Gestión de Riesgos en Auditoría: Ejemplos Prácticos para Detectar y Mitigar Riesgos Altos, Medios y Bajospost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Gestión de Riesgos en Auditoría: Ejemplos Prácticos para Identificar y Mitigar Riesgos Altos, Medios y Bajos

Muchas cosas pueden pasar cuando no tenemos el control y la previsión que requiere un proceso de auditorías. Desgraciadamente suelen suceder cosas que afectan en tiempo y forma cualquier programa de auditoría, ¡AFORTUNADAMENTE! Existe la bondad de los planes de riesgos, es cuestión de saber hacerlos y ejecutarlos.

Pasos para Elaborar un Plan de Riesgos en Programas de Auditoría

  1. Comprender qué es un plan de riesgos, su uso y beneficio. El riesgo es la probabilidad de sufrir el efecto de un evento inesperado o una serie de ellos que tienen lugar en una o en múltiples etapas de un programa de auditorías. Un riesgo depende de la probabilidad de que se presente el evento y el impacto que pueda causar (Riesgo = Probabilidad x Impacto). Debemos considerar factores como:
    • Evento: ¿Qué podría pasar?
    • Probabilidad: ¿Qué tan probable es que suceda?
    • Impacto: ¿Qué tan malo sería si sucede?
    • Acción de mitigación: ¿Cómo puedes reducir la probabilidad (y qué tanto)?
    • Acción de contingencia: ¿Cómo puedes reducir el impacto (y qué tanto)?

    Reducción del riesgo = Acción de mitigación x Acción de contingencia.

    Exposición al riesgo = Riesgo - Reducción.

    El resultado es a lo que llamaremos exposición. Es la cantidad de riesgo que no podemos evitar. Muchas veces se tiene que evaluar los costos contra beneficios. El riesgo asumido se da cuando decidimos proceder. (Algunas veces, sin tener opción, por ejemplo: Implementar un programa de auditorías con presupuesto limitado)

  2. Delimite los riesgos de su programa de auditorías. Cómo responsable de gestionar un programa de auditorías, puede enfrentar diferentes riesgos:
    • Planificación del programa.
    • De recursos para el programa de auditoría.
    • De selección del equipo de auditoría.
    • De comunicación.
    • Implementación del programa.
    • De la información documentada.
    • De la supervisión, revisión y mejora.
    • De la disponibilidad del auditado.
    • De la disponibilidad de la evidencia.

    Un programa de auditorías bien documentado será su primera fuente de información para detectar riesgos y hacer un plan para enfrentarlos.

    Lea también: Comprendiendo el Riesgo Aceptable de Auditoría

  3. Trabaje en equipo. Reúnase con su equipo auditor y piensen qué podría pasar y cómo se podría prevenir, empleen la técnica de tormenta de ideas y toma nota de las principales ideas y opiniones.
  4. Identifique las consecuencias de cada riesgo. Aproveche la sesión de tormenta de ideas para obtener opiniones objetivas acerca de las consecuencias e impacto de lo que podría pasar y asócialo a cada riesgo.
  5. Elimine las preocupaciones y asuntos no relacionados. Si esta su programa de auditorías en marcha no se preocupe por lo que sucede en el planeta Marte, es aquí donde tiene que valorar cada riesgo y sus consecuencias. Concéntrese en hechos reales que podrían pasar.
  6. Realice una lista de los riesgos identificados. Sólo listelos, no necesita ordenarlos por el momento. Asigne la probabilidad. Para cada elemento de riesgo en su lista, determine si las posibilidades de que sucedan son altas, medias o bajas. Asigne el impacto. Asígnelo como alto, medio o bajo.
  7. Determine el nivel de riesgo de cada elemento listado. Muchas veces se usa una tabla para hacer esta tarea, ver más abajo. Sea flexible y realista en el análisis.
  8. Clasifique los riesgos. Liste todos los elementos de riesgo que haya identificado de mayor a menor valor de riesgo obtenido, ¡Verá que no son tantos!
  9. Calcule el riesgo total. Sumando el aporte que tiene cada elemento de riesgo.
  10. Desarrolle estrategias de mitigación. La función de la mitigación es reducir la probabilidad de que se concrete un riesgo. Concéntrese en hacer esto para los riegos altos y medios.
  11. Desarrolle planes de contingencia. La contingencia es para reducir el impacto de un riesgo. ¡Ponemos manos en la obra!
  12. Analice la efectividad de cada plan. El hecho de que un riesgo previsto no se presente debido a la aplicación de un plan que lo elimina o controle es hablar de eficacia.
  13. Calcule el riesgo efectivo. Después de las estrategias de mitigación y los planes de contingencia, ahora sus riesgos deberían ser menores, en teoría.
  14. Ojo de águila con sus riesgos. Ahora que ya conoces sus riesgos, necesita determinar cómo sabrá que se materializarán, así que ya está preparado para poner las contingencias. Según avance tu programa de auditorías podrá ver si los riesgos se convierten en problemas, pero después de seguir estos pasos tendrás menos riesgos y mejores resultados.

