Realidad Profesional | Revista del Consejo Profesional de Ciencias Económicas de la Provincia de Buenos Aires y su Caja de Seguridad Social
La Dra. Diana Albanese, Contadora Pública y Magister en Administración, Directora de la Especialización en Contabilidad Superior, Control y Auditoria de la Universidad Nacional del Sur, analiza los desafíos para los auditores derivados del avance de las nuevas Tecnologías de la Información (TI). El artículo aborda la auditoría basada en riesgos, y el desarrollo tecnológico y los nuevos riesgos para el auditor.
Durante las últimas décadas el concepto de riesgo ha tomado mucha relevancia en la gestión de las organizaciones. Se dice que es toda la posibilidad de que ocurra un evento que tenga impacto negativo sobre el logro de los objetivos; es decir, es el efecto de la incertidumbre en la consecución de los mismos (Norma ISO 31000:2009). El Dr. Casal (2010) manifiesta que el riesgo es la exposición a las consecuencias de la incertidumbre, a variaciones respecto de lo planeado o esperado, pudiendo resultar tanto una pérdida como un beneficio.
Ello ha tenido impacto a nivel mundial en el desarrollo de una disciplina denominada administración de riesgos, que permite a las organizaciones enfrentar estos eventos y gestionarlos de manera estructurada.
La relevancia que tiene la gestión de riesgos en la vida de un ente en general y en el sistema de control interno en particular ha llevado a una evolución del modelo de la auditoría de estados financieros hacia el enfoque de auditoría basada en riesgos. Este modelo y sus particularidades en un contexto donde se presenta una permanente evolución de la tecnología es el foco del presente trabajo.
Las mejores prácticas de auditoría siempre tuvieron en cuenta la valoración de los riesgos en las diferentes etapas del encargo. No obstante su concepción fue evolucionando, pasando de la consideración del riesgo combinado inherente y de control y el riesgo de detección -componentes del riesgo de auditoría- a incorporar un análisis estratégico en el modelo de auditoría basada en riesgos. Se trata de un enfoque holístico que comprende una profundización en la consideración de riesgos relevantes que incluye los riesgos del negocio y de procesos, así como una mayor atención a los riesgos de fraude.
Riesgo del negocio es la probabilidad de que un evento o acción afecte en forma adversa la capacidad de la organización para lograr los objetivos planificados o desarrollar sus estrategias en forma favorable. Dicho riesgo puede tener distintas fuentes: ambiente externo de la organización (que pueden provenir del micro o macro entorno tales como proveedores, clientes, mercados, estado, tecnología, etc.); ambiente de la industria de la organización (el entorno competitivo, los factores que influyen en un tipo de negocio determinado; el grupo de empresas que producen productos o servicios sustitutos entre sí) y/o ambiente interno (sistemas tecnológicos, personal, estructura organizacional, etc.).
En el enfoque basado en riesgos el auditor debe entender la ventaja competitiva del cliente -sus nichos, situación frente a sus competidores, planes para crear valor- y conocer los riesgos que amenazan el logro de los objetivos del negocio. Asimismo, debe conocer si el cliente tiene implementado un proceso de administración de riesgos y su efectividad.
Una vez evaluados los riesgos del negocio, el auditor debe analizar los riesgos de procesos. Para ello necesitará comprender los procesos clave; identificar los eventos que los amenazan y la efectividad de los controles para minimizarlos. En todos los casos, el entendimiento de los procesos es parte fundamental de la comprensión del riesgo del negocio.
Otro aspecto del modelo de auditoría basada en riesgos es lograr una perspectiva de riesgo centrada en el riesgo de fraude -riesgo de que los estados contables sean deliberadamente falseados-. Es considerado un objetivo central para los auditores, tanto en la auditoría de control interno como en la de estados financieros. Algunos de los factores asociados que el auditor deberá tener en cuenta pueden ser los siguientes:
· Posibilidad de que los administradores influyan sobre el control interno y el proceso contable.
· Naturaleza y complejidad del ente y sus operaciones, su situación financiera y su rentabilidad.
· Contexto económico y legal de la industria en la cual se desenvuelve el emisor.
