Auditoría basa en Riesgos: un "nuevo" paradigma en las auditorias de enfoque empresarial.

Durante mucho tiempo, los auditores han seguido un modelo de auditoría de enfoque tradicional, centrado principalmente en verificar el cumplimiento de la normativa legal y reglamentaria, es decir, la verificación de requisitos. Sin embargo, las mejores prácticas de auditoría empresarial a nivel internacional apuntan hacia la adopción de un enfoque de Auditoría Basada en Riesgos (ABR). Este enfoque permite al auditor evaluar y dar seguimiento a los diversos riesgos relevantes, tanto financieros como no financieros, inherentes a las organizaciones auditadas, considerando su tamaño y complejidad, antes de que estos impacten su situación financiera y operativa.

La ABR integra elementos cuantitativos y cualitativos específicos de las organizaciones, abarcando aspectos como los requisitos legales mínimos, el capital económico, la implementación y ejecución de un buen gobierno corporativo, el cumplimiento de políticas de mercado y las funciones sustantivas de las organizaciones (operativas y misionales). La ABR busca evaluar de manera integral a una organización para prevenir y/o mitigar cualquier riesgo sistémico que pueda afectarla, contribuyendo al cumplimiento de requisitos básicos, fortaleciendo la confianza y el desarrollo competitivo de los sectores productivos.

Evolución de la auditoria.

En el ámbito internacional, los procesos de auditoría han mostrado cambios con el objeto de adaptarse a las condiciones existentes. A continuación, se presenta un resumen de dicha evolución:

• Etapa de verificación de la normatividad y reglamentación aplicable: En esta etapa las regulaciones administrativas tenían un carácter netamente intervencionista, determinando y fijando con un gran nivel de detalle no sólo lo que las organizaciones podían hacer, sino también cómo debían hacerlo, hasta el punto que las organizaciones tenían poco margen de maniobra y se limitaban en muchos casos a aplicar la normativa para desarrollar su actividad.Este tipo de régimen de auditoria, denominado “intervencionista”, condicionaba lógicamente la auditoría en el sentido de que su objetivo fundamental y sus tareas a desarrollar estaban claramente centradas en la verificación del cumplimiento de la normatividad, con un enfoque en el que predominaba la forma sobre la sustancia, al exigirse que las normas se cumplieran literalmente, sin atender al espíritu del mejoramiento. En este sentido, se prestaba más atención a los incumplimientos, abriendo expedientes disciplinarios o imponiendo sanciones, sin realizar valoraciones profundas sobre la situación de la organización frente a sus riesgos reales. Por otra parte, los organismos encargados de la auditoria (interna o externa) no tenían amplia experiencia en estas materias. La conjunción de todos estos factores con momentos de posibles crisis de sectores específicos (por ejemplo, salud), no podía tener otro resultado que crisis muy significativas, al no estar, en absoluto, realizando una auditoria pertinente, sino más bien una auditoría de cumplimiento de disposiciones legales.Lo anterior, llevó a la conclusión de que era necesario centrar los esfuerzos en la verificación de la información, con el fin de evitar que no fuera confiable (con mayor incertidumbre) y que las crisis y los problemas permanecieran ocultos hasta que fuera demasiado tarde para tomar alguna medida correctiva. Simultáneamente, la experiencia y capacitación de los auditores se desarrolló notablemente, como consecuencia, ciertamente, del paso del tiempo y de las lecciones proporcionadas por las crisis, pero también a causa de la incorporación de nuevo personal, expresamente seleccionado para estas tareas y del desarrollo de nuevos esquemas para hacer frente a las crisis de manera preventiva.Por otra parte, no es tampoco de extrañar que la actitud de las organizaciones fuera poco colaboradora con el auditor, al que veían, como un agente centrado en la detección de errores y anomalías seguidas de sanciones y/o en el establecimiento de normas que dificultaban o impedían, sin necesidad a su juicio, un desarrollo eficiente del negocio, pero que no compartían sus preocupaciones de gestión ni le aportaban ideas o conocimientos útiles en este sentido.
• Auditoría basada en riesgos -ABR-: A mediados de la década de los ochenta, se empiezan a registrar los primeros movimientos significativos en cuanto a superar las deficiencias observadas en los esquemas de regulación y auditoría vigentes en aquel momento. Así, en el ámbito regulatorio, en especial del sector financiero, se afirmó claramente la presencia de normas con un carácter netamente prudencial y preventivo. Estas normas tienen como característica común la concepción de la actividad (en este caso la bancaria, donde fue la base del concepto de SBR) como una actividad de riesgo, centrando los esfuerzos en la medición y control del riesgo, bien sea mediante la exigencia de capital o mediante otros mecanismos de control, como la imposición de límites. En este sentido, se abandona, al menos nominalmente, la concepción del riesgo como elemento negativo a evitar y se empieza a concebirlo como una materia prima del mejoramiento, en cuanto material de trabajo que las organizaciones gestionan, aportando así valor añadido al sistema organizacional. De forma más específica, los esquemas de auditoría empiezan a abordar el tratamiento de los riesgos de una manera sistematizada y sistémica teniendo en cuenta todas sus características y posibles efectos en los diferentes ámbitos, adoptándose de manera gradual posturas mucho más técnicas en este sentido. En este contexto, es conveniente mencionar que las fases básicas de tratamiento de cualquier riesgo son:- Identificación de las fuentes de riesgo y sus factores contributivos.- Medición del riesgo en sus diversas variables – análisis y evaluación-- Control del riesgo.A partir de aquí, en cuanto al ámbito de las prácticas de auditoría, se entiende que la auditoría debe cambiar el foco de sus actuaciones, centrándolas en el análisis y evaluación de los riesgos asumidos por las organizaciones más que en la información generada, recibiendo de esa manera la denominación de “Auditoría Basada en Riesgos” o “Supervisión Basada en Riesgo”. El primer aspecto clave de la auditoría, especialmente cuando se desea que tenga un carácter prudencial y, sobre todo, preventivo, es el conocimiento de las organizaciones, no sólo en lo que se refiere a su situación actual, sino también a su probable evolución futura. El conocimiento de las organizaciones debe seguir abarcando cuestiones clave como el componete financiero, el ámbito de operación en sus diversas perspectivas, el entorno, los proveedores, los clientes (en el sentido amplio que abarca) que completan la información y el conocimiento obtenido del Perfil de Riesgos, ayudando así a tener una visión completa de conjunto de carácter multifacético. Un segundo aspecto de la auditoría, que suele ser objeto de interpretaciones equivocadas, es la falta de consideración de la dicotomía equilibrada que debe existir entre el ámbito cuantitativo y el cualitativo, pareciendo que la SBR tiene que tener un componente mayoritariamente cuantitativo, al concebirse el análisis y control del riesgo como un ejercicio fundamentalmente estadístico o matemático, cuando no es realmente así, ya que las perspectivas cualitativas tienen una importancia crucial en este entorno. La necesidad de corregir este error ha llevado a la conveniencia de acuñar un nuevo término para recoger las tareas de auditoría centradas en el ámbito cualitativo de las organizaciones, la llamada Auditoría Cualitativa que pone énfasis en la evaluación y conocimiento del modo en que la organización gestiona su actividad, especialmente en lo que se refiere al control y gestión de riesgos, analizando las políticas existentes y las metodologías y procedimientos aplicados, pero también en todos los demás aspectos relevantes. En resumen, una verdadera y efectiva SBR se caracteriza por:- Enfocarse en el conocimiento profundo de la situación de la organización en un sentido dinámico. - Incluir la evaluación y el conocimiento de los diferentes riesgos (financieros, de mercado, operativos, reputacionales, legales, otros) asumidos por las organizaciones.- Considerar tanto los aspectos cuantitativos como los cualitativos, intentando obtener una visión de la situación que considere de manera armónica ambas perspectivas.Algo importante es que la ABR no puede concebirse en absoluto como un ejercicio mecánico, ni en lo que se refiere a la ordenación y ejecución de las tareas de auditoría. La ejecución de la ABR debe hacerse, tanto a nivel institucional como de profesionales, sobre la base de una definición clara de los objetivos y una ordenación racional de los medios, debiendo aportar las personas una capacidad de juicio notable para adecuar los medios disponibles a las circunstancias de la organización a estudiar, de manera que sea factible alcanzar los objetivos establecidos en un tiempo y forma razonable y que la comunicación interna de los resultados de las tareas a nivel institucional sea efectiva.Debe resaltarse el gran cambio que puede suponer el modo de relación del auditor con el responsable del proceso u área auditada, que no puede basarse únicamente en la exigencia constante conforme a la normatividad (interna o externa) sino en un entendimiento mutuo originado en el interés común por la buena marcha de la organización, en la apreciación de las respectivas capacidades profesionales y en una adecuada comprensión de las responsabilidades y facultades de cada parte, dejando el marco regulatorio como una obligada referencia de fondo para todos y el poder disciplinario como un mecanismo fundamentalmente disuasorio, no punitivo en sí mismo.
• La auditoría basada en el riesgo desde la visión auditor: Esta etapa es, por lo menos hasta el momento, la última y más moderna que puede considerarse en el sentido de desarrollo, tanto conceptual como histórico de la auditoría. La clave de esta clase de auditoría es partir de la base de cuáles son los riesgos del auditor para, desde de ahí, establecer los mecanismos oportunos para su medición y, finalmente, aplicar los recursos de auditoría a los casos en función del riesgo que presenten para el auditor. La auditoría basada en el riesgo del auditor presenta una diferencia clara con la ABR, ya que la medición del riesgo, se realiza en el primer caso en términos del auditor y en el segundo caso en función de la organización. A su vez, el enlace entre una y otra concepción es claro, o sea el riesgo, pero no sólo en una aceptación superficial derivada del uso de la misma palabra o concepto, sino en un sentido más profundo, ya que el riesgo del auditor se determina en función del riesgo de la organización, como una función de segundo grado. La auditoría basada en el riesgo desde la visión del auditor necesita como presupuesto de partida que exista una Auditoría Basada en Riesgos efectiva, tanto en la parte teórica como en los aspectos prácticos, de lo contrario hay un riesgo alto de que no sea efectiva e incluso que perturbe y distorsione una adecuada implantación de la SBR.