Riesgo de Auditoría y Calidad de la Información Financiera

Los servicios de auditoría financiera externa tienen como finalidad certificar la calidad de la información financiera de las empresas clientes y/u organizaciones como indicador de eficacia en la prestación de servicios profesionales; en este sentido, el riesgo de auditoría constituye un factor que, de no ser abordado oportunamente, compromete directamente la oferta de servicio por parte de la empresa consultora, además del riesgo legal en el que incurren los contadores públicos y la firma al emitir un juicio desacertado sobre la razonabilidad de la información financiera.

El éxito y la estabilidad económica de las empresas depende, entre otros aspectos, de un óptimo manejo de la información financiera, de ahí la importancia que dicha información sea de calidad, tomando en cuenta que esta es la base para la toma de decisiones por parte del tren directivo. Ahora bien, es necesario reconocer que la credibilidad de la información financiera puede deberse a una auditoría bajo estándares de calidad, permitiéndoles protección a los inversionistas, accionistas y demás partes involucradas.

International Auditing and Assurance Standars Board (2020) define la auditoría financiera como aquella actividad que busca evaluar y mejorar los procesos contables, financieros y administrativos de una organización.

De acuerdo con lo anterior, las empresas consultoras que ofrecen estos servicios deben garantizar una estricta aplicación de las normas internacionales, esto con el ánimo de garantizar la efectividad en los procesos aplicados; en este sentido, se identifican cuatro momentos claves en el proceso auditor, a saber: en primer lugar, se tienen los acuerdos iniciales sobre el asunto a desarrollar; una vez los acuerdos estén establecidos, se procede al protocolo de planeación con los papeles de trabajo, las cédulas de auditorías y los responsables directos de la custodia, ejecución y resguardo de las actuaciones periciales en aras de generar un dictamen confiable sobre la reducción efectiva del riesgo de auditoría.

El Fraude y la Calidad de la Información Financiera

Entre las situaciones negativas que usualmente afectan la calidad de la información financiera, se encuentra el fraude, entendido como todo acto ilegal efectuado con el objetivo de engañar a una persona, empresa u organización a través de la falsificación de un hecho material, perpetrados por individuos u organizaciones que buscan obtener dinero o bienes materiales, generando con ello ventajas personales para quienes lo efectúan y resultados nocivos hacia el otro; esto es conocido en el campo empresarial como un fraude.

Lea también: Riesgo de Auditoría: Un Enfoque Práctico

En el mismo orden de ideas, se considera el fraude como un acto doloso ejecutado desde el área administrativa de la organización o gubernamental, empleados en general o terceros, produciendo una distorsión en la información de los estados financieros, manipulando los documentos respectivos, haciendo uso indebido de los recursos y la aplicación indebida de las normas y políticas de calidad organizacional.

