La auditoría basada en riesgos considera la planeación y el desarrollo en los puntos críticos, en otros

términos, en los de mayor impacto negativo al cumplir objetivos.

La necesidad de gestionar los riesgos ha sido reconocida como parte esencial de las prácticas de un
buen gobierno corporativo. Esto ha sometido a las organizaciones a una creciente presión para identificar
los riesgos asociados a su negocio y explicar cómo gestionarlos. De hecho, las actividades relacionadas
con la administración de riesgos han sido consideradas como críticas, por lo que se les ha asignado un
papel fundamental en el desarrollo de un sistema de control interno adecuado.
Un riesgo se define como un evento que puede afectar la marcha del proyecto o un negocio en el futuro,
de manera que está asociado a cualquier actividad que se realice, y que plantee la posibilidad de decidir
entre varias opciones. Si bien la gestión de riesgos es un proceso que debe implementar la propia
organización, la creciente importancia que se le ha dado implica un reto para la profesión del auditor,
pues es precisamente la auditoría la que debe agregar valor a sus clientes a través de la revisión que
permita asegurar que los riesgos están siendo administrados. En este contexto, en el cual nadie puede
soslayar la relevancia de la problemática para la comunidad de negocios, ha surgido una tendencia
claramente definida hacia el uso de los conceptos de risk management en las tareas de auditoría. En los
últimos años se ha venido utilizando un nuevo concepto relacionado con la profesión contable: la
auditoría basada en riesgos. Esta nueva especialidad representa un conocimiento estructurado, desde
una perspectiva estratégica de sistemas, que combina la determinación y valoración de los riesgos del
negocio con la evaluación de los controles que mitigan, trasladan o eliminan esos riesgos, asentando un
enfoque de juicio profesional sustentado en metodologías, evidencias y encadenamientos lógicos.
La auditoría basada en riesgos es una forma de conducir las auditorías internas y externas de diferentes
tipos, a partir de la planeación y desarrollo en los riesgos críticos, es decir, los que pudieran causar mayor
impacto negativo en la obtención de objetivos de la organización (estratégicos, operacionales, de
información y de cumplimiento) con el fin de identificar si las operaciones y los productos o servicios se
ajustan a lo establecido en las reglas del negocio, las buenas y mejores prácticas de control interno y
seguridad, y a las normas legales aplicables.
AUDITORÍA INTERNA
Es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y
mejorar las operaciones de una organización. Este tipo de auditoría promueve el cumplimiento de
objetivos y contribuye, con un enfoque sistemático y disciplinado, en la evaluación y mejora de la eficacia
de los procedimientos de gestión de riesgos, control y gobierno.
La auditoría interna basada en riesgos se enfoca en evaluar y verificar que los procesos o sistemas
auditados satisfagan objetivos y necesidades de una organización de forma eficaz, eficiente y segura, con
énfasis en el hecho de que activos y recursos utilizados en las operaciones del negocio estén provistos
de controles para reducir los riesgos inherentes a niveles aceptables de riesgo residual.
En la era de la información, donde las transacciones dependen cada vez más de herramientas
tecnológicas, las auditorías internas basadas en riesgos se estructuran con el fin de satisfacer dos
grandes propósitos: el primero, evaluar la efectividad del control interno en los procesos del modelo de
operación de una organización, los procesos de tecnología de la información y las aplicaciones
informáticas sobre las que se opera el negocio para ayudar a determinar la capacidad de los controles
establecidos que reduzcan los riesgos potenciales críticos a niveles aceptables de riesgo residual; el
segundo, verificar el cumplimiento de los controles para los riesgos críticos a fin de determinar si
presentan un nivel de efectividad apropiada, y comprobar que la información no resulte afectada.
AUDITORÍA EXTERNA
De estados financieros consiste en que un revisor independiente determine si, de manera razonable, la
información contenida en los estados contables refleja la realidad de la organización. En relación con este
tipo de auditorías, el riesgo principal para un auditor es que haya afirmaciones erróneas en los estados
financieros, que puedan afectar de manera material su contenido.
Específicamente, el auditor se enfrenta a tres tipos de riesgos al desarrollar una auditoría externa de
estados financieros:

 Riesgo inherente. Está relacionado de manera directa con la actividad económica de la empresa,

independientemente de los sistemas de control interno.
 Riesgo de control. Para el que influyen los sistemas de control interno implementados en la
empresa, los cuales podrían resultar insuficientes o inadecuados para la aplicación y detección
oportuna de irregularidades.
 Riesgo de detección. Está directamente asociado con los procedimientos sobre auditoría. Se trata
de la no detección de errores en el proceso realizado. Una auditoría externa basada en riesgos se
enfoca justamente en evaluar los riesgos del negocio para comprender en qué aspecto de las
actividades de una organización existe una mayor exposición a que se produzca información
financiera errónea. La auditoría externa basada en riesgos focaliza los esfuerzos del auditor en
evaluar rubros, transacciones, saldos u operaciones relevantes, dando menos atención a las de un
nivel inferior.