Principios de la ABR.

Es necesario un estilo de auditoría dinámico y flexible, que se adecue a las características de cada organización auditada; en este sentido, la práctica una auditoría debería ser especializada, integral y discrecional.

a. Especializada se refiere a implementar un enfoque de auditoría por tipo de riesgo, ello implica contar con personal especializado en la evaluación de los diversos tipos de riesgo, dando criterio, suficiencia y pertinencia a los resultados.

b. Integral tiene el objetivo de generar una apreciación sobre la administración de los riesgos por parte de las organizaciones supervisadas.

c. Discrecional se enfoca al contenido, alcance y frecuencia de la auditoría, el cual debe estar en función del diagnóstico de los riesgos que enfrenta cada organización auditada.

Enfoque de la auditoría o supervisión basada en riesgos.

La característica principal del enfoque de ABR, radica en el uso de la acción del auditor con anticipación a que se manifieste un incumplimiento de la regulación o normatividad por parte de alguna de las organizaciones auditadas. La auditoría tradicional, en cambio, enfoca su atención en la detección del incumplimiento de con posterioridad a su manifestación. Este incumplimiento se ubica dentro de un espectro que puede ir desde leve, manifestándose en falencias formales, o severo. El objetivo central del modelo de ABR consiste en determinar la capacidad de una organización de gestionar adecuadamente los riesgos asumidos, de absorber los impactos negativos que puedan derivarse de éstos y establecer las prioridades de auditoría.

En el enfoque de ABR, la forma y la calidad de la administración de riesgos llevada a cabo internamente, tienen un rol protagónico. En la medida que el control y gestión de dichos riesgos se lleve a cabo en forma apropiada, se reduce el perfil de riesgos de la organización en su conjunto, aun cuando los riesgos a los que está expuesta sean considerables. La herramienta central del enfoque de ABR se basa en la matriz de riesgos que permite determinar el perfil de organización. Para el efecto, se utiliza la información y el conocimiento obtenidos en cada una de las actividades de auditoría, así como el conocimiento del entorno y del ámbito de operación de las organizaciones.

Entorno: La evaluación del ambiente en que operan las organizaciones, se realiza con el objetivo principal de situar en el contexto adecuado las conclusiones que se obtengan de cada institución en su consideración a nivel individual, para así poder separar lo que son cuestiones de alcance general o sistémico de las circunstancias específicas de cada una de las organizaciones.

Ámbito de operación: Dentro del ámbito de operación se aborda básicamente el conocimiento de la organización, como punto de partida general, lo cual permite tener una visión completa de la misma y poder efectuar comparaciones con otras organizaciones similares.

Ámbito relacional es el conjunto de personas físicas y sociedades que mantienen una relación estrecha con la organización en términos de control, basado ciertamente en la mayoría de las ocasiones en la propiedad de las acciones (accionistas, entes de control, usuarios, entidades contratantes, otros)

Segmento de negocio está basado en la identificación y evaluación de las relaciones que se mantienen con otras sociedades y personas para la realización del negocio, incluyendo el tipo de clientes, para identificar de esta manera las principales líneas de negocio y sus magnitudes más importantes dentro de la actividad general de la organización. Este ámbito también incluye el espacio geográfico en el que la organización desarrolla su actividad, tanto en lo que se refiere a la esfera internacional, en cuanto a regiones y países, como en lo referente al ámbito nacional, en términos de departamentos y poblaciones.

Estructura organizacional es el modo en que la organización se organiza para el desarrollo de su actividad, tanto en lo que se refiere a las estructuras organizativas como a los recursos humanos empleados. En cuanto a las estructuras organizativas, los aspectos más importantes a destacar son los procesos de toma de decisiones y la distribución de facultades y funciones, mientras que, en lo que se refiere a los recursos humanos, los temas están relacionados sobre todo con el tipo y cantidad de recursos empleados en la actividad.