Con respecto al riesgo de auditoría, se evidencian la causalidad entre dicho riesgo y las asimetrías de información entre gerentes y auditores, asociado a la complejidad en la información corporativa entre partes relacionadas; para ello, se referencian una serie de estudios sobre las manipulaciones de información entre empresas relacionadas, específicamente la existencia entre asimetrías de información y costos de agencia en conglomerados.

Frente a los niveles de las categorías de riesgo inherente, bajo, medio y alto, estas se establecerán en función de la presencia identificada de riesgo inherente, a partir del grado de las debilidades evidenciadas, por ejemplo, incumplimiento en los procesos de reconocimiento o complejidad contable. De igual manera, con respecto al riesgo de control, los niveles de riesgo aumentaran en la medida en que se identifiquen mayores deficiencias en los procesos de control.

De acuerdo con Aguilar Jara et al. (2019), toda auditoría puede estar expuesta a algún riesgo, reflejándose este al momento en el que el auditor dé una opinión inapropiada cuando la información financiera, contable o administrativa contenga una incorrección material, como consecuencia de no haber detectado faltas o errores significativos que puedan modificar en su totalidad la opinión del informe respectivo.

Con base en lo anterior, los auditores deberán realizar la evaluación del riesgo que se presente y de esa manera poder planificar sus pruebas de auditoría, dando respuesta al riesgo valorado y trasladar sus conclusiones al informe final, en el que se deben establecer algunas medidas de control interno.

Lea también: Riesgos de auditoría explicados

El Papel de las Auditorías en la Gestión de la Información

Vega García (2006) revisa el papel de las auditorías en las organizaciones como una herramienta que facilita el «descubrimiento, monitoreo y evaluación de los recursos de información» (p. 3); el autor recalca la importancia de la información, considerándola como un recurso muy valioso al interior de las organizaciones, en la medida en que permite reducir la incertidumbre sobre el futuro, y por ser determinante en la toma de decisiones y la modificación de estas.

Según Martín Granados y Mancilla Rendón (2010), la información financiera será confiable en la medida en que puedan dar cuenta de las operaciones que lleva a cabo la empresa, tanto internamente en la operación y administración de sus recursos, así como en las operaciones con actores externos.

Gestión de Riesgos de Auditoría: Transformando Riesgos en Oportunidades

En el mundo corporativo, las auditorías suelen causar nerviosismo. Pero cuando una empresa adopta un enfoque proactivo y estratégico, la auditoría se transforma de un “riesgo” en una oportunidad de mejora. Ahí es donde entra la gestión de riesgos de auditoría. Gestionar estos riesgos no significa evitarlos, sino identificarlos, evaluarlos y tomar medidas concretas para mitigar su impacto.

La gestión de riesgos de auditoría es un proceso que busca anticipar, controlar y reducir los efectos negativos que pueden surgir durante una auditoría financiera, fiscal, operativa o de cumplimiento.

Implica:

  • Detectar áreas vulnerables o de alto riesgo dentro de la organización.
  • Evaluar la probabilidad e impacto de esos riesgos.
  • Diseñar y aplicar controles preventivos.
  • Documentar todo de manera que resista el escrutinio de la autoridad o del auditor externo.

Este enfoque no solo minimiza sanciones o ajustes fiscales, sino que mejora la transparencia y el control interno de la empresa, fortaleciendo su posición ante socios, inversionistas o autoridades.

Tipos de Auditorías y sus Riesgos Asociados

No todas las auditorías tienen el mismo alcance ni propósito. Identificar el tipo de auditoría ayuda a determinar los riesgos asociados. Los más comunes son:

  • Auditoría interna: Realizada por el propio equipo de control interno; busca mejorar procesos y detectar irregularidades.
  • Auditoría externa: Encargada a firmas independientes; evalúa la veracidad de los estados financieros.
  • Auditoría fiscal: Realizada por autoridades como el SAT para verificar el cumplimiento tributario.
  • Auditoría de cumplimiento: Evalúa si la empresa cumple con normas legales, laborales, ambientales, entre otras.

Cada una implica riesgos distintos: desde errores contables y omisiones fiscales, hasta incumplimientos contractuales o fraudes internos.

