Recordemos que los riesgos de negocio son aquellos que pueden llegar a impedir que la compañía cumpla con sus objetivos (operacionales, cumplimiento e información financiera confiable); se generan en tres ambientes: externo de la organización, de la industria de la organización e interno de la organización.
Los riesgos identificados los calificamos según su probabilidad de ocurrencia y su impacto en los estados financieros, seleccionando los riesgos significativos. Para cada uno de los riesgos significativos identificamos la respuesta que tiene la administración de la compañía para mitigarlos. Las acciones que puede tomar la compañía para mitigar los riesgos son:
a) Aceptar el riesgo (asume el impacto).
b) Intentar reducir el riesgo (implementa controles).
c) Transferir el riesgo (utiliza seguros).
d) Evitar el riesgo (se retira del ambiente que le genera el riesgo).
Existen dos objetivos a los que el auditor debe apuntar cuando se audita un proceso que administra un riesgo de negocio:
1) Obtener evidencia suficiente y adecuada que le permita al auditor concluir que la compañía cuenta con procedimientos adecuados para mitigar los riesgos de negocio.
2) Obtener evidencia suficiente y adecuada que le permita al auditor concluir que los estados financieros reflejan el impacto de los riesgos de negocio.(*)
(*) Las implicaciones de los riesgos de negocio en los estados financieros están relacionadas con estimaciones en los estados financieros, revelaciones y/o una nota en la opinión del auditor.
Para el logro de estos objetivos el auditor debe seguir los siguientes pasos:
a. Entendimiento del proceso.
b. Identificación de los riesgos y controles del proceso.
c. Selección de los controles relevantes a los que se les realizarán las pruebas.
d. Evaluación de los controles.
e. Diseño de las pruebas de auditoría relativas a la eficacia operativa de los controles.
a) Entendimiento del proceso
Debemos comprender la forma como la gerencia de la compañía administra este riesgo. Nuestros esfuerzos se deben enfocar principalmente a entender las actividades que permiten mitigar el riesgo.
b) Identificación de los riesgos y controles del proceso
Una forma sencilla para identificar los riesgos del proceso es hacernos la pregunta: ¿qué puede impedir que el proceso logre sus objetivos? Pueden existir casos en donde la administración de la compañía no cuente con controles que mitiguen los riesgos o los controles identificados no son efectivos, casos en los cuales procederemos a emitir nuestra carta de recomendaciones.
Adicionalmente, debemos identificar las implicaciones del riesgo en los estados financieros; ejemplo, provisiones de cuentas por cobrar.
c) Selección de los controles relevantes a los que se les realizarán las pruebas
Para el desarrollo de las pruebas a los controles se deberán identificar los controles relevantes; esta selección se deberá hacer teniendo en cuenta que el conjunto de los controles seleccionados permite prevenir, detectar y corregir un error, de acuerdo al objetivo tanto del proceso como de la auditoría. Teniendo en cuenta que las compañías normalmente cuentan con un gran número de controles, nosotros procedemos a seleccionar los controles que consideramos tienen las siguientes características:
d) Evaluación de los controles
Debemos verificar la implementación, el diseño y la efectividad del control seleccionado.
Ejemplo de cómo auditar los procesos que administran riesgos de negocio
Los ejemplos aquí enunciados no pretenden abarcar todas las situaciones; simplemente queremos que sirvan de guía para facilitar el trabajo del auditor.
Caso ficticio:
Objeto de la compañía auditada: compañía dedicada a la venta de puertas y ventanas.
Clientes: el 40% de las ventas son a crédito y se realizan a proyectos de construcción y el 60% se realizan de contado y al detal.
Situación actual del mercado: en el análisis de las fuerzas externas observamos que la economía entró en recesión, lo que afectará el sector de la construcción.
Riesgo de negocio
Ventas a clientes insolventes: debido a la recesión por la que atraviesa la economía, el sector de la construcción se verá afectado al no poder vender sus proyectos en los tiempos estimados, lo que puede afectar a la compañía teniendo en cuenta que el 40% de sus ventas son a crédito y realizadas a proyectos de construcción.
Proceso que administra el riesgo de negocio
Créditos y cartera.
Objetivos del proceso dirigidos a mitigar el riesgo de negocio
Actividades dirigidas a mitigar el riesgo de negocio
1) Estudio y aceptación del crédito de acuerdo con los procedimientos de la compañía.
2) Monitoreo del comportamiento de la cartera.
3) Monitoreo de los límites de crédito.
4) Monitoreo de la situación financiera del cliente.
5) Análisis de la cartera mensual para determinar la provisión de cartera.
Riesgos y controles del proceso
RIESGOS DEL PROCESO |
Control 1 |
Control 2 |
Control 3 |
1) Que el estudio y aceptación del crédito no se realice de acuerdo con el manual de procedimientos. |
X |
||
2) Que no se haga un monitoreo permanente al comportamiento de la cartera. |
X |
||
3) Que se sobrepasen los límites de crédito sin autorización. |
X |
||
4) Que no se haga un monitoreo permanente a la situación financiera del cliente. |
X |
||
5) Que la provisión de cartera esté subestimada. |
X |
“Toda empresa tiene riesgos, actuales y potenciales, grandes y pequeños, y todos deben ser evaluados, medidos, cubiertos y, si es necesario, incluso modificar la forma de trabajar para mitigarlos y de esta forma garantizar el futuro del negocio”… Una oportunidad para que el auditor proteja el valor en sus clientes u organización.
Elaborado por:
Vladimir Martínez
Contador público (Universidad Santo Tomás), especialista en Administración de Empresas (Universidad del Rosario), con más de 15 años de experiencia en consultoría de negocios y auditoría financiera, adquirida en firmas de auditoría internacionales, KPMG y PWC.
Director de www.auditool.org, una Red Global de Conocimientos de Auditoría y Control Interno.