Gestión de riesgos de auditoría, consideraciones importantes

Publicado por Equipo de Investigación ORCA el 17 de mayo de 2024

Las normas internacionales del Institute of Internal Auditors definen un riesgo de auditoría como: “la posibilidad de que ocurra un evento que frene el logro de los objetivos”; y pueden estar presentes en cualquier momento y circunstancia, así como constituirse en amenazas tanto internas como externas. 

Se trata de toda situación por la que se genera la posibilidad de que un auditor emita una información errónea, generalmente por no haber detectado alguna falla significativa que podría modificar por completo el resultado dado en un informe. 

La posibilidad de emitir información errónea puede presentarse en distintos niveles, por lo que se debe observar la implicación de cada uno y analizarse de la forma adecuada a la auditoría correspondiente. 

Se pueden determinar tres tipos de riesgos de auditoría, en los que ahondaremos a continuación: 

  • Riesgo inherente.
  • Riesgo de control. 
  • Riesgo de detección.

Riesgo de auditoría inherente

gestión-riesgos-auditoría-1

Es el riesgo de que alguna afirmación sobre alguna transacción, saldo contable u otro tipo de información reportada, contenga errores significativos, antes si quiera de tener en cuenta los posibles controles correspondientes.

En otras palabras, el riesgo inherente es el riesgo que existe siempre, incluso si los controles internos son efectivos. El riesgo inherente se puede clasificar en dos tipos:

  • Riesgo de negocio: es el riesgo que surge de las operaciones, las políticas y los procedimientos de una entidad.
  • Riesgo de fraude: tal cual, es el riesgo de que ocurra un fraude, es decir, un acto intencional de engaño o omisión para obtener un beneficio indebido.

Algunas técnicas que se pueden utilizar para evaluar este tipo de riesgo son:

  • Análisis de la industria: se puede evaluar el riesgo inherente comparando la entidad con otras entidades del mismo sector.
  • Análisis de la entidad: considerar la estructura organizacional, la cultura de la entidad, sus políticas y procedimientos.
  • Análisis de las transacciones: también considerando la naturaleza de las transacciones de la entidad se puede evaluar el riesgo inherente.

El riesgo inherente es un factor importante que el auditor debe considerar al planificar y realizar una auditoría. La evaluación del riesgo inherente ayuda al auditor a determinar la naturaleza, alcance y oportunidad de los procedimientos de auditoría que se necesitan para obtener una seguridad razonable sobre los estados financieros.

 

Riesgo de auditoría de control

gestión-riesgos-auditoría-2

Es el riesgo de que los controles internos de una entidad no detecten o corrijan oportunamente errores o irregularidades significativos en los estados financieros.

En otras palabras, el riesgo de auditoría de control es el riesgo de que los controles internos no funcionen como se espera.

El riesgo de auditoría de control se puede calcular mediante la siguiente fórmula:

Riesgo de auditoría de control = riesgo inherente X eficacia de los controles.

Se debe evaluar el riesgo de auditoría de control para cada área de los estados financieros que se van a auditar. Para ello, se debe obtener un conocimiento de los controles internos de la entidad. Las técnicas para evaluar el riesgo de auditoría de control, incluyen:

  • Análisis documental: analizar los documentos que describen los controles internos.
  • Observación: observar cómo la entidad implementa sus controles internos.
  • Inspección: inspeccionar los registros que documentan las transacciones.

En este tipo de riesgo influyen de manera significativa los sistemas de control interno, ya que, en ciertas circunstancias pueden llegar a ser insuficientes o inadecuados para la detección oportuna de irregularidades o amenazas que pueda representar un riesgo. 

Los principales factores que pueden determinar la existencia de este tipo de riesgos son los sistemas de información, contabilidad y control.

En este aspecto es donde radica precisamente, la importancia de implementar y mantener en constante evaluación los sistemas de control interno, para poder remediar las incorrecciones de forma oportuna y precisa, y así evitar la materialización del riesgo.

En ORCA te ayudamos a definir y evaluar la efectividad de controles que apoyen al correcto desarrollo de los procesos estratégicos en tu organización.

 

Riesgo de auditoría de detección

gestión-riesgos-auditoría-3

Se da cuando en la auditoría no se detecta la existencia de errores en el proceso realizado, generalmente deriva de procedimientos inadecuados por parte del grupo auditor.

Con los procedimientos adecuados para reducir este tipo de riesgo se puede contribuir a minimizar el riesgo de auditoría de control y el riesgo de auditoría inherente de la organización. 

Una de las funciones principales de la auditoría interna es garantizar que los riesgos se hayan administrado de forma adecuada, para ello se debe realizar una auditoría interna basada en el riesgo. 

El Institute of Internal Auditors define este tipo de auditoría basada en el riesgo como “una metodología que vincula la función de auditoría con el marco general de la gestión de riesgos de una organización”.

Es decir, la auditoría se debe llevar a cabo en asociación con los directivos de cada área de tu empresa para garantizar que todos los riesgos sean identificados y sean relevantes para la organización. 

 

5 beneficios de la gestión de riesgos de auditoría

Siguiendo las normas internacionales, identificamos algunos beneficios de una correcta aplicación de procesos de gestión de riesgos de auditoría, entre ellos podemos encontrar que:

  1. Se asegura que la alta dirección de la empresa es capaz de evaluar y responder a los riesgos que se encuentran por encima y por debajo del apetito de riesgo de la organización.
  2. Además, se asegura que la respuesta al riesgo es efectiva
  3. Un beneficio adicional es la capacidad de la empresa de tomar medidas de control adicionales cuando el riesgo residual no está alineado con el apetito de riesgo.
  4. Los riesgos, las respuestas y las acciones se identifican, se clasifican y comunican de forma adecuada.
  5. Se promueve la mejora continua del sistema.

Aunque la necesidad y los beneficios de una gestión de riesgos de auditoría son evidentes, también es bueno advertir que dentro de la mayoría de las organizaciones se presenta un claro conflicto de intereses entre ambas áreas.

Si bien la auditoría interna y la gestión de riesgos tienen que trabajar juntas, es esencial que se garantice que ninguno de los roles se vea comprometido. Por ello, es conveniente informar por separado y mantener la independencia de funciones.

En ORCA contamos con las soluciones y experiencia necesaria para ayudarte a eficientar tu gestión de riesgos de auditoría, y el control sobre tus procesos críticos para prevenir, evitar y mitigar la materialización de riesgos que amenacen la estabilidad de tu negocio.

Si deseas saber más sobre controles de riesgos, da clic en la imagen de abajo y conoce nuestra solución estratégica de automatización de auditorias.

Temas: Control de riesgos