Riesgos Comunes Durante una Auditoría

Entre los riesgos más comunes que pueden afectar el resultado de una auditoría destacan:

  • Errores en registros contables
  • Falta de documentación de respaldo
  • Pagos indebidos o deducciones no justificadas
  • Declaraciones fiscales inconsistentes
  • Controles internos deficientes
  • Uso indebido de estímulos fiscales

Estos errores pueden derivar en multas, ajustes fiscales o, en casos graves, procesos penales. Para evitarlos, muchas empresas aplican estrategias fiscales bien estructuradas, que contemplan desde deducciones autorizadas hasta reorganizaciones legales.

Identificación de Áreas de Riesgo Antes de una Auditoría

La prevención es la mejor herramienta. Algunas acciones clave para detectar riesgos antes de una auditoría son:

  • Revisión de estados financieros por parte de asesores externos.
  • Evaluación de políticas contables y fiscales.
  • Conciliación de declaraciones ante el SAT con la contabilidad interna.
  • Verificación de documentación soporte (facturas, contratos, pólizas).
  • Evaluación de controles internos mediante simulacros o auditorías internas.

Medidas para Reducir el Impacto de una Auditoría

Una vez que se identifican los riesgos, se deben implementar controles y buenas prácticas que reduzcan su impacto. Algunas de las más eficaces son:

  • Capacitar al personal contable y fiscal en normatividad actualizada.
  • Documentar adecuadamente cada operación, especialmente las no recurrentes.
  • Usar software de gestión contable y fiscal con registros electrónicos confiables.
  • Contratar auditorías preventivas para simular escenarios reales.
  • Fortalecer la gobernanza corporativa, especialmente en empresas familiares o medianas.

Acciones Durante el Proceso de Auditoría

Si la auditoría ya comenzó, lo más importante es mantener la transparencia y colaboración, sin caer en improvisaciones ni ocultamientos. Estas recomendaciones pueden ayudarte:

  • Atiende los requerimientos en tiempo y forma.
  • Entrega documentación ordenada y completa.
  • Canaliza la comunicación a través de un representante o asesor fiscal.
  • Si surgen diferencias, solicita aclaraciones o inicia un procedimiento de defensa ordenado.

Beneficios de una Buena Gestión de Riesgos de Auditoría

Aunque pueda parecer contradictorio, las empresas que se preparan para una auditoría obtienen más ventajas que complicaciones. Entre los principales beneficios están:

  • Mayor transparencia y confianza ante terceros
  • Reducción de contingencias fiscales
  • Mejor reputación corporativa
  • Procesos contables más sólidos
  • Mejor acceso a financiamiento o inversión

Matriz de Riesgos: Evaluación y Priorización

La matriz de riesgos analiza los riesgos del proyecto en función de su probabilidad y gravedad. Una vez que identifiques los riesgos, podrás calcular el impacto general y otorgarle a cada riesgo la prioridad que le corresponda. La matriz de riesgos te permite analizar el riesgo al definir cada evento como de impacto alto, medio o bajo en una escala del 1 al 25.

Tipos de Riesgos

Como parte del proceso, deberás realizar una lluvia de ideas para generar una lista de riesgos que luego incluirás en tu matriz de riesgos. Es probable que los riesgos a los que te enfrentes se clasifiquen en las siguientes categorías:

  • Riesgo estratégico: los riesgos estratégicos implican errores de rendimiento o de decisión, como elegir un proveedor o software incorrecto para el proyecto.
  • Riesgo operativo: los riesgos operativos son errores de proceso o de procedimiento, como una mala planificación o la falta de comunicación entre los equipos.
  • Riesgo financiero: puede involucrar varios eventos que causen una pérdida de ganancias para la empresa, como los cambios en el mercado, las demandas judiciales o los competidores.
  • Riesgo técnico: puede incluir cualquier aspecto relacionado con la tecnología de la empresa, como una violación de la seguridad, un corte de energía, la interrupción del servicio de Internet o daños a la propiedad.
  • Riesgo externo: los riesgos externos están fuera de tu control, como las inundaciones, los incendios, los desastres naturales o las pandemias.

