De los riesgos de auditoría a los riesgos de negocio. El cambio de modelo

Revista Nº 12 Oct.-Dic. 2002

Samuel Alberto Mantilla Blanco 

(Colombia) 

Contador Público. Director Departamento de Ciencias Contables. 

Director Especialización en Revisoría Fiscal 

Pontificia Universidad Javeriana, Bogotá, Colombia 

Introducción

Este trabajo aborda una temática que está en evolución: cómo está cambiando el modelo básico de la auditoría. Desde uno entendido como riesgos de auditoría (inherente, de control, de detección), hacia otro completamente nuevo, alrededor de los riesgos de negocio, entendidos aquí como riesgos de independencia (autointerés, autorrevisión, abogamiento, familiaridad, e intimidación).

Ello se hace clarificando la transformación desde enfoques basados en reglas (legales, profesionales o técnicas) hacia enfoques basados-en-conceptos. De ahí la importancia creciente de las estructuras conceptuales.

Y también, se logra clarificando el escenario en el que ello se está dando: la administración de riesgos. Que también ha evolucionado desde soluciones aisladas (parciales; transaccionales) hacia soluciones holísticas (integrales; estratégicas). Y con un horizonte claro: la administración de riesgos del emprendimiento, de la cual se deriva el más importante de los desafíos, esto es, la correlación de los riesgos.

En consecuencia, el proceso de administración de riesgos actual, comprende los siguientes pasos: valoración, control, explotación, financiación y monitoreo. Con una amplia variedad de metodologías (manuales o computarizadas) que permiten que ello sea operacionalizable en el mundo de los negocios (con o sin ánimo de lucro).

Tiene entonces, el lector, un excelente trabajo para que lo disfrute y esté atento a los cambios acelerados que se vienen y pueda aprovecharlos en beneficio propio, de la profesión, del país y, sobre todo del interés público(1).

Administración de riesgos

La historia de la humanidad muestra una constante de la especie humana: su exposición continua a la desgracia y a la adversidad y los esfuerzos para enfrentar esos riesgos y lograr el bienestar personal y colectivo. En otras palabras, la lucha por la supervivencia y los anhelos por un futuro cada vez mejor.

Por eso inicialmente el riesgo se asoció con el peligro: las amenazas de la naturaleza (frío, calor, lluvia, terremotos, etc.), la domesticación de los animales (inicialmente salvajes) y los primeros grandes descubrimientos (agricultura, fuego, rueda, etc.).

Y como fruto de ello, prepararse, mediante el ahorro y las previsiones, para enfrentar el futuro (específicamente el derivado de las estaciones).

Si bien fue cierto que sobrevivir significó un triunfo no solo frente a la adversidad sino frente a la muerte, quedó aprendida la lección de que el riesgo nunca llega a ser cero, es cambiante, siempre exige un esfuerzo permanente, y, sobre todo, está asociado con el crecimiento y el bienestar.

Los negocios no han escapado de esa constante. Posiblemente el cambio principal haya sido en la actitud. Antes, una curiosa combinación entre riesgo y prudencia, y ahora, una decisión clara por enfrentarlos.

En la actualidad, riesgo es todo aquello (positivo y negativo, de origen interno o externo) que puede (probabilidad) afectar (impacto) el negocio.

Es en este último contexto, el de enfrentar los riesgos, en el que surge con propiedad la administración de riesgos, entendida como el conjunto de estrategias y herramientas para evitarlos, minimizarlos y, sobre todo, aprovecharlos.

Dado que nació en el seno de los negocios orientados-al-lucro, no extraña entonces que los esfuerzos principales siempre hayan girado alrededor de los riesgos financieros. Por eso, el análisis histórico constata que inicialmente la intención estuvo en analizar los riesgos de negocio, posteriormente se haya especializado tanto alrededor de los riesgos financieros y, ahora, se busque con afanes ‘regresar a las raíces’, esto es, desarrollar sistemas integrados que enfrenten ‘todos’ los riesgos de un negocio (organización, sistema).

De una manera muy resumida, puede señalarse que la administración de riesgos ha evolucionado así(2):

• Ayer:

— Seguros tradicionales (frente a daños/peligros: Hazard)

• Hoy:

— Administración de riesgos por disciplinas:

¨ Riesgos de auditoría

¨ Riesgos financieros

— Portafolio de modelos financieros:

¨ Riesgos de mercado

¨ Riesgos de crédito

¨ Riesgos operacionales

¨ Seguros

— Riesgos integrados:

¨ Fusión de soluciones financieras y soluciones frente a daños/peligros

• Tendencias principales:

— Administración de riesgos del emprendimiento

¨ Perspectivas integradas de riesgos de negocio: daños/peligros, financieros, estratégicos, operacionales

¨ Un entendimiento más comprensivo y analíticamente riguroso del impacto financiero de los riesgos

¨ Administración más activa de los riesgos

Se hace imperativo, entonces, entender el proceso que condujo a ello.

Historia de la moderna administración de riesgos

Existen diversas maneras de abordar y entender el proceso que dio origen a la administración de riesgos tal y como se le conoce hoy. Ello se debe a que es fruto de diversos esfuerzos, unos más exitosos que otros, originados en los 1950s.

Valga la pena analizar, inicialmente, el proceso académico.

