Contaduría Pública

29 de septiembre de 2014

Valoración del riesgo a través del entendimiento de la entidad y su entorno (ISA 315) Agos/28/14

La normativa de aseguramiento ISA 315, es considerada actualmente como núcleo de las normas de aseguramiento de la información financiera histórica debido a que años atrás, el enfoque de auditoría se basaba en la atestación y en un enfoque con énfasis en las transacciones, para lo cual el auditor desarrollaba procedimientos para cubrir todos los riesgos sin efectuar un examen riguroso sobre su impacto en la información financiera. Ahora con los nuevos estándares de aseguramiento, el trabajo de auditoría se centra en el concepto de riesgo, lo cual representa un gran reto para el auditor debido a que este, deberá entender completamente la organización auditada y su entorno para identificar de una forma veraz el riego de auditoría.

La normativa de aseguramiento ISA 315, es considerada actualmente como núcleo de las normas de aseguramiento de la información financiera histórica debido a que años atrás, el enfoque de auditoría  se basaba en la atestación y  en un enfoque con énfasis en las transacciones, para lo cual el auditor desarrollaba procedimientos para cubrir todos los riesgos  sin efectuar un examen riguroso sobre su impacto en la información financiera. Ahora con los nuevos estándares de aseguramiento, el trabajo de auditoría se centra en el concepto de riesgo, lo cual representa un gran reto para el auditor debido a que este, deberá entender completamente la organización auditada y su entorno para identificar de una forma  veraz  el riego de auditoría.

La norma  en mención  cuenta con 3  elementos principales:

  1. Que es la identificación y la valoración de riesgos.
  2.  Todos los riesgos que se identifican, tienen que estar relacionados con los estados financieros, es decir que los riesgos a nivel operativo que no tengan un impacto en estados financieros, no se tomarán en cuenta.
  3. Las estrategias aplicadas para esta labor, se deben soportar en el entendimiento de una entidad y su entorno; lo cual se traduce en conocer las operaciones de la empresa, saber el entorno en el que se desempeña (industria, competidores, regulación y todos los factores externos que afecten a la entidad) y  entender de igual forma los  factores internos de la compañía.

Comprendiendo los 3 elementos básicos para aplicar la normativa, el auditor procede a la identificación de riesgos con el objetivo principal  de  implementar procedimientos para reducir el riesgo y “atacarlo”.

La Aplicación de las ISA 315, trae consigo muchos retos como el de identificar y separar los riesgos, debido al fraude y errores a nivel de estados financieros, aseveraciones y revelaciones de forma cuantitativa y cualitativa, entendiendo el sector, la entidad y su sistemas de control  interno, considerado como materia prima para el trabajo de los auditores. La norma reitera los objetivos del control interno así:

  • Confiabilidad de la información financiera
  • Efectividad y eficiencia de las operaciones
  • Cumplimiento con leyes y regulaciones

Se resumen los procedimientos de valoración de riesgos utilizados por los auditores

  1. Investigar y recolectar información con las personas encargadas de la administración o que estén involucradas en áreas  que brinden información importante para la auditoría.
  2. Procedimientos analíticos: análisis a nivel de cifras y documental.
  3. Observación, inspección y documentación.

A la hora de realizar la auditoría también es importante  observar  y tener en cuenta durante el proceso:

  • Los factores relevantes de la industria como el mercado, actividad cíclica o de temporada y Tecnología de productos.
  • La Naturaleza de la entidad.
  • El control interno: en cuanto a su entorno, la evaluación del riesgo, las actividades de control, información y comunicación y el monitoreo.
  • Verificar que el control designado para un riesgo sea efectivo.
  • Relacionar los riesgos  a nivel de aseveración.
  • Considerar la probabilidad de error dentro de la entidad y el  impacto que este causaría en los estados financieros.

Con relación a  las aseveraciones, el auditor debe tener en cuenta las declaraciones de la administración que están incorporadas en los estados financieros, para considerar los errores potenciales que tiene la empresa e identificar las aseveraciones más relevantes, para definir cómo se van a direccionar y el tipo de pruebas o procedimientos de auditoría que  se debe aplicar.

 Como se mencionó anteriormente la normativa de aseguramiento ISA 315, tiene como eje importante el concepto de riesgo para lo cual es necesario tener un concepto claro de esta palabra la cual según ISO 31000, la define como el  efecto de la  incertidumbre en el cumplimiento de un objetivo. Un problema actual de las empresas que podría convertirse en inconveniente para aplicar los estándares internacional de auditoría es la falta o incumplimiento de los objetivos  principales de la entidad, causado por la importancia absoluta que le han dado estas a las cifras de la compañía. Por lo cual surgen preguntas relacionas con la nueva normativa como:

  • ¿Sería conveniente incluir los objetivos generales de la empresa dentro de la norma o no?

Hay que analizar desde el punto de vista del auditor que tipos de riesgos podrían afectar a la empresa, y específicamente en qué aspectos se presentarían sus implicaciones; bien sea en el área en general del negocio como por ejemplo el principio de negocio en marcha o específicamente a los sistemas de la información financiera, aspectos que de manera significativa afectaran la auditoría que se requiere realizar en la empresa.

