Como consecuencia de las transformaciones en los modelos de operación de los negocios impulsados por los avances de la tecnología de información, las normativas internacionales y nacionales que surgieron de experiencias corporativas no gratas (casos Enron, WorldCom, Parmalat y otros) y los nuevos modelos de control interno (COSO, ERM, COBIT, COCO), la auditoría de hoy enfrenta la necesidad de evolucionar de un enfoque de verificación de soporte de transacciones financieras y contables, efectuadas con posterioridad a los hechos económicos, a un enfoque preventivo y proactivo, basados en la valoración de los riesgos del negocio y la evaluación de la efectividad y eficiencia de los procedimientos y los controles internos establecidos en las organizaciones.
La auditoría basada en riesgos, requiere identificar los riesgos; evaluar el nivel de riesgo a que están expuestas las organizaciones en el manejo y administración de dichos riesgos que sirvan de apoyo al auditor identificando áreas críticas y a focalizar su examen cuando deba establecer las actividades a auditar, y permitir la construcción del Plan General de Auditoría del siguiente año.
La metodología para una auditoría basada en riesgos, comprende inicialmente conocer y entender integralmente a la organización auditada, incluyendo su propósito, ambiente de control interno, consulta de la información de la rendición de la cuenta e informes, información financiera, procesos, cuentas y transacciones representativas y sus riesgos asociados, permitiendo una definición adecuada del alcance y la estrategia que permita el cumplimiento de los objetivos definidos en el memorando de asignación de actividades para cada auditor.
Además, la metodología obliga a evaluar el sistema de control interno y/o mecanismos de control del auditado, a partir del diseño de preguntas orientadas a determinar la efectividad de controles existentes que permitan minimizar los riesgos y de esta forma enfocar la auditoría; comprender la complejidad del entorno de Tecnología de Información y Comunicaciones (TICs); identificar riesgos de corrupción y de fraude; identificar procesos, procedimientos, cuentas y transacciones representativas; determinar el nivel de importancia relativa; y evaluar si se debe usar el resultado del trabajo de otros auditores y/o otros especialistas
Igualmente, se debe contar con un conjunto de indicadores y aspectos que relacionan diferentes variables, mediante las cuales se pueden evaluar los niveles de riesgo a que están expuestas las organizaciones
- Profesor: Luis Antonio Cerda Cerda