El Riesgo de Auditoría Interna. Factores que lo desencadenan
Jesús Aisa Díez:Director Proyectos de Evaluaciones de Calidad del Instituto de Auditores Internos de España (IAI). Director Técnico de FSH Consulting.
Un aspecto de reiterado interés en los foros en los que se debaten temas relativos a la actividad de auditora, bien sea ésta interna o externa, es el correspondiente al “riesgo de auditoría”. El cual, de acuerdo con lo que establece la NIA 200 “Objetivos y Principios que Gobiernan la Auditoria de Estados Financieros”, se produce cuando un auditor externo emite una opinión errónea acerca de la razonabilidad de los estados financieros de una entidad. Llegándose a determinar sus componentes: (i) el Riesgo de representación errónea y (ii) el Riesgo de detección.
El Riesgo de representación errónea, es el riesgo imputable a la entidad y tiene dos componentes:
El riesgo inherente. Aquel que se deriva de la posibilidad de que las partidas estén registradas, valoradas, presentadas o reveladas en forma errónea. Siendo la administración de la Sociedad auditada la responsable de diseñar e implementar los mecanismos necesarios para reducir los posibles efectos que pueda traer este tipo de riesgo sobre los estados financieros.
El riesgo de control. Es el derivado de que los sistemas de control interno y control contable, diseñados e implementados por la administración de la entidad, sean incapaces de prevenir, o en su defecto de detectar y corregir, errores de importancia relativa en las cifras de sus estados financieros.
En tanto que El riesgo de detección, es la incertidumbre respecto a que el auditor independiente no descubra los riesgos de representación errónea que pudieran existir en las aseveraciones de la empresa, y es función de la efectividad del procedimiento de auditoría empleado y de su aplicación por el auditor. Es por tanto un fallo responsabilidad directa del auditor. De su materialización dependerá la calidad del trabajo realizado, ya que de materializarse no se habría conseguido aportar la seguridad razonable sobre la fiabilidad de la información elaborada y difundida a los mercados, pues el trabajo no estaría bien hecho, faltándole la calidad requerida. Siendo esto, en forma coloquial, la manera de entender el riesgo de auditoría.
Por ello, desde mi punto de vista, estimo qué cuando nos refiramos a los riesgos de auditoría, debiéramos ocuparnos fundamentalmente de las circunstancias que afecten a su desarrollo, y que pudieran impedir obtener una opinión certera sobre la situación del control interno de los procesos auditados, es decir: los factores de riesgo que puedan afectar a la bondad de la actividad auditora, independientemente de las formas en que el riesgo pueda presentarse; ya que así podremos adoptar las decisiones que sean pertinentes para que las auditorías dispongan de la calidad requerida para hacer válidas sus conclusiones y recomendaciones.
Respecto de las auditorías internas los factores de riesgo que pueden afectar a las características de los trabajos realizados, entendemos que vendrán condicionadas, en gran medida, por:
1. Recursos disponibles inadecuados, por cantidad y/o conocimientos.
2. Programa de actividad mal seleccionado.
3. Falta de autoridad de la Unidad.
4. Capacidad supervisora limitada.
5. Independencia de criterio condicionada o limitada.
6. Falta de compromiso del Directorio en disponer de un buen Control Interno.
Factores que, excepto el correspondiente a la selección del Programa de la actividad (Plan Anual de Auditoría), dependen de las correspondientes decisiones gerenciales con las que puedan ser resueltos. Para ello los Directores de Auditoría disponen de un aliado al cual recurrir, los Comités de Auditoría y Control; ya que siendo el órgano de control sobre el que recae la responsabilidad de evaluar la eficacia y eficiencia de la Unidad de Auditoría Interna, también lo es en la de habilitar los medios y condiciones de trabajo con las que desarrollar adecuadamente la actividad auditora.
Disponer de ellos es condición sine qua non para trabajar en la forma que permita atender las expectativas de todas las partes interesadas, por lo que, en su caso, tendremos que dejar evidencias de nuestras solicitudes al respecto, a través de las actas de los Órganos de decisión y control a dónde hayamos acudido, y así poder en su momento exponer las gestiones realizadas.
Adicionalmente, y en la medida de lo posible, otra vía con la que podríamos resolver los problemas estructurales de capacidad de gestión que pudiésemos tener, es la de someterse una evaluación externa de calidad según las Normas del Instituto of Internal Auditors, en la que apalancarse posteriormente en la resolución de las debilidades puestas de manifiesto.
Vista la posible doble estrategia a seguir, veamos, aunque sea brevemente, cuales son los factores de riesgo a los que nos estamos refiriendo:
1º. Recursos disponibles inadecuados, por cantidad y/o conocimientos. Resulta claro que no disponer de los recursos humanos, materiales o financieros precisos para desarrollar el Plan de Auditoría, y los trabajos individuales de auditoría, es una limitación básica para ejercer la actividad. De ser así, nuestro aporte de valor a la organización quedaría muy resentido.
2º. Programa de actividad mal seleccionado. El Plan de trabajo debe concretarse en base a los riesgos que se observen puedan afectar a los objetivos de la Organización, incidiendo en los procesos de gestión de riesgos, control y gobierno corporativo que se vean afectados.
3º. Falta de autoridad de la Unidad. La Unidad de Auditoría Interna debe disponer de un nivel adecuado en la estructura organizativa, así como de una dependencia jerárquica que permita poder tener interlocución y supervisión de cualquier nivel gerencial de la empresa. La alta dirección también.
4º. Capacidad supervisora limitada. La definición del Plan de Auditoría no debe contemplar áreas de la compañía que queden excluidas de las posibles evaluaciones, ni tampoco que existan procesos, actividades, aplicaciones o información, consideradas reservadas y ocultas a la auditoría.
5º. Independencia de criterio condicionada o limitada. La actividad de la Unidad de Auditoría Interna debe realizarse sin interferencias de ningún gestor u órgano de la compañía, que pretenda influir en la objetividad de los trabajos.
6º. Falta de compromiso del Directorio en disponer de un buen Control Interno. El Directorio es el responsable de fijar la estrategia y la visión global del negocio. Sin su apoyo la Unidad de Auditoría Interna reducirá su rol a cubrir aspectos estéticos.
En resumen, nuestra labor como auditores resulta básica para poder asegurar razonablemente el adecuado control interno de la organización, pero no somos los responsables de que eso sea así, nos corresponde como a los fiscales que instruyen los procedimientos, analizar objetivamente la situación observada, concluyendo y recomendando medidas, para lo cual se requieren medios, condiciones de trabajo y capacidad para investigar. Si no disponemos de estos requisitos, los riesgos de no actuar adecuadamente serán inevitables, y estaremos condenados a hacer un mal trabajo. Espero que no sea así.
Visita el Blog de Jesús Aisa Díez: http://auditoriainternasiglo21.blogspot.com.es/
Comentarios