ce) deben estar basados en los rieSBOS zar el análisis de bases de datos hasta
valorados de incorrección material cruzar información relevante para pre-
(errores) en las afirmaciones sobre los sentar los datos de forma apropiada.
estados financieros, y que respondan a El análisis de los resultados derivados
tales riesgos. Tales respuestas al riesgo, de la aplicación de la auditoría basada
clasificadas, según lo estipulado sobre en riesgos contribuye a que el auditor
las acciones que se toman para mitigar, desarrolle un trabajo de calidad y sea
evitar, aceptar o transferir el riesgo, un buen apoyo para que su cliente, el
suelen diferenciarse entre procedimien- auditado, tome decisiones de un modo
tos sustantivos (pruebas de detalle y más apropiado y preciso. ~