Se reconoce que Rusell B. Gallagher fue quien primero propuso, y con audacia revolucionaria, la idea de que alguien en la organización debía ser responsable por administrar los riesgos ‘puros’ de la misma:

La intención de este artículo es subrayar los principios más importantes de un programa práctico [factible] de “administración del riesgo” para el cual se tiene que concebir, incluso en la extensión de colocarlo en cabeza de un ejecutivo, que en una compañía grande tiene que ser un “administrador de riesgos” de tiempo completo(3).

La audacia revolucionaria de Gallagher consistió en generar un nuevo direccionamiento a una práctica que no solo era ancestral sino que se había vuelto asunto común en los negocios, especialmente en los bancos: ‘correr riesgos es parte del negocio’. Tal nuevo direccionamiento buscó ‘administrar’ los riesgos señalando un ‘responsable’ por ello, lo cual condujo a buscar herramientas científicas y profesionales para la nueva tarea.

La propuesta completa de Russell B. Gallagher era generar una nueva fase en el control de los costos(4), dado que entonces las corporaciones muy grandes ya tenían en su planta de personal a uno denominado “administrador de seguros”, que estaba encargado de conseguir, mantener, y pagar un portafolio de pólizas de seguros obtenidas para beneficio de la compañía.

Esta propuesta fue rápidamente acogida especialmente por los administradores de seguros y por los administradores financieros(5), preocupados porque cada vez iba en aumento el elemento relacionado con los seguros dentro de los presupuestos de las grandes empresas. La transición desde la ‘administración de seguros’ hacia la ‘administración de riesgos’ fue, posiblemente, el hecho más notorio(6).

Desde entonces, las técnicas más conocidas de administración de riesgos provienen de las finanzas, implicando una ruptura con la administración científica. Por tal razón, surge como un enfoque científico para tratar el problema de enfrentar los riesgos a los que están expuestos los individuos y los negocios. Rápidamente fue asimilada luego por la administración de seguros, la cual se centró en la posibilidad de pérdidas accidentales de los activos e ingresos de la organización.

Pero debe tenerse presente que:

Si bien la administración de riesgos tiene sus raíces en la adquisición de seguros corporativos, constituye una distorsión decir que la administración de riesgos evolucionó naturalmente a partir de la adquisición de seguros corporativos. Actualmente, la emergencia de la administración de riesgos señala un cambio dramático, revolucionario, en la filosofía, ocurrido en el momento en que cambiaron las actitudes hacia los seguros. Para el administrador de seguros, los seguros siempre han sido el enfoque estándar para tratar los riesgos. Si bien la administración de seguros incluyó técnicas diferentes a los seguros (tales como el no-aseguramiento o retención y la prevención y control de pérdidas), esas técnicas siempre han sido consideradas principalmente como alternativas a los seguros. El administrador de seguros percibió a los seguros como la norma aceptada o el enfoque estándar para tratar los riesgos, y la retención fue vista como una excepción a este estándar(7).

El cambio se dio, entonces, desde los seguros (riesgos por daños/peligro) hacia las finanzas: una ampliación del enfoque. Ampliación no suficiente, dado que iba paralela a otros cambios: administración científica, con énfasis en el análisis costo-beneficio, valor esperado y, sobre todo, un enfoque científico para la toma de decisiones bajo incertidumbre. Los cambios posteriores (actuales) en la gestión de negocios serán los que presionarán nuevas transformaciones hacia la administración de riesgos del emprendimiento.

El desarrollo de la administración de riesgos estuvo acompañado por importantes avances en la disciplina académica respectiva, los cuales condujeron a cambios curriculares en las escuelas de negocio, lo cual llevó a que se introdujeran la administración de operaciones, la ciencia administrativa y, sobre todo, la teoría de las decisiones.

Las asociaciones profesionales también cambiaron rápidamente y se ajustaron a las nuevas circunstancias. Se resalta que la asociación de profesionales compradores de seguros cambió su nombre en 1975 por la de Risk and Insurance Management Society y empezó a publicar su revista Risk Management. Y la Insurance Division de la American Management Association empezó a publicar un amplio rango de reportes y estudios para ayudarle a los administradores de riesgos en su nuevo rol.

Pero los cambios también fueron presionados por la vía legal, sobre todo en Estados Unidos:

La regulación afecta fuertemente la actitud de las instituciones financieras hacia la toma de riesgos, y a menudo señala cómo deben alojar el riesgo. Alrededor del mundo, la industria bancaria está regulada en una variedad de formas, y a través de una multitud de cuerpos, leyes, y ordenanzas municipales...

La quiebra de 1929 y la crisis económica que le siguió condujeron a cambios importantes en la regulación bancaria en los Estados Unidos. Los reguladores se centraron en lo que hoy se conoce como “riesgo sistémico”, i.e., el riesgo de un colapso de la industria bancaria a nivel regional, nacional, o internacional. En particular, los reguladores estuvieron interesados en prevenir el “efecto dominó”: la posibilidad de que la falla de un banco pueda conducir a la falla en otro, y otro. Por medio de una serie de actos y leyes, el gobierno intentó incrementar la estabilidad del sistema bancario en orden a evitar esta y otros tipos de crisis económicas. Al mismo tiempo, el establecimiento aumentó la seguridad de los depósitos bancarios a través de la Federal Deposit Insurance Corporation (FDIC), creada en 1933. Un tercer conjunto de legislación definió el campo de juego de los bancos comerciales: crucialmente, no se les permitió comerciar en patrimonios netos [equity] ni en el otorgamiento de garantías para títulos valor. La famosa Glass-Steagall Act de 1933 separó efectivamente las actividades de la banca comercial y las de la banca de inversión(8).