Al momento de analizar la norma de cómo se puede asociar la auditoría con la falta de objetivos en una empresa, surgen cuestionamientos como por ejemplo si los auditores deberían ser quienes realicen la valoración de los riesgos, junto con las implicaciones que tiene no solo para la realización adecuada de una auditoría sino también los costos que esto implica. Pregunta que surge a raíz del supuesto de que la norma parte del hecho de que existe una valoración de riesgos, sin tener en cuenta un caso contrario en donde los riesgos no han sido plenamente identificados.

Lo anterior puede ser considerado como un vacío existente dentro de la norma pues en el momento de su implementación traerá consigo grandes confusiones, principalmente en el caso de los auditores ante la carencia de unas adecuadas valoraciones y evaluaciones de los riesgos existentes dentro de las organizaciones.

Es entonces importante decir que efectivamente es clave tener en cuenta dentro de la norma los objetivos de las empresas para la labor del auditor en la identificación de los riesgos, debido principalmente a que estos representan la directriz y el direccionamiento principal de la entidad, pero también hay que tener en cuenta que la idea no es nombrar la totalidad de los riesgos sino limitarse a aquellos que de manera particular afectan los objetivos estratégicos, no necesariamente financieros sino también los que tienen que ver con la operación del negocio.

VALORACIÓN DE RIESGOS

Se habla principalmente de la asignación de la probabilidad de un impacto, con determinados rangos de calificación como alto, medio o bajo, sin embargo los auditores y la gerencia maneja este tema de una manera subjetiva de acuerdo a sus criterios o experiencias, es decir esta valoración de riesgos pocas veces  cuenta con un sustento real del tema.

  • La norma frente a este tema no habla de cómo sustenta su criterio el auditor, ¿cree que en un futuro sea bueno implementar un modelo para realizar una valoración de riesgos con sustento?

Si bien es cierto los modelos matemáticos aportan información importante que de todos modos necesita estar acompañada de información adicional para tener una información más acertada y aterrizada a lo que en realidad está viviendo la empresa en su entorno, como lo son los criterios de la gerencia y los auditores particularmente, sin embargo en este punto hay que prestar atención pues no todas las personas van a tener el mismo criterio hacia la empresa, pues la variación de los puntos de vista resulta ser inevitable.

Por otro lado, como complemento se tiene que la estrategia es otro factor determinante para el conocimiento de la entidad. Así como también es importante el apoyo que el auditor le brinde al administrador en el entendimiento de un riesgo.

La norma clasifica el riesgo en dos: el riesgo significativo o de mayor importancia y el riego normal en donde se tiene como diferencia principal el impacto, sin embargo la norma cuenta con otros lineamientos como lo es la periodicidad de las transacciones es decir aquellos eventos inusuales que afecten el funcionamiento normal de la compañía, como es el caso por ejemplo de los estimados, que a su vez dentro de la normatividad son considerados como riesgos significativos o de mayor importancia para el auditor.

PREGUNTAS PARA DISCUSÍÓN

  • ¿Cuáles son las razones que justifican la afirmación, que la valoración del riesgo y la respuesta a los mismos constituyen una de las innovaciones más importantes de la auditoría en los últimos tiempos?
  • ¿Por qué consideran que el cambio de un enfoque basado en riesgos es una innovación importante para la auditoría?

Es una innovación muy importante para el cargo del auditor, pues el conocimiento que se debe tener de la entidad debe ser más amplio así como el conocimiento propio para poder tomar decisiones adecuadas sobre la organización, pues para este cargo se requiere realizar juicios sobre los diferentes riesgos de la entidad y sus controles para lo cual es importante contar con unas bases bien fundamentadas, buscando siempre brindar un valor agregado a la compañía por medio de juicios de alternativas de mejora y crecimiento.

Anteriormente la auditoría se basaba principalmente en cifras, en donde se evaluaban hechos pasados y tendencias, mientras que actualmente lo que se espera de un auditor es que este tenga la capacidad de usar la información pasada y presente para crear pronósticos y así de esta manera se pueda anticipar a los hechos futuros y permitir que la empresa esté preparada para cualquier tipo de eventualidad. Así como hoy en día la valoración del riesgo no es subsecuente a la planeación sino que por el contrario la valoración del riesgo me lleva a hacer toda mi planeación de auditoría, es así como actualmente todo el trabajo de la auditoría se desprende de la valoración y la identificación de los riesgos.

CONCLUSIONES SOBRE LA NORMA

 

  • La identificación de normas se soporta en el entendimiento de la entidad y su entorno incluyendo el control interno.
  • El entendimiento de un control basado en investigación e indagaciones no constituyen como tal evidencia de auditoría pues la evidencia de auditoría es determinada por la evaluación de controles y procedimientos sustantivos.
  • La identificación se centra en riesgo de error material ya sea por fraude o error.
  • Existen dos tipos de riesgos: el significativo y el normal, la diferencia radica en el que llame más la atención del auditor respecto de su impacto en la información financiera.
  • El riesgo se valora de acuerdo a un entendimiento basado en indagaciones y procedimientos analíticos, de observación e inspección, tema en común tanto para el auditor interno como externo.
  • El error material se debe asociar a una aseveración o estados financieros.
  • Una adecuada identificación de riesgo conlleva a una auditoría inteligente.
  • El riesgo de negocio es definido como aquel que afecta de manera adversa el cumplimiento de los objetivos de la empresa.