Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.

¿Cómo auditar los procesos que administran los riesgos de negocio? – Vladimir Martínez R.


Recordemos que los riesgos de negocio son aquellos que pueden llegar a impedir que la compañía cumpla con sus objetivos (operacionales, cumplimiento e información financiera confiable); se generan en tres ambientes: externo de la organización, de la industria de la organización e interno de la organización.

Los riesgos identificados los calificamos según su probabilidad de ocurrencia y su impacto en los estados financieros, seleccionando los riesgos significativos. Para cada uno de los riesgos significativos identificamos la respuesta que tiene la administración de la compañía para mitigarlos. Las acciones que puede tomar la compañía para mitigar los riesgos son:

a)   Aceptar el riesgo (asume el impacto).
b)   Intentar reducir el riesgo (implementa controles).
c)   Transferir el riesgo (utiliza seguros).
d)   Evitar el riesgo (se retira del ambiente que le genera el riesgo).

Existen dos objetivos a los que el auditor debe apuntar cuando se audita un proceso que administra un riesgo de negocio:

1) Obtener evidencia suficiente y adecuada que le permita al auditor concluir que la compañía cuenta con procedimientos adecuados para mitigar los riesgos de negocio.
2) Obtener evidencia suficiente y adecuada que le permita al auditor concluir que los estados financieros reflejan el impacto de los riesgos de negocio.(*)

(*) Las implicaciones de los riesgos de negocio en los estados financieros están relacionadas con estimaciones en los estados financieros, revelaciones y/o una nota en la opinión del auditor.

Para el logro de estos objetivos el auditor debe seguir los siguientes pasos:

a.  Entendimiento del proceso.
b.  Identificación de los riesgos y controles del proceso.
c.  Selección de los controles relevantes a los que se les realizarán las pruebas.
d.  Evaluación de los controles.
e. Diseño de las pruebas de auditoría relativas a la eficacia operativa de los controles.

a) Entendimiento del proceso

Debemos comprender la forma como la gerencia de la compañía administra este riesgo. Nuestros esfuerzos se deben enfocar principalmente a entender las actividades que permiten mitigar el riesgo.

b) Identificación de los riesgos y controles del proceso

Una forma sencilla para identificar los riesgos del proceso es hacernos la pregunta: ¿qué puede impedir que el proceso logre sus objetivos? Pueden existir casos en donde la administración de la compañía no cuente con controles que mitiguen los riesgos o los controles identificados no son efectivos, casos en los cuales procederemos a emitir nuestra carta de recomendaciones.
Adicionalmente, debemos identificar las implicaciones del riesgo en los estados financieros; ejemplo, provisiones de cuentas por cobrar.

c) Selección de los controles relevantes a los que se les realizarán las pruebas

Para el desarrollo de las pruebas a los controles se deberán identificar los controles relevantes; esta selección se deberá hacer teniendo en cuenta que el conjunto de los controles seleccionados permite prevenir, detectar y corregir un error, de acuerdo al objetivo tanto del proceso como de la auditoría. Teniendo en cuenta que las compañías normalmente cuentan con un gran número de controles, nosotros procedemos a seleccionar los controles que consideramos tienen las siguientes características:

  • Los más eficientes de probar.
  • Los que mitigan más número de riesgos.
  • Si se trata de un cliente recurrente se debe tener en cuenta la evaluación de los años anteriores.

d)  Evaluación de los controles

Debemos verificar la implementación, el diseño y la efectividad del control seleccionado.

Ejemplo de cómo auditar los procesos que administran riesgos de negocio

Los ejemplos aquí enunciados no pretenden abarcar todas las situaciones; simplemente queremos que sirvan de guía para facilitar el trabajo del auditor.

Caso ficticio:

Objeto de la compañía auditada: compañía dedicada a la venta de puertas y ventanas.

Clientes: el 40% de las ventas son a crédito y se realizan a proyectos de construcción y el 60% se realizan de contado y al detal. 

Situación actual del mercado: en el análisis de las fuerzas externas observamos que la economía entró en recesión, lo que afectará el sector de la construcción.

Riesgo de negocio

Ventas a clientes insolventes: debido a la recesión por la que atraviesa la economía, el sector de la construcción se verá afectado al no poder vender sus proyectos en los tiempos estimados, lo que puede afectar a la compañía teniendo en cuenta que el 40% de sus ventas son a crédito y realizadas a proyectos de construcción.

Proceso que administra el riesgo de negocio

Créditos y cartera.

Objetivos del proceso dirigidos a mitigar el riesgo de negocio

  • Garantizar que los clientes a los que se les concede crédito sean solventes.
  • Garantizar que la provisión de cartera se ajuste a la realidad.

Actividades dirigidas a mitigar el riesgo de negocio

1) Estudio y aceptación del crédito de acuerdo con los procedimientos de la compañía.
2) Monitoreo del comportamiento de la cartera.
3) Monitoreo de los límites de crédito.
4) Monitoreo de la situación financiera del cliente.
5) Análisis de la cartera mensual para determinar la provisión de cartera.

Riesgos y controles del proceso 

RIESGOS DEL PROCESO

Control 1

Control 2

Control 3

1) Que el estudio y aceptación del crédito no se realice de acuerdo con el manual de procedimientos.

X

2) Que no se haga un monitoreo permanente al comportamiento de la cartera.

X

3) Que se sobrepasen los límites de crédito sin autorización.

X

4) Que no se haga un monitoreo permanente a la situación financiera del cliente.

X

5) Que la provisión de cartera esté subestimada.

X

Toda empresa tiene riesgos, actuales y potenciales, grandes y pequeños, y todos deben ser evaluados, medidos, cubiertos y, si es necesario, incluso modificar la forma de trabajar para mitigarlos y de esta forma garantizar el futuro del negocio”… Una oportunidad para que el auditor proteja el valor en sus clientes u organización.

Elaborado por:

Vladimir Martínez

Vladimir Martínez R.

Contador público (Universidad Santo Tomás), especialista en Administración de Empresas (Universidad del Rosario), con más de 15 años de experiencia en consultoría de negocios y auditoría financiera, adquirida en firmas de auditoría internacionales, KPMG y PWC.

Director de www.auditool.org, una Red Global de Conocimientos de Auditoría y Control Interno.

Descubre más recursos registrándote o logueándote. Iniciar sesión Registro gratuito