Rápidamente creció la regulación bancaria en los Estados Unidos. En el ámbito internacional, se destaca la creación del International Monetary Found (IMF) y posteriormente los acuerdos de Basilea. La atención prestada a la administración de riesgos financieros fue cada vez mayor, y se dispuso tanto de las tecnologías computacionales como financieras para ello. El auge de los ‘nuevos instrumentos financieros’ la condujo a su punto mejor.

Por esa razón, se reconocen como ‘padres’ de la administración de riesgos a otros diferentes de Gallagher. A Robert Mehr y a Bob Hedges se les aclama dado que fueron más allá de los ‘riesgos puros’ (en los que hay o no pérdida) y tecnificaron el asunto a partir de nuevas clasificaciones, como la de ‘riesgos especulativos’, y la enumeración de los siguientes pasos para el proceso de administración de riesgos(9):

1. Identificación de las exposiciones a pérdidas.

2. Medición de las exposiciones a pérdidas.

3. Evaluación de los diferentes métodos para manejar el riesgo: afectación del riesgo, transferencia del riesgo, reducción del riesgo.

4. Selección de un modelo.

5. Monitoreo de los resultados.

Esta discusión ha conducido a que se hable de ‘administración de riesgos tradicional’ (la de Gallagher, centrada en los riesgos puros; muy vinculada a los seguros) y ‘administración de riesgos moderna’ (la de Mehr y Hedges, que enfatiza los otros riesgos; estrechamente relacionada con las finanzas bancarias). Las distintas definiciones apuntan a ello.

De esta manera, Vaugham la enuncia diciendo que:

Administración de riesgos es un enfoque científico para tratar los riesgos puros mediante la anticipación de las posibles pérdidas accidentales y el diseño e implementación de los procedimientos que minimizan la ocurrencia de pérdidas o el impacto financiero de las pérdidas de que ello ocurran(10).

Mientras que Crouhy, Galai y Mark la centran casi exclusivamente en los bancos, si bien admiten que se puede extender a las corporaciones no-financieras:

Las técnicas de administración de riesgos fueron desarrolladas primero por, y para, los bancos, y ahora están siendo adoptadas por firmas tales como compañías de seguros, fondos de cobertura, y corporaciones industriales. Además, existe una cantidad de presiones provenientes de reguladores tales como la SEC (Securities and Exchange Commission) en los Estados Unidos, y de los stakeholders, por más y mejor revelación de las exposiciones a los riesgos financieros.

El principal propósito de los sistemas de administración de riesgos para las instituciones no-financieras es identificar los factores del riesgo de mercado que afectan la volatilidad de sus ganancias, y para medir el efecto combinado de esos factores. Los problemas de riesgos enfrentados por las corporaciones son diferentes de aquellos que enfrentan las instituciones financieras. Éstas generalmente miran el riesgo durante un período de tiempo largo, y tienen que mirar cómo combinar los efectos de las exposiciones subyacentes a sus negocios con los de cualesquiera coberturas financieras que tengan que poner a operar. Se tienen que considerar los efectos de los riesgos sobre la planeación y la presupuestación, en oposición a las necesidades del comerciante de considerar las ganancias y las pérdidas(11).

Pero la historia de la administración de riesgos también está ligada con la de las matemáticas para su análisis:

En la época en la que surgió por vez primera la administración de riesgos, las tasas de interés eran estables, las tasas de cambio eran intencionalmente mantenidas dentro de bandas estrechas y la inflación todavía no le interesaba a la mayoría de las corporaciones. Por lo tanto, los riesgos financieros no constituyeron un problema principal para la mayoría de los negocios. Además, el campo de las finanzas era primariamente institucional. Si bien Markowitz había propuesto la teoría del portafolio, el modelo de fijación de precios de los activos de capital todavía no había sido desarrollado. Las matemáticas para cuantificar los riesgos financieros no eran suficientes para colocar esos riesgos en la misma estructura conceptual de los riesgos más puros. Los primeros riesgos de la época fueron riesgos de daño/peligro: el riesgo de incendio, tormentas, u otros daños a la propiedad, u obligaciones. Los riesgos del entorno todavía no habían sido desarrollados dentro de las pérdidas significativas. Las pensiones no estaban, en este punto, ni garantizadas ni reguladas(12).

En la década del 70 se aceleraron los desarrollos en administración de riesgos, dado que el riesgo financiero se convirtió en una fuente importante de incertidumbre y, muy prontamente, se desarrollaron herramientas para manejar tal riesgo.

Sin embargo, no se popularizó suficientemente dado que se empleó una categorización que clasificó los riesgos en riesgos puros y riesgos especulativos.

La difusión generalizada se logró en los 1980s con las herramientas básicas de la administración de riesgos financieros: forwards, futures, swaps y options: contratos cuyo nombre genérico es derivados, dado que sus valores se derivan del valor de algún otro instrumento.