Para comprender de manera adecuada lo antes expuesto, cabe recordar que los riesgos del negocio
resultan de eventos, circunstancias, acciones o inacciones que podrían afectar de manera adversa la
capacidad de la entidad para lograr sus metas y ejecutar estrategias. Desde el punto de vista de la
auditoría de los estados financieros, el entendimiento profundo de los riesgos del negocio incrementa la
posibilidad de identificar riesgos de declaración material errónea. En otras palabras, contribuye a que el
auditor efectúe tareas tendientes a mitigar el riesgo de no detección eficaz y eficientemente.
Es importante destacar ahora la relevancia que conlleva para el auditor el conocimiento que debe tener
del negocio de su cliente, así como del ambiente en que este opera. Según el Modelo COSO de control
interno, el pilar del marco integrado es precisamente ese ambiente de control.
Un adecuado conocimiento del negocio permitirá al auditor enfocarse en los riesgos apropiados, que son
precisamente los que tienen un impacto significativo. En tal sentido, y de acuerdo con la Norma
Internacional de Auditoría (NIA) 315, un riesgo significativo es aquel, cuya importancia requiere una
consideración especial del auditor, en virtud de la valoración de su incorrección material. En otras
palabras, lo significativo del riesgo se halla directamente relacionado con el concepto de materialidad. La
identificación de los riesgos significativos, entonces, requiere del profundo conocimiento del negocio del
cliente. No es posible que un auditor identifique, primero, y valore, después, un riesgo significativo si no
conoce el negocio. Práctica habitual en la profesión es que un mismo auditor realice sus tareas para
clientes que operan en diferentes sectores o industrias. Un enfoque basado en riesgos no debería admitir
la aplicación de tal práctica, debido a lo complejo que resultaría para el auditor comprender los riesgos
significativos de rubros diferentes (por ejemplo, una empresa de consumo masivo y una entidad del
sector público poseen características totalmente distintas).
¿CÓMO SE APLICA EN LA PRÁCTICA?
Tanto para el desarrollo de la auditoría externa como para el de la interna, la auditoría basada en riesgos
sigue un proceso similar. Inicialmente requiere identificar los riesgos existentes, sin tomar en cuenta su
magnitud o lo significativo que sean. Ello posibilitará la consideración de un espectro amplio de eventos,
los cuales serán evaluados para determinar su tratamiento.
En segunda instancia, es necesario analizar la importancia de los riesgos A tal efecto, para cada riesgo
identificado en la etapa inicial, el auditor debe tomar en cuenta su probabilidad e impacto, una parte clave
del proceso de significativos. Luego, el auditor deberá establecer las respuestas al riesgo a desarrollar.
Para la auditoría externa de estados financieros, tales respuestas al riesgo están claramente definidas en
la NIA 330. Si bien los preceptos indicados en dicha norma son parcialmente aplicables a las auditorías
de procesos o internas, es importante que el auditor pueda identificar qué procedimientos llevar a cabo a
fin de administrar los riesgos evaluados. Las pruebas sustantivas son claros ejemplos de medidas de
respuesta al riesgo por parte de los auditores. No obstante, y esto debe enfatizarse, no es la única
respuesta posible. La teoría afirma que el riesgo jamás puede eliminarse, sino que se pueden aplicar
respuestas tendientes a mitigar, evitar, aceptar y transferirlo.
En particular, la NIA 330 advierte que el auditor de estados financieros debe diseñar y aplicar
procedimientos de auditoría, cuya naturaleza, momento de la realización y extensión (alcance) deben
estar basados en los riesgos valorados de incorrección material (errores) en las afirmaciones sobre los
estados financieros, y que respondan a tales riesgos. Tales respuestas al riesgo, clasificadas, según lo
estipulado sobre las acciones que se toman para mitigar, evitar, aceptar o transferir el riesgo, suelen
diferenciarse entre procedimientos sustantivos (pruebas de detalle y sustantivas) y pruebas de controles.
Una combinación de ambas, de acuerdo con la metodología de auditoría que se defina e implemente,
podrá contribuir de manera adecuada a enfocarse en los riesgos significativos identificados en el curso de
la auditoría.
Para cada riesgo identificado en la etapa inicial, el auditor debe considerar probabilidad e impacto. Luego,
establecerá las respuestas a desarrollar”.
CONCLUSIONES
La auditoría basada en riesgos permite fortalecer el desarrollo de la práctica, proporcionando a los
profesionales una herramienta moderna para centrar los esfuerzos en aquellos aspectos realmente
relevantes. De alguna manera, este tipo de auditoría plantea un nuevo paradigma: si el auditor dirige su
atención solo a las transacciones, actividades o saldos con importancia crítica, podrá efectuar pruebas
selectivas y procedimientos precisos, dirigidos a aspectos específicos que sumen valor a su trabajo y
cliente.
Sin lugar a dudas, en esta época en la que la tecnología se encuentra al servicio de la comunidad, las
herramientas informáticas ayudan a que los auditores puedan desempeñar sus tareas de un modo más
eficiente, desde automatizar el análisis de bases de datos hasta cruzar información relevante para
presentar los datos de forma apropiada. El análisis de los resultados derivados de la aplicación de la
auditoría basada en riesgos contribuye a que el auditor desarrolle un trabajo de calidad y sea un buen
apoyo para que su cliente, el auditado, tome decisiones de un modo más apropiado y preciso.