Un aspecto
de reiterado interés en los foros en los que se debaten temas relativos a la
actividad de auditora, bien sea ésta interna o externa, es el correspondiente al
“riesgo de auditoría”. El cual, de acuerdo con lo que establece la NIA 200
“Objetivos y Principios que Gobiernan la Auditoria de Estados Financieros”, se
produce cuando un auditor externo emite una opinión errónea acerca de la
razonabilidad de los estados financieros de una entidad. Llegándose a determinar
sus componentes:
(I) el Riesgo de representación errónea y (II) el Riesgo de
detección.
El Riesgo
de representación errónea, es el riesgo imputable a la entidad y tiene dos
componentes:
- El riesgo
inherente. Aquel que
se deriva de la posibilidad de que las partidas estén registradas, valoradas,
presentadas o reveladas en forma errónea. Siendo la administración de la
Sociedad auditada la responsable de diseñar e implementar los mecanismos
necesarios para reducir los posibles efectos que pueda traer este tipo de riesgo
sobre los estados financieros.
- El riesgo de
control. Es el
derivado de que los sistemas de control interno y control contable, diseñados e
implementados por la administración de la entidad, sean incapaces de prevenir, o
en su defecto de detectar y corregir, errores de importancia relativa en las
cifras de sus estados financieros.
En tanto que
El riesgo de detección, es la incertidumbre respecto a que el auditor
independiente no descubra los riesgos de representación errónea que pudieran
existir en las aseveraciones de la empresa, y es función de la efectividad del
procedimiento de auditoría empleado y de su aplicación por el auditor. Es por
tanto un fallo responsabilidad directa del auditor. De su materialización
dependerá la calidad del trabajo realizado, ya que de materializarse no se
habría conseguido aportar la seguridad razonable sobre la fiabilidad de la
información elaborada y difundida a los mercados, pues el trabajo no estaría
bien hecho, faltándole la calidad requerida. Siendo esto, en forma coloquial, la
manera de entender el riesgo de auditoría.
Por
ello, desde mi punto de vista, estimo qué cuando nos refiramos a los riesgos de
auditoría, debiéramos ocuparnos fundamentalmente de las circunstancias que
afecten a su desarrollo, y que pudieran impedir obtener una opinión certera
sobre la situación del control interno de los procesos auditados, es decir: los
factores de riesgo que puedan afectar a la bondad de la actividad auditora,
independientemente de las formas en que el riesgo pueda presentarse; ya que así
podremos adoptar las decisiones que sean pertinentes para que las auditorías
dispongan de la calidad requerida para hacer válidas sus conclusiones y
recomendaciones.
Respecto de
las auditorías internas los factores de riesgo que pueden afectar a las
características de los trabajos realizados, entendemos que vendrán
condicionadas, en gran medida, por:
1. Recursos
disponibles inadecuados, por cantidad y/o conocimientos.
2. Programa de
actividad mal seleccionado.
3. Falta de
autoridad de la Unidad.
4. Capacidad
supervisora limitada.
5. Independencia de criterio condicionada o limitada.
6. Falta de
compromiso del Directorio en disponer de un buen Control Interno.
Factores
que, excepto el correspondiente a la selección del Programa de la actividad
(Plan Anual de Auditoría), dependen de las correspondientes decisiones
gerenciales con las que puedan ser resueltos. Para ello los Directores de
Auditoría disponen de un aliado al cual recurrir, los Comités de Auditoría y
Control; ya que siendo el órgano de
control sobre el que recae la responsabilidad de evaluar la eficacia y
eficiencia de la Unidad de Auditoría Interna, también lo es en la de habilitar
los medios y condiciones de trabajo con las que desarrollar adecuadamente la
actividad auditora.
Disponer de
ellos es condición sine qua non para
trabajar en la forma que permita atender las expectativas de todas las partes
interesadas, por lo que, en su caso, tendremos que dejar evidencias de nuestras
solicitudes al respecto, a través de las actas de los Órganos de decisión y
control a dónde hayamos acudido, y así poder en su momento exponer las gestiones
realizadas.
Adicionalmente, y en la medida de lo posible, otra vía con la que
podríamos resolver los problemas estructurales de capacidad de gestión que
pudiésemos tener, es la de someterse una evaluación externa de calidad según las
Normas del Instituto of Internal
Auditors, en la que apalancarse posteriormente en la resolución de las
debilidades puestas de manifiesto.
Vista la
posible doble estrategia a seguir, veamos, aunque sea brevemente, cuales son los
factores de riesgo a los que nos estamos refiriendo:
1º. Recursos
disponibles inadecuados, por cantidad y/o conocimientos. Resulta
claro que no disponer de los recursos humanos, materiales o financieros precisos
para desarrollar el Plan de Auditoría, y los trabajos individuales de auditoría,
es una limitación básica para ejercer la actividad. De ser así, nuestro aporte
de valor a la organización quedaría muy resentido.
2º. Programa
de actividad mal seleccionado. El Plan de
trabajo debe concretarse en base a los
riesgos que se observen puedan afectar a los objetivos de la Organización,
incidiendo en los procesos de gestión de riesgos, control y gobierno corporativo
que se vean afectados.
3º. Falta de
autoridad de la Unidad. La Unidad
de Auditoría Interna debe disponer de un nivel adecuado en la estructura
organizativa, así como de una dependencia jerárquica que permita poder tener
interlocución y supervisión de cualquier nivel gerencial de la empresa. La alta
dirección también.
4º.
Capacidad supervisora limitada. La
definición del Plan de Auditoría no debe contemplar áreas de la compañía que
queden excluidas de las posibles evaluaciones, ni tampoco que existan procesos,
actividades, aplicaciones o información, consideradas reservadas y ocultas a la
auditoría.
5º.
Independencia de criterio condicionada o limitada. La
actividad de la Unidad de Auditoría Interna debe realizarse sin interferencias
de ningún gestor u órgano de la compañía, que pretenda influir en la objetividad
de los trabajos.
6º. Falta de
compromiso del Directorio en disponer de un buen Control Interno. El
Directorio es el responsable de fijar la estrategia y la visión global del
negocio. Sin su apoyo la Unidad de Auditoría Interna reducirá su rol a cubrir
aspectos estéticos.
En resumen,
nuestra labor como auditores resulta básica para poder asegurar razonablemente
el adecuado control interno de la organización, pero no somos los responsables
de que eso sea así, nos corresponde como a los fiscales que instruyen los
procedimientos, analizar objetivamente la situación observada, concluyendo y
recomendando medidas, para lo cual se requieren medios, condiciones de trabajo y
capacidad para investigar. Si no disponemos de estos requisitos, los riesgos de
no actuar adecuadamente serán inevitables, y estaremos condenados a hacer un mal
trabajo. Espero que no sea así.
Por Jesús
Aisa Díez Ex-Subdirector General Corporativo de Auditoría Interna de
Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España.
Director Técnico de FSH Consulting.
