En todas las clases de organizaciones, independientemente de su naturaleza, están expuestas a variados y cambiantes riesgos. Cada día, las organizaciones enfrentan desafíos más complejos y de mayor envergadura, con efectos potenciales más profundos. En una época en la que los avances tecnológicos imponen cambios radicales, la economía mundial se vuelve cada vez más intrincada, los clientes demandan más y la competencia es intensa y despiadada, un fallo en los controles puede tener un impacto visible en las organizaciones y, en muchos casos, la dirección de nuestros clientes no está debidamente preparada.
Es bien conocido que no se puede eliminar por completo ningún riesgo, y esto es aplicable a los riesgos inherentes a la actividad comercial. La dirección debe determinar el nivel de riesgo aceptable y establecer un marco de control para mantenerlo dentro de límites apropiados. En lo que respecta a la gestión del riesgo, el punto crucial es lograr un equilibrio efectivo entre el riesgo y el control. En la búsqueda de satisfacer las expectativas de los accionistas, las empresas deben asumir cierto nivel de riesgo. Comprender el riesgo que la organización está dispuesta a afrontar permite alcanzar un equilibrio entre el riesgo y el control. Esto se logra al confrontar y articular las expectativas de retorno de los accionistas junto con un sistema de control adecuado.
Para los auditores independientes, la gestión de riesgos de los clientes es crucial debido a su influencia en la evaluación de los riesgos empresariales por parte del equipo auditor. Las deficiencias en la gestión de riesgos pueden tener un impacto significativo en la dirección que toma la auditoría.
El proceso de identificar riesgos estratégicos significativos implica las siguientes etapas:
- Identificar los riesgos estratégicos.
- Evaluar el entorno de control.
- Considerar las implicaciones del Análisis Estratégico en la auditoría.
Una vez que se comprende a fondo la industria del cliente, sus objetivos comerciales y las estrategias para alcanzarlos, el siguiente paso consiste en sintetizar este conocimiento para identificar los riesgos estratégicos del cliente.
1. Identificar los riesgos estratégicos:
Fuentes de riesgos estratégicos:
Algunos de los factores que contribuyen a la identificación de riesgos estratégicos relevantes incluyen:
- Cambios en el mercado o en la industria.
- Cambios en el entorno operativo.
- Fusiones, adquisiciones y otras transacciones competitivas relevantes.
- Novedades en el ámbito de recursos humanos, como personal nuevo.
- Nuevas líneas, productos o actividades.
- Reestructuraciones corporativas.
- Problemas financieros relacionados con flujo de efectivo o capital.
- Operaciones en el extranjero.
- Incidentes de tecnología de la información y fallas en equipos.
Estos son solo algunos ejemplos notables. Al discutir estrategias o riesgos estratégicos, puede ser útil emplear diversas estructuras para presentar las perspectivas del auditor.
Ciclo de vida del producto:
En 1985, el académico estadounidense Michael Porter publicó su influyente libro “Competitive Strategy” (Estrategia Competitiva), en el cual explica cómo evolucionan las estrategias, la competencia y los resultados a medida que las industrias y las empresas atraviesan los ciclos de vida de sus productos. Una estrategia competitiva comprende un conjunto de acciones agresivas o defensivas emprendidas para obtener una ventaja sobre la competencia. El objetivo de esta estrategia es consolidar la ventaja competitiva para que perdure con el tiempo.
2. Evaluar el entorno de control:
El entorno de control establece el tono de la entidad. Aunque no afecta directamente los resultados operativos, proporciona la disciplina y la base estructural para todos los componentes del control. Aspectos como la integridad y los valores éticos, el compromiso de los empleados, la actitud de la junta directiva, la estructura organizativa y las políticas de gestión de recursos humanos reflejan el entorno de control implementado en la organización. Por tanto, el entorno de control ejerce una influencia profunda en cómo un cliente establece sus objetivos y estructura sus actividades comerciales.
El Análisis Estratégico de Auditoría se desarrolla a partir de estos sólidos cimientos de control y del conocimiento de la estrategia del cliente obtenido por el equipo de atención al cliente. El éxito de este trabajo depende de comprender cómo todos los componentes del entorno de control se interrelacionan en la organización del cliente. Cada componente es crucial para la capacidad del cliente de gestionar el riesgo empresarial.
Importancia del entorno de control:
Para llevar a cabo una auditoría eficaz, es esencial comprender el entorno de control. Durante la evaluación preliminar, cuando el auditor examina la eficacia de los controles comerciales, determina la extensión de la evidencia de auditoría que se puede obtener mediante una evaluación detallada. Si la evaluación preliminar indica que los controles son ineficaces, el enfoque de la auditoría deberá ser más sustantivo, lo que implica un trabajo más extenso.
Uso de una estructura de control:
Esta práctica no implica realizar pruebas detalladas de controles, sino más bien adquirir un entendimiento general de las relaciones entre tres aspectos del control:
- Control estratégico.
- Control administrativo.
- Control de proceso.
Estos elementos del control interno se representan en la estructura de control de la organización. El propósito de esta estructura es resaltar qué actividades de control interno deben existir en diferentes niveles de la organización para establecer las bases de un control interno eficaz.
Controles estratégicos:
Los controles estratégicos abarcan un conjunto de actividades integradas en el proceso de gestión estratégica para comprender cómo afectan los factores externos e internos al negocio y su estrategia. Los controles estratégicos definen el panorama de riesgos y la perspectiva respecto al control. También alinean la organización con las estrategias correspondientes para asegurar el funcionamiento integral de la empresa como un todo.
Controles administrativos:
Los controles administrativos actúan como el puente entre los controles estratégicos (parte del proceso de gestión estratégica) y los controles de proceso (parte de otros procesos comerciales). Los controles administrativos abarcan más aspectos no documentados del control. Son actividades y factores que deben estar presentes en el sistema de
control en toda la organización, para que esta pueda identificar y evaluar riesgos y tomar medidas preventivas. Esto permite que la organización alcance sus objetivos comerciales y responda de manera oportuna ante ellos.
Controles de proceso:
Los controles de proceso son actividades de control realizadas a nivel de proceso. Normalmente, es responsabilidad de los dueños de cada proceso (o unidades funcionales) asegurarse de que estas actividades se implementen para cumplir sus objetivos.
En cada proceso de negocio crucial para la ejecución de las estrategias, los controles administrativos deben garantizar la selección de las personas adecuadas para su gestión y controlar sus riesgos. Mientras que la dirección debe guiar a estos responsables con objetivos claros y evaluar su desempeño en función de estos.
3. Considerar las implicaciones del Análisis Estratégico en la auditoría:
Tras abordar cuestiones relacionadas con las operaciones comerciales del cliente, como analizar la estrategia comercial para identificar objetivos estratégicos, determinar la posición de la dirección sobre los riesgos estratégicos que amenazan estos objetivos, y evaluar las respuestas de la dirección y el entorno de control implementado para mitigar los riesgos, esta información se utiliza para dirigir la ejecución del resto del trabajo de auditoría.
Papel del Análisis Estratégico:
Como se ha mencionado, las empresas establecen procesos para generar valor y mitigar los riesgos que enfrentan. En realidad, dado que la mayoría de los riesgos comerciales provienen de los propios procesos, esta es el área donde el cliente generalmente establece controles detallados.
En consecuencia, nuestros procedimientos de auditoría se centran en los procesos comerciales para obtener un conocimiento suficiente del riesgo que nos permita emitir una opinión de auditoría.