Matriz de riesgos organizacional. Puede considerarse como el núcleo de la ABR, ya que recoge el nivel general de riesgo de una organización desde las perspectivas de los diferentes riesgos asumidos, a fin de poder tener una visión de conjunto, que esté basada en el análisis de sus principales componentes (estratégicos, táctico u operativos). Cabe señalar, que no existe un sistema automático de calificación, pues éste además de tener en cuenta elementos cuantitativos incorpora el juicio experto, al valorarse aspectos (como la gestión y el control) que no son cuantificables y que son propios de cada organización.

En este contexto, es conveniente conceptualizar los principales componentes de la matriz de riesgos, según se explica a continuación:

Riesgo inherente: es el riesgo que por su naturaleza no se puede separar de la actividad de la organización, es decir el riesgo intrínseco de las distintas actividades y áreas de negocio, sin considerar los sistemas de control del mismo. El riesgo inherente depende de factores objetivos, tales como: el nivel de exposición, grado de concentración y otros.

Gestión y control de riesgos: se evalúan considerando el nivel del riesgo correspondiente, pero también la complejidad y sofisticación de la actividad desarrollada; para tal evaluación se consideran: las políticas de riesgos, la organización de la función de riesgos, las herramientas de gestión, control y seguimiento (la actitud y el enfoque hacia el riesgo).

Gobierno corporativo interno: se refiere a la manera en la que la alta dirección dirige las actividades y negocios, lo cual influye en la forma de:

- Fijar objetivos corporativos.

- Realizar las operaciones diarias.

- Asumir sus responsabilidades frente a los intereses de las partes interesadas

- Asegurar que las actividades y el comportamiento de la organización están a la altura de la seguridad y solidez que de la misma se espera

- Proteger los intereses de los clientes y demás partes interesadas.

Riesgo residual: es el riesgo remanente que subsiste una vez evaluado tanto el riesgo inherente como los controles respectivos (gobierno interno y los sistemas de gestión y control).

Por otra parte, para efectos de su evaluación los riesgos se definen de la forma siguiente:

Riesgo de crédito: es la contingencia de que una institución incurra en pérdidas como consecuencia de que un deudor o contraparte incumpla sus obligaciones en los términos acordados.

Riesgo de liquidez: es la contingencia de que una institución no tenga capacidad para fondear incrementos en sus activos o cumplir con sus obligaciones oportunamente, sin incurrir en costos financieros fuera de mercado.

Riesgo de mercado: es la contingencia de que una institución incurra en pérdidas como consecuencia de movimientos adversos en precios en los mercados financieros. Incluye los riesgos de tasa de interés y cambiario.

Riesgo operacional: es la contingencia de que una institución incurra en pérdidas debido a la inadecuación o a fallas de procesos, de personas, de los sistemas internos, o bien a causa de eventos externos.

Riesgo legal: es la contingencia de que cambios en las leyes y reglamentos, o en su cumplimiento, afecten el estatus legal de la institución, incluyendo la posibilidad de que los compromisos contractuales no sean apropiadamente documentados, provocándole pérdidas financieras.

Riesgo tecnológico: es la contingencia de que la interrupción, alteración, o falla de la infraestructura de tecnología de información, sistemas de información, bases de datos y procesos de tecnología de información, provoquen pérdidas financieras a la institución.

Riesgo estratégico: corresponde al riesgo de un impacto actual o futuro sobre las utilidades, capital o reputación, resultante de cambios en el entorno en que opera la organización o de decisiones estratégicas inadecuadas, impropia implementación de las decisiones o carencia de respuesta a cambios de la industria, economía o tecnológicos.

Estrategia y proceso de auditoría

La implementación del enfoque de auditoría requiere adoptar una estrategia de auditoría de las organizaciones consideradas individualmente, que guarde una estrecha relación con el modo en que se estructura la organización y se asignan las responsabilidades de auditoría de las diferentes organizaciones. Así pues, dentro de este orden de ideas, la estrategia de auditoría debe formular y establecer los objetivos que se desean alcanzar como consecuencia del ejercicio de la función de auditoría, utilizando para ello la evaluación integral de la organización. Una vez elegida y establecida la estrategia de auditoría, deben desarrollarse en consecuencia las siguientes cuestiones:

a. El proceso de auditoría, en cuanto al modo en que se pretenden alcanzar los objetivos estratégicos definidos;

b. la organización de la auditoría, en cuanto a asignación de organizaciones y auditores.

Para concluir:

Está claro que se ha ido evolucionado al tener una evaluación por cumplimiento o también denominada reactiva a una ABR o proactiva, cuyo propósito es la prevención y el establecimiento de alertas tempranas que protejan a las organizaciones, permitiendo sostenibilidad y éxito continuado, donde los clientes y demás partes interesadas serán los más beneficiados.