Frente a indicios de situaciones fraudulentas es de suma importancia que el auditor pueda mantener un estado mental adecuado a lo largo de toda la auditoría (escepticismo) y preste especial atención a situaciones que configuren alertas o señales de irregularidades. Deberá diseñar un programa de auditoría con un enfoque sustantivo incluyendo pruebas directas sobre saldos a fecha de cierre de ejercicio y aumentar el tamaño de muestras.
La Norma Internacional de Auditoría Número 240 (NIA 240) establece que el auditor deberá evaluar si la información obtenida por medio de otros procedimientos de análisis de riesgos indica que existe uno o más factores de riesgo de fraude. La misma norma trata la “identificación y análisis del riesgo de distorsiones significativas debido al fraude” y “respuestas ante los riesgos de distorsiones significativas debido al fraude”.
Habiendo planteado este enfoque de conducir las auditorías basadas en riesgos, cabe mencionar el impacto que tiene el avance vertiginoso y permanente de la tecnología de información (TI). Su inserción en la vida de las organizaciones, privadas o públicas, con o sin fines de lucro, presenta riesgos que afectan al negocio, a los procesos y la posibilidad de fraudes, a veces denominados de guante blanco, generando un reto adicional para el auditor de estados financieros.
Las empresas enfrentan un nuevo factor de riesgo que hace a la competitividad en todos los productos y servicios derivados del desarrollo tecnológico. Los directivos deben entender la importancia estratégica de la TI y el nuevo modelo de negocios a desarrollar.
A modo de ejemplo se puede mencionar el desafío que se plantea en esta nueva dinámica de negocios en relación al conocimiento del cliente, que en algunos casos cambiaron de un modo presencial a uno de interacción digital. Conocer al cliente, verificar y comprobar su identidad es un tema clave para el auditor. Ciertas actividades tales como la financiera, compra y venta de divisas, compra y venta de inmuebles presenta un riesgo inherente mayor vinculado con del delito financiero y lavado de activos
Por otra parte, la transformación tecnológica obliga a repensar los procesos, ya sean ventas, compras, tesorería, estrategias de comercialización, entre otros, sin dejar de tener en cuenta las nuevas capacidades que se requieren para ejecutarlos.
En cuanto al riesgo de fraude, una mayor sofisticación de la TI en principio aumentaría el riesgo de su uso con fines delictivos siendo claves las políticas y acciones del gobierno societario para prevenir y detectar los ilícitos. Herramientas como monitoreo de amenazas, procesamiento analítico de datos, evaluación continua de la seguridad informática deben ser incorporados por las organizaciones.
Este contexto presenta un desafío importante para los auditores al preparar su estrategia y plan de Auditoria teniendo en cuenta las respuestas a los riesgos generados por la TI, entre otros. Obviamente que el reto será diferente si se habla de una gran empresa o una PYME.
La planificación de una auditoría basada en riesgos para una gran empresa seguramente estará a cargo de un equipo multidisciplinario donde el especialista en TI tendrá un rol relevante. Será necesario considerar estándares tales como Control Objetives for Information and related Technology (COBIT), modelo de referencia que describe 37 procesos relacionados con TI y que pueden ser comunes a todas las organizaciones; ISO 31000:2009, conjunto de normas que brinda principios y directrices para la gestión de riesgos; el Informe Nº 15 de la FACPCE-Área Auditoria; entre otros, para desarrollar auditorias en estos entornos cada vez más complejos.
En un encargo de auditoría de estados financieros de una PYME, en cambio, el contexto seguramente será diferente ya que cada organización define la estrategia acorde a sus necesidades y posibilidad de inversión. No obstante, no escapa a los riesgos derivados de la TI, ya que deberá considerar las relaciones con proveedores, clientes, organismos de control, entre otros; que cuenten con recursos tecnológicos más o menos avanzados. En este caso el contador deberá tener saberes y capacidades que le permitan evaluar los riesgos derivados de las nuevas tecnologías.
Si bien el objetivo y el proceso de auditoría es el mismo, no hay duda de que las realidades que debe enfrentar el profesional están sujetas a cambios vertiginosos, obligándolo a adquirir las competencias necesarias para evaluar los riesgos tecnológicos que afectan a las organizaciones y que pueden impactar en la opinión que brinde sobre la razonabilidad de los estados contables y sus afirmaciones.
Los contenidos que se publican son de exclusiva responsabilidad de sus autores y no expresan necesariamente el pensamiento de los editores.