Resulta, entonces, una gama amplia y extensa de nuevos riesgos y de nuevos instrumentos para enfrentarlos. Surgió una premisa que se considera básica en la actualidad:

La regla básica de la toma de riesgos, ya se trate de riesgos de daño/peligro, de riesgos financieros o de cualquier otra forma de riesgo, es que si usted no entiende plenamente el riesgo, no se vincule con él, independiente de qué utilidades se reclamen o reporten. La regla básica es, desafortunadamente, violada de manera consistente por los individuos. Las promesas sobre retornos impresionantes y atractivos puede hacer que los inversionistas individuales participen en esquemas de inversión que sean fraudulentos. Desafortunadamente, muchas corporaciones también caen en esta trampa(13).

Contabilidad y administración de riesgos

Existen diversos enfoques sobre el asunto: desde aquellos contables conservadores que, anclados en el costo histórico, no admiten ninguna inclusión de riesgos dentro de la contabilidad, hasta aquellos que sustituyendo el modelo de costo histórico por el de valor razonable no solo incluyen los riesgos sino que buscan su correlación y los orientan en función de las necesidades del negocio.

Existen, por consiguiente, diversas soluciones sobre el particular. Valga la pena el comentario que hacen Crouhy, Galai y Mark al respecto:

En este capítulo hemos visto el riesgo y la manera como se ha desarrollado en los mercados financieros, e igualmente la forma cómo los bancos han visto el análisis de este riesgo. En esta sección, damos una mirada a la manera como los riesgos afectan la presentación de reportes financieros.

El enfoque contable tradicional es, en esencia, de mirar al pasado. Se calculan y analizan las utilidades (o pérdidas) pasadas, pero las incertidumbres futuras no se miden. Esto no fue plenamente satisfactorio ni siquiera cuando los bancos derivaron sus utilidades principalmente a partir de dos fuentes: proveer empréstitos y proveer servicios de intermediación financiera.

Sin embargo, tal y como lo contamos atrás, desde los 1980s la creciente importancia de los productos de OTC [over-the-counter] ha añadido una tercera fuente de rentabilidad. Como los principios de contabilidad generalmente aceptados (GAAP) parecen no acomodarse fácilmente a los derivados, los instrumentos han aparecido extensamente en las notas de pie de página de los balances generales de los bancos; i.e., durante mucho tiempo han permanecido como una actividad fuera de balance.

En los bancos principales, sin embargo, esto significa que el tamaño de los reclamos por fuera de balance, medidos en cantidades nominales, han crecido hasta ser tan grandes como aquellos registrados en el balance general. El mismo tipo de problemas contables afecta a las corporaciones que no son bancos y que se vinculan en el comercio de derivados.

El resultado final es que un componente principal de la rentabilidad de los bancos, durante la última década, no aparece de una manera consistente en los reportes financieros de los bancos. Los accionistas y los analistas financieros encuentran difícil valorar el desempeño del banco, mientras que los reguladores y las agencias de clasificación enfrentan problemas cuando intentan determinar qué tan riesgosas son las actividades bancarias. De manera similar, el verdadero perfil de riesgos de algunas corporaciones que no son bancos también puede ser poco claro a partir de sus reportes financieros.

Una ilustración provocativa de este problema en la contabilidad bancaria se provee en la tabla 1.6, que apareció en The Wall Street Journal (19-20 jun./98). La tabla muestra el problema de los préstamos de los bancos japoneses a marzo 31, 1998, bajo las prácticas convencionales de contabilidad en el Japón, comparado con el nuevo estándar de medición propuesto. Para los nueve más grandes bancos japoneses, la diferencia promedio entre las cifras reportadas y las cifras que serían producidas por el estándar propuesto es 42 por ciento (clasificación entre 29 y 62 por ciento).

 

Idealmente, el mundo financiero crearía un nuevo sistema de presentación de reportes basado en lo que se puede denominar “Generally Accepted Risk Principles” (GARP(14)). El sistema sería prospectivo, y diseñado para ayudarle a administradores y reguladores a que analicen y entiendan las operaciones de las instituciones financieras. El sistema también sería de dos dimensiones: la dimensión añadida sería el riesgo, o incertidumbre, referente a la rentabilidad futura (i.e., pérdidas potenciales) proveniente de las diferentes actividades bancarias.

Cualquier sistema de contabilidad sensible al riesgo tendría que hacer un arreglo entre exactitud y sofisticación, de un lado, y aplicabilidad y agregación, del otro. Los principales problemas surgen en cualquier sistema de agregación cuando se aplica a factores que son no-lineales, y por consiguiente, “no-aditivos”.

Por ejemplo, el riesgo sistemático (o riesgo beta) es aditivo sobre los títulos valor de cualquier portafolio dado, pero el riesgo específico, medido por la desviación estándar del retorno residual, es no-aditivo. En otras palabras, la desviación estándar de un portafolio no es la suma de las desviaciones estándar de los títulos valor del portafolio. Esto se debe a que una agregación cuidadosa de la agregación de riesgos demanda la estimación de muchos parámetros, y especialmente el grado de correlación entre todos los pares posibles de los títulos valor de un portafolio.

Esto no ha sido probado en ninguna lección a aprender en la industria bancaria. En 1986, cuando la Federal Reserve en los Estados Unidos y el Bank of England comenzaron a crear un nuevo sistema para los bancos en las economías occidentales en orden a valorar el capital requerido para cubrir los riesgos de los bancos, el punto de partida del estudio fue el sistema de contabilidad existente. La idea fue simplemente trasladar los reclamos por fuera de balance dentro de sus equivalentes en el balance. Luego de invertir considerable esfuerzo, este enfoque simplista fue abandonado a favor de la solución mucho más comprensiva que se subrayó atrás. Se dio cuenta que el simple traslado de cada reclamo fuera de balance dentro de su equivalente en el balance general, y luego añadir esos reclamos individuales, sobreestimaría enormemente la real posición e impondría un costo significativo sobre los bancos(15).

Los cambios, actualmente acelerados, en los estándares internacionales de contabilidad, apuntan a solucionar buena parte de la problemática mencionada. Por eso no es gratuito que los modelos tradicionales (muy arraigados!) estén siendo modificados en medio del desconcierto de muchos:

• Del costo histórico (menos depreciaciones más ajustes) al valor razonable (más costos en el punto de venta) que implica, entre otras cosas, olvidarse de la partida doble e incorporar modelos matemáticos (financieros) para resolver los problemas de medición.

• De la preparación y presentación de estados financieros (a partir del concepto de mantenimiento del capital y del reconocimiento de ingresos) a la presentación de reportes sobre el desempeño financiero (a partir del concepto de ingresos comprensivos).

• De una contabilidad basada en control de inventarios (conservatismo y prudencia) a una nueva contabilidad, basada en el presupuesto de tomar y administrar riesgos, cuyo eje principal son los instrumentos financieros (de capital y de valores).

Una auténtica revolución que ya no tiene retroceso.

Elementos básicos de administración de riesgos(16) 

Es abundante el conjunto de elementos que componen la administración de riesgos. Se presentan a continuación los más importantes, quedan muchos por fuera y la descripción que se hace es solamente informativa.

Técnicas para tratar los riesgos:

Evitar los riesgos. Se evita el riesgo cuando el individuo o la organización renuncia a aceptarlo aún por un instante. No se admite la exposición. Se logra simplemente no participando en la acción que da origen al riesgo. Es una técnica negativa, más que positiva y por ello muchas veces no es una técnica satisfactoria. Si el evitar los riesgos se usa extensivamente, el negocio sería privado de muchas oportunidades de utilidades y probablemente no sería capaz de lograr sus objetivos.

Reducir los riesgos. Puede hacerse de dos maneras: 1. Mediante la prevención y el control de las pérdidas, a través de programas de seguridad y medidas de prevención tales como atención médica, departamento de incendios, guardas nocturnos, alarmas; y 2. En el agregado, mediante el uso de la ley de los grandes números: mediante la combinación de una gran cantidad de unidades de exposición, se pueden hacer estimados razonablemente exactos sobre las pérdidas futuras de un grupo, y ello es la base de los estimados de las compañías de seguros.

Asumir o retener los riesgos. Es quizás el método más común para tratar los riesgos. Puede ser: 1. Consciente (ocurre cuando el riesgo es percibido y no se le transfiere o reduce) o, 2. Inconsciente (cuando no se le reconoce pero se le asume inconscientemente).

También puede ser: 1. Voluntario (se caracteriza por el reconocimiento de que existe el riesgo y se hace un acuerdo tácito para asumir las pérdidas), o 2. Involuntario (se retiene inconscientemente el riesgo y cuando no puede ser evitado, transferido o reducido).

Asumir el riesgo no solo es una manera legítima sino que es la mejor manera de tratar los riesgos.

Transferir los riesgos. Se puede transferir el riesgo de un individuo a otro que está más dispuesto a soportar el riesgo. Se puede usar para tratar los riesgos tanto especulativos como puros. Ejemplos de ello son las coberturas y los seguros.

Compartir los riesgos. Es un tipo especial de transferencia de riesgos. Cuando se comparten los riesgos, se transfiere la posibilidad de pérdida de un individuo al grupo. Sin embargo, también es una forma de asumirlo. Para los individuos, la forma más conocida de compartir los riesgos es la corporación (sociedades).

Herramientas de administración de riesgos:

Control de riesgos. Es el conjunto de técnicas diseñadas para minimizar, al menor costo posible, aquellos riesgos a los cuales la organización está expuesta. Incluye los métodos para evitar los riesgos y los diferentes enfoques para reducir el riesgo mediante la prevención de las pérdidas y los esfuerzos de control. La sofisticación de los esfuerzos de control de riesgos pueden variar ampliamente: mientras el establecimiento mercantil puede simplemente usar extintores ubicados estratégicamente como técnicas de reducción de riesgos, la corporación gigante tiene un sistema elaborado de prevención de incendios (incluye bomberos).

Financiación de riesgos. En contraste con el control de riesgos, se centra en garantizar la disponibilidad de fondos para cubrir las pérdidas que ocurran. Fundamentalmente, la financiación de riesgos toma la forma de retención o transferencia. Por definición, todos los riesgos que no se pueden evitar o reducir, se transfieren o retienen. Las formas de financiación de riesgos también pueden variar considerablemente: asignaciones presupuestales, acuerdos contractuales, subcontratación, pólizas de seguros.

