¿Cómo auditar los procesos que administran los riesgos
de negocio?
Recordemos que los riesgos de negocio son aquellos riesgos que pueden llegar a impedir que la compañía cumpla con sus objetivos y se generan en tres
ambientes:
1) Ambiente externo de la organización (Ver Boletín No 3 )
2) Ambiente de la industria de la organización (Ver Boletín No 4)
3) Ambiente interno de la organización (Ver Boletín No 5 )
Los riesgos identificados los calificamos según su probabilidad de ocurrencia y su impacto en los estados financieros, seleccionando los riesgos significativos (Ver Boletín No 6).
Algunos ejemplos de riesgos por sector los puedes encontrar en nuestra página en la ruta Revisoría Fiscal / Industrias.
Para cada uno de los riesgos significativos identificamos la respuesta que tiene la administración de la compañía para mitigarlos. Las acciones que puede tomar la compañía para mitigar los riesgos pueden ser:
a) Aceptar el riesgo (asume el impacto)
b) Intentar reducir el riesgo (implementa controles)
d) Evitar el riesgo (se retira del ambiente que le genera el riesgo)
Existen dos objetivos a los que el auditor debe apuntar cuando se audita un proceso que administra un riesgo de negocio:
1) Obtener evidencia suficiente y adecuada que le permita al auditor concluir que
la compañía cuenta con procedimientos adecuados para mitigar los riesgos de negocio
2) Obtener evidencia suficiente y adecuada que le permita al auditor concluir que
los estados financieros reflejan el impacto de los riesgos de negocio.(*)
(*) Las implicaciones de los riesgos de negocio en los estados financieros están relacionadas con estimaciones en los estados financieros,
revelaciones y/o una nota en la opinión del Revisor Fiscal.
Para el logro de estos objetivos el auditor debe seguir los siguientes pasos:
a. Entendimiento del proceso
b. Identificación de los riesgos y controles del proceso
c. Selección de los controles relevantes a los que se les realizarán las pruebas
d. Evaluación de los controles
e. Diseño de las pruebas de auditoria relativas a la eficacia operativa de controles
a) Entendimiento del proceso
Debemos comprender la forma como la gerencia de la compañía administra este riesgo. Nuestros esfuerzos se deben enfocar principalmente a entender las actividades que permiten mitigar el riesgo.
Una forma sencilla para identificar riesgos de procesos es hacernos la pregunta, ¿Qué puede impedir que el proceso logre sus objetivos?
Pueden existir casos en donde la administración de la Compañía no cuente con controles que mitiguen los riesgos o los controles identificados no son efectivos, casos en los cuales procederemos a emitir nuestra carta de recomendaciones. Adicionalmente, debemos identificar las implicaciones del riesgo en los estados financieros. Ejemplo, provisiones de cuentas por cobrar.
c) Selección de los controles relevantes a los que se les realizarán las pruebas
Para el desarrollo de las pruebas a los controles se deberán identificar los controles relevantes, esta selección se deberá hacer teniendo en cuenta que el conjunto de los controles seleccionados permiten prevenir, detectar y corregir un error, de acuerdo al objetivo tanto del proceso, como de la auditoria aplicada. Teniendo en cuenta que las compañías normalmente cuentan con un gran número de controles, nosotros procedemos a seleccionar los controles que consideramos tienen las siguientes características:
Los más eficientes de probar
Los que mitigan más número de riesgos.
Si se trata de un cliente recurrente se debe tener en cuenta la evaluación de
los años anteriores.
d) Evaluación de los controles
Debemos verificar el diseño y la efectividad del control de acuerdo con los
parámetros definidos en el Boletín No 13
Ejemplo de cómo auditar los procesos que administran
riesgos de negocio
Los ejemplos aquí enunciados no pretenden abarcar todas las situaciones, simplemente queremos que sirvan de guía para facilitar el trabajo del auditor.
Caso ficticio:
Objeto de la Compañía Auditada: Compañía dedicada a la venta de puertas y ventanas.
Clientes: El 40% de las ventas son a crédito y se realizan a proyectos de construcción y el 60% se realizan de contado y al detal.
Situación actual del mercado: En el análisis de las fuerzas externas observamos que la economía entró en recesión lo que afectará el sector de la construcción.
Riesgo de negocio
Ventas a clientes insolventes:
Debido a la situación de recesión por la que atraviesa la economía el sector de la construcción se verá afectado al no poder vender sus proyectos en los tiempos estimados, lo que puede afectar a la compañía teniendo en cuenta que el 40% de sus ventas son a crédito y realizadas a proyectos de construcción.
Proceso que administra el riesgo de negocio Créditos y Cartera
Objetivos del proceso dirigidos a mitigar el riesgo de negocio
• Garantizar que los clientes a los que se los concede crédito sean solventes • Garantizar que la provisión de cartera se ajuste a la realidad.
Actividades dirigidas a mitigar el riesgo de negocio
1) Estudio y aceptación del crédito de acuerdo con los procedimientos de la compañía
3) Monitoreo de los límites de crédito
4) Monitoreo de la situación financiera del cliente
5) Análisis de la cartera mensual para determinar la provisión de cartera.
Riesgos y Controles del proceso
RIESGOS DEL PROCESO
Control 1 Control 2 Control 3
1) Que el estudio y aceptación del crédito no se realice de acuerdo con el manual de
procedimientos. X
2) Que no se haga un monitoreo permanente al
comportamiento de la cartera. X
3) Que se sobrepasen los límites de crédito sin
autorización. X
4) Que no se haga un monitoreo permanente a la
situación financiera del cliente X
5) Que la provisión de cartera esté subestimada. X
“Toda empresa tiene riesgos, actuales y potenciales, grandes y pequeños, y todos deben ser evaluados, medidos, cubiertos y, si es necesario, incluso modificar la forma de trabajar para mitigarlos y de esta forma garantizar el futuro del negocio”…Una oportunidad para que el Revisor Fiscal o Auditor genere valor agregado a sus clientes.
Aquí finalizamos el tema de auditoría de los procesos, en nuestro próximo boletín iniciaremos con el tema de Pruebas Sustantivas.
Hasta pronto!
Equipo de Trabajo Nasaudit
Aportamos valor a través de nuestro conocimiento.
Bogotá D.C. / Colombia