Identificación de riesgos en la Planeación de una Auditoría Interna

De acuerdo con la Norma Internacional para el Ejercicio Profesional de la Auditoría Interna 2010.A1: «El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos documentada, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo.»

Después de contar con un entendimiento amplio del negocio y de sus objetivos, el  propósito del  auditor es identificar, analizar y evaluar los riesgos a los que está expuesta la organización, y para lo cual debe proceder a realizar una valoración de los mismos, orientado tanto a los objetivos de la organización como a aquellos eventos de fraude.

Dentro del proceso de evaluación de riesgos el Auditor debe considerar lo siguiente:

– Si la organización trabaja en la gestión  de riesgos (identificación, evaluación, monitoreo y control de los riesgos) el auditor debe solicitar la última evaluación de riesgos realizada, identificando cuándo se realizó, el alcance, quién la realizó y cómo la realizaron, de tal forma que concluya sobre la idoneidad de dicha evaluación, determinando que dichos riesgos realmente se alinean con los objetivos y planes de la organización

– En caso que la organización no realice una estimación de riesgos, o la que se realizó no contempla los objetivos de la organización, se deberá realizar una definición y evaluación de los riesgos por parte de  Auditoria Interna. En dicha situación, la estimación de riesgos de Auditoría Interna deberá comunicarse a la administración, de tal forma que los conceptos de riesgos sean un lenguaje único en la organización.

– Durante la definición de riesgos, se debe evaluar la inclusión de riegos de fraude.

La estimación correcta de los riesgos permite al Auditor Interno, focalizarse en aquellas áreas que para la administración tiene un impacto importante dentro de los objetivos de la organización.

A continuación se relacionan algunas definiciones que facilitan el entendimiento de los riesgos a revisar.

a) Riesgo: Es la posibilidad que un evento en una situación futura tenga un comportamiento distinto a lo esperado, o  situación que de materializarse puede generar una pérdida o un efecto negativo

b) Riesgo País: Son aquellos factores que pueden afectar el cumplimiento de los objetivos tales como la situación macroeconómica, convertibilidad de divisas, sistema financiero e influencia externa.

c) Riesgos de negocio: Se refiere a aquellos factores que afectan sus objetivos tales como riesgo de crédito, financiero, imagen, reestructuración, competencia.

d) Riesgos de fraude: Factores que pueden generar que se presenten fraudes dentro de la
organización, por delitos que afectan tanto a la organización como a sus clientes.

e) Riesgo Financiero: Compuesto por factores de perdidas dadas en la liquidez y mercado.

f)  Riesgos de procesos: Se refiere a aquellos factores que pueden generar  que los procesos de la de la compañía no cumplan sus objetivos, por factores tales como incumplimiento de normas, errores, recursos humanos, desastres, accidentes laborales, etc.

g) Riesgos de Información: Compuesto por factores tales como privacidad de la información, disponibilidad de la información, integridad de la información, sistemas de comunicación internos y externos.

h) Riesgo Tecnológico:Se relaciona con el nivel de desarrollo tecnológico que se tiene tanto para soportar las operaciones actuales, así como los proyectos a largo plazo.

i)  Riesgo de cumplimiento:Hace referencia a la capacidad de la organización de cumplir con las normas y/o legislación que regula la industria, así como las obligaciones contractuales.

j)  Riesgos de auditoría: El riesgo del auditor en el sentido de emitir inadvertidamente una opinión de auditoría equivocada, que contiene errores e irregularidades significativos, que no fueron detectados con los procedimientos de auditoria aplicados, y el cual incluye  la combinación del riesgo inherente y de control .

·         Riesgo Inherente. La posibilidad de un error material antes de implementar controles.

·         Riesgo de Control. Es el riesgo en el cual el Control interno no logra evitar o identificar oportunamente un error material.

k) Control interno:Proceso diseñado, implementado y mantenido por las personas a cargo del gobierno corporativo, de la administración y por otro personal de una entidad, para proporcionarle a esta una seguridad razonable en el logro de sus objetivos, en cuanto a la confiabilidad de su información financiera, la eficacia y eficiencia de sus operaciones y el cumplimiento con las leyes y reglamentos que le son aplicables. El término “controles” se refiere a cualquier aspecto de uno o de varios de los componentes del control interno.