Reglas de la administración de riesgos

Entendidas como principios de sentido común o como un conjunto de ‘reglas de administración de riesgos’, se consideran como guías de orientación del proceso de toma de decisiones para la administración de riesgos:

1. No tome más riesgo que el que pueda permitirse perder.

2. Considere las probabilidades.

3. No arriesgue una cantidad por un poco.

Así de simples, constituyen la estructura conceptual dentro de la cual se pueden tomar decisiones de administración de riesgos. Desafortunadamente, algunas veces no son bien entendidas y a menudo se negocian. Y ello da origen a catástrofes.

Objetivos de la administración de riesgos:

No existe un objetivo único. Los que se consideran más comunes son:

1. Garantizar lo adecuado de los recursos posteriores a las pérdidas.

2. Minimizar el costo de tratar con el riesgo puro.

3. Proteger a los empleados de la firma de lesiones y muerte.

4. Cumplir las obligaciones legales y contractuales.

5. Eliminar las preocupaciones.

En algunas ocasiones, los distintos objetivos pueden estar en conflicto unos con otros. Y en esas circunstancias se tiene que tomar una decisión básica: definir prioridades.

En términos generales, el objetivo principal sería ‘minimizar los efectos adversos de los riesgos’ buscando su costo mínimo mediante su identificación, medición y control.

Pero también se señalan otros objetivos importantes: supervivencia, continuidad de las operaciones, estabilidad de las ganancias, crecimiento continuado, responsabilidad social.

E incluso unos objetivos por lograr previamente a la ocurrencia de los riesgos: economía, reducción de la ansiedad, cumplimiento de las obligaciones impuestas externamente, responsabilidad social.

Pero en todo caso, la búsqueda central está en objetivos cuantitativos que expresen: maximización del valor y contribución a la organización, especialmente.

Proceso de administración de riesgos:

Existen diferentes maneras de presentar los procesos que se utilizan para administrar los riesgos. Sin embargo, se encuentran algunas constantes.

Los modelos básicos señalan los siguientes pasos:

1. Determinación de objetivos.

2. Identificación de riesgos.

3. Evaluación de los riesgos.

4. Consideración de alternativas y selección del instrumento para el tratamiento de los riesgos.

5. Implementación de la decisión.

6. Evaluación y revisión (monitoreo).

Y los modelos más innovadores subrayan:

1. Valoración.

2. Control.

3. Explotación.

4. Financiación.

5. Monitoreo.

Lo que, desde el punto de vista pragmático de quienes venden ‘soluciones empresariales’, se explica así(17):

1. Comience con la idea de identificar los riesgos.

2. Aplique una metodología común.

3. Desarrolle esta información ya sea a partir de una base de división por división o a partir de un punto de vista corporativo.

4. Comience a agregar una dimensión (medida) al riesgo:

a) Probabilidad.

b) Tiempo-para-el-impacto.

c) Severidad.

5. Priorice los riesgos.

Auditoría de la administración de riesgos

Las funciones directivas han sido definidas tradicionalmente para incluir organización, planeación, liderazgo y control. La fase de evaluación y revisión del proceso de administración de riesgos constituye la fase de control directivo del proceso de administración de riesgos. El propósito de controlar es verificar que las operaciones se están realizando de acuerdo con los planes.

Si bien la evaluación y revisión es un proceso ongoing que se desempeña sin interrupción, el programa de administración de riesgos debe estar sujeto periódicamente a una revisión comprensiva denominada auditoría de la administración de riesgos, que es una revisión detallada y sistemática de un programa de administración de riesgos, diseñada para determinar si los objetivos del programa son apropiados para las necesidades de la organización, si las medidas diseñadas para lograr esos objetivos son confiables, y si las medidas han sido implementadas de manera apropiada.

Como ocurre con las auditorías financieras, puede hacerse interna o externamente, prefiriéndose esta última gracias a las garantías que ofrece de objetividad y experticia. En todo caso, el proceso incluye generalmente las siguientes etapas:

1. Evaluar los objetivos de la administración de riesgos y la política de administración de riesgos.

2. Identificar y evaluar las exposiciones a pérdidas.

3. Evaluar las decisiones que se toman para tratar cada exposición.

4. Evaluar la implementación de las técnicas seleccionadas de tratamiento de los riesgos.

5. Recomendar cambios para el mejoramiento del programa.

Casos particulares de administración de riesgos: riesgos financieros (mercado, crédito, liquidez)

Sin lugar a dudas, el caso más importante ocurre en la industria financiera y específicamente en la bancaria, alrededor de una estructura conceptual basada en tres pilares: 1. Políticas; 2. Metodologías; y 3. Infraestructura, que buscan una administración de riesgos activa, de primera clase, e independiente.

El centro de atención está, entonces, en los límites de la administración, análisis de los riesgos, asignación de capital, administración de portafolio, y educación en riesgos.

Las políticas sobre las mejores prácticas hacen referencia a que la tolerancia al riesgo tiene que expresarse en términos que sean consistentes con la estrategia de negocios del banco. La estrategia de negocios debe expresar los objetivos de la institución financiera en términos de targets de riesgo/retorno. Esto debe conducir a establecer límites de riesgo, o tolerancias, para la organización como un todo, y para sus actividades principales. Las mejores prácticas en este sentido se refieren a: 1. Políticas de riesgo de mercado; 2. Políticas de riesgo de crédito; y 3. Políticas de riesgo operacional.

Las metodologías se han vuelto importantes dado que, mirando hacia delante, los bancos con sistemas sofisticados de administración de riesgos serán capaces de usar sus propias metodologías internas para calcular la cantidad requerida del capital regulatorio de riesgo de mercado a cambio del enfoque regulador estandarizado más oneroso. Las metodologías que corresponden a las mejores prácticas se refieren a la aplicación de los métodos analíticos ‘apropiados’ para medir el riesgo de mercado, el riesgo de crédito, el riesgo operacional, y similares. El objetivo no es únicamente medir el riesgo, sino también asegurar que son apropiadas las metodologías de fijación de precios y de valuación. En la actualidad, la estructura conceptual VaR (valor en riesgo) es la que se considera la más apropiada, y especialmente importante implementar un enfoque RAROC(18).

En una administración integrada de los riesgos bancarios, el objetivo central es la administración activa del portafolio. Ello se logra a través de tres etapas y sus correspondientes metodologías:

1. Administración del límite.

— Monitorear.

— Identificar.

— Evitar.

2. Análisis de riesgos.

— Prueba de estrés.

— Análisis de escenarios.

— VaR de mercado, VaR de crédito.

3. RAROC (retorno sobre el capital, ajustado según los riesgos).

— Facilitar la fijación de precios.

— Asignación económica del capital.

La infraestructura es importante, porque sin ella no es posible que funcionen ni las políticas ni la infraestructura. En la industria bancaria, el componente más importante de la infraestructura es la gente: las mejores prácticas de la medición de riesgos no se pueden derivar únicamente a partir de enfoques analíticos complejos, dado que el juicio siempre será un input significativo. De igual manera, asegurar la integridad de los datos provee una importante ventaja competitiva, en la medida que los datos se convierten en información que hace parte de la administración de riesgos tanto para quienes hacen las transacciones como para quienes diseñan las políticas. Finalmente, la meta clave, crítica para la administración exitosa de los riesgos, es integrar la administración de riesgos con las operaciones y con la tecnología(19). Para ello, y de manera creciente, las instituciones financieras están usando tecnologías sofisticadas de computación para acelerar sus esfuerzos para establecer las mejores prácticas de administración de riesgos.

En resumen, en la industria financiera prevalece una administración de riesgos que se hace alrededor de tres riesgos principales:

1. Riesgos de mercado: debidos a variaciones de los precios/tipos negociados en los mercados financieros. Se subdividen en riesgos de tasa de interés, de tasa de cambio, de renta variable, de mercancías (commodities), de volatilidad, de correlación, etc.

2. Riesgos de crédito: debidos al incumplimiento de contratos, básicamente por insolvencia; incluyen los riesgos de liquidez, debidos a dificultades para financiar con un costo ‘normal’ los negocios y su crecimiento.

3. Riesgos operacionales: debidos a caídas en el volumen del negocio o de sus márgenes (riesgos de negocio), a causa de errores humanos o de los medios de procesamiento, producción o gestión (riesgos operativos), o por la incapacidad legal para ejercer los derechos que se consideraban como propios, o si se deriva del propio incumplimiento de la ley o de la regulación (riesgos legales).

El alcance de este trabajo sobrepasa el estudio de cada uno de éstos. Se remite al lector a la bibliografía señalada, para profundizar en dicho tema(20).

Casos particulares de administración de riesgos: riesgos de auditoría (inherente, de control y de detección)

Muchos años antes de la aparición de la administración de riesgos ya se venía dando la práctica de la valoración de riesgos de auditoría (inherente, de control, de detección)(21) derivando en lo que actualmente se conoce bajo la denominación técnica de ‘modelo de riesgos de auditoría’.

El riesgo de auditoría ha sido definido como:

“El riesgo de que los auditores puedan fallar, por desconocimiento, en el modificar apropiadamente su opinión sobre los estados financieros que estén materialmente equivocados”(22).

Las equivocaciones materiales pueden ser resultado de errores (equivocaciones no intencionales, tales como omisiones y comisiones) o fraudes (equivocaciones intencionales, incluyen apropiación indebida y presentación fraudulenta de estados financieros).

Los estándares profesionales del AICPA le asignan al auditor la responsabilidad por diseñar la auditoría de manera tal que provea seguridad razonable en relación con la detección de equivocaciones materiales para los estados financieros. Por lo tanto, los estándares requieren que el auditor considere tanto el riesgo como la materialidad, algo que debe hacer en todo el proceso de la auditoría (desde sus etapas de planeación y hasta el final de la misma).

Esto ha sido expresado no solamente en los estándares americanos de auditoría. También ha sido acogido por los estándares internacionales de auditoría y prácticamente por todas las regulaciones (legales y profesionales) del mundo. Ahí radica la ‘fortaleza’ del denominado ‘modelo de riesgos de auditoría’. Éste, tiene tres componentes: 1. Riesgo inherente; 2. Riesgo de control; y 3. Riesgo de detección(23).