Creación de una Plantilla de Matriz de Riesgos

Al momento de crear la plantilla de matriz de riesgos, primero deberás identificar tu escala de gravedad, que colocarás en las columnas de tu matriz. La escala de gravedad mide qué tan graves serán las consecuencias de cada riesgo. La escala de probabilidad identifica que tan probable es que ocurra cada riesgo.

  • Muy probable (5): Puedes estar bastante seguro de que este riesgo ocurrirá en algún momento.
  • Probable (4): Existe una gran probabilidad de que este riesgo ocurra.
  • Posible (3): Este riesgo podría ocurrir o no.

El impacto del riesgo está codificado por color de verde a rojo y clasificado en una escala de 1 a 25.

  • Bajo (1-6): Es probable que los eventos de bajo riesgo no sucedan y, si suceden, no tendrán consecuencias significativas para tu proyecto o empresa. Puedes etiquetarlos como de baja prioridad en tu plan de gestión de riesgos.
  • Medio (7-12): Los eventos de riesgo medio son una molestia y pueden causar contratiempos en el proyecto, pero si tomas las medidas correspondientes para prevenir y mitigar estos riesgos durante la planificación del proyecto, estarás allanando el camino hacia el éxito del proyecto. No debes ignorar estos riesgos, pero tampoco es necesario que sean tu principal prioridad.
  • Alto (13-25): Si no los tienes en cuenta durante la planificación del proyecto, los eventos de alto riesgo pueden hacer que tu proyecto descarrile. Dado que es probable que estos riesgos ocurran y tengan consecuencias graves, son lo más importante en tu plan de gestión de riesgos.

Uso de la Matriz de Riesgos

  1. Identifica los riesgos del proyecto. Necesitarás una lista de riesgos potenciales para hacer uso de tu matriz de riesgos. En este paso, determinarás qué riesgos pueden afectar el proyecto específico en el que estás trabajando.
  2. Determina la gravedad de los riesgos. Ahora que tienes una lista de riesgos del proyecto, clasifícalos utilizando los criterios de la matriz. Empieza con la escala de gravedad y revisa cada riesgo que hayas incluido en tu lista.
  3. Identifica la probabilidad de que los riesgos ocurran. Una vez que hayas definido la gravedad de cada riesgo, habrás completado la mitad de la ecuación de análisis de riesgos. Luego, identifica la probabilidad de cada riesgo.
  4. Calcula el impacto de los riesgos. La última parte de la ecuación de análisis de riesgos es calcular el impacto del riesgo. La ecuación que usarás es la siguiente:

    Probabilidad x gravedad = impacto del riesgo

    Coloca cada riesgo en tu matriz en función de su probabilidad y gravedad, luego multiplica los números de la fila y la columna en donde se ubique para obtener el nivel de impacto del riesgo.

  5. Prioriza los riesgos y actúa en consecuencia. A esta altura deberías tener un nivel de impacto de riesgo en una escala de 1 a 25 para cada riesgo que hayas identificado. Con estos valores numéricos, es más fácil determinar qué riesgos son de máxima prioridad. Tu plan de respuesta al riesgo debe incluir pasos para prevenir el riesgo y formas de mitigarlo si ocurren eventos desafortunados.

Ejemplo de Matriz de Riesgos

Aquí se muestra un ejemplo de una plantilla de matriz de riesgos de cinco por cinco:

Probabilidad 1 (Muy Bajo) 2 (Bajo) 3 (Medio) 4 (Alto) 5 (Muy Alto)
5 (Muy Alto) 5 10 15 20 25
4 (Alto) 4 8 12 16 20
3 (Medio) 3 6 9 12 15
2 (Bajo) 2 4 6 8 10
1 (Muy Bajo) 1 2 3 4 5

tags: #riesgo #alto #medio #y #bajo #en