El riesgo inherente se refiere a la susceptibilidad de que una aserción contenga equivocaciones materiales, asumiéndose que no existen los controles relacionados. El riesgo inherente es una función de la integridad de la administración, de la actitud de la administración hacia la presentación confiable de reportes financieros, y de la complejidad de los negocios del cliente. A menudo se incrementa por las características únicas del negocio o de la industria, las cuales pueden contribuir a la complejidad y a la incertidumbre de la auditoría, incrementando la posibilidad de que en los estados financieros se encuentren equivocaciones materiales que no hayan sido detectadas.

El riesgo de control es el riesgo de que una equivocación material que pudiera ocurrir en una aserción no sería prevenida o detectada en una base oportuna por el control interno de la entidad. Ello se debe a fallas en la revisión adecuada de las transacciones; documentación inadecuada; acceso ilimitado a títulos valor negociables, efectivo e inventarios; y carencia de registros de los inventarios perpetuos. Esas debilidades en el control contribuyen a que hayan errores y fraudes en los estados financieros.

Juntos, el riesgo inherente y el riesgo de control determinan la probabilidad de que los estados financieros estarán materialmente equivocados. Esos elementos del riesgo también afectan la validez de la evidencia de la auditoría.

El riesgo de detección es el riesgo de que el auditor no detectará las equivocaciones materiales que existen en una aserción. Se puede reducir mediante la aplicación de procedimientos sustantivos de auditoría. El auditor administra el riesgo de detección primero por la valoración del riesgo inherente y el riesgo de control. Si alguno o ambos de los niveles de esos riesgos es alto, el auditor incrementa la extensión de las pruebas sustantivas para minimizar el riesgo global de auditoría.

Cuantificación del riesgo de auditoría. El análisis del riesgo de auditoría confronta el riesgo inherente, el riesgo de control y el riesgo de detección. Es un enfoque (modelo) de auditoría que intenta identificar aquellas áreas que presentan la probabilidad más alta de errores o fraudes materiales, y aquellas áreas de mayor complejidad de auditoría. El riesgo de auditoría puede verse como la probabilidad conjunta del riesgo inherente, riesgo de control y riesgo de detección, la cual se expresa a través de la siguiente ecuación:

AR = IR x CR x DR

donde:

AR = riesgo global de auditoría.

IR = riesgo inherente.

CR = riesgo de control.

DR = riesgo de detección.

El riesgo global de auditoría es, entonces, ese nivel de riesgo que el auditor considera aceptable. Normalmente debe ser bajo dado que el complemento de este factor de riesgo constituye la base para la opinión de auditoría.

En la práctica, se utiliza la ecuación para conocer alguno de los componentes de la misma. Esto es, el auditor define el riesgo global que está en capacidad de aceptar (asimilar) y dos componentes más, para buscar el que queda (generalmente el riesgo de detección) y a partir de ello hacer su planeación. Sin embargo, no siempre se sigue este procedimiento.

Lo que sí está claro es que la valoración del riesgo de auditoría impacta fuertemente en la materialidad y, por lo tanto, en la evidencia de auditoría. Los problemas prácticos se centran en si se consideran a nivel individual o agregado.

La anterior explicación abunda en la literatura técnica (estándares profesionales y textos universitarios), encontrándose variaciones solamente en los ejemplos que se utilizan.

Así lo confirman Whittington and Pany:

Tal y como se discutió en el capítulo 2, el término riesgo de auditoría se refiere a la posibilidad de que los auditores puedan fallar, por desconocimiento, en modificar de manera apropiada su opinión sobre estados financieros que estén materialmente mal declarados. En otras palabras, es el riesgo de que los auditores emitirán una opinión no-calificada sobre estados financieros que contienen un apartarse material de los principios de contabilidad generalmente aceptados. El riesgo de auditoría se reduce mediante la obtención de evidencia —a más evidencia competente que se obtiene, menor el riesgo de auditoría que se asume—. En cada auditoría, los auditores tienen que obtener suficiente evidencia para reducir el riesgo de auditoría a un nivel bajo. Una manera obvia para obtener evidencia adicional es incrementar la extensión de los procedimientos de auditoría. Sin embargo, también se puede obtener evidencia adicional mediante la selección de procedimientos de auditoría más efectivos, o mediante el desempeño de procedimientos más cercanos a la fecha del balance general. El requerimiento de obtener evidencia suficiente y competente está reflejado en el tercer estándar del trabajo de campo que señala:

“La materia evidencial suficiente y competente se obtiene mediante inspección, observación, indagaciones, y confirmación, para obtener una base razonable para una opinión en relación con los estados financieros sometidos a auditoría” [añadido el énfasis](24).

Y también Robertson and Louwers:

El modelo de riesgos de auditoría. Nosotros definimos riesgo de información como la probabilidad de que los estados financieros distribuidos por una compañía estarán materialmente falsos y equivocados. La obtención de evidencia y la presentación de reportes, por parte del auditor, reduce este riesgo para los usuarios de los estados financieros, pero los auditores mismos enfrentan el riesgo de dar una opinión equivocada sobre los estados financieros —entregando opinión no-calificada cuando desconocen declaraciones equivocadas materiales (errores y fraudes) que existen actualmente en los estados financieros—. Los estándares de auditoría requieren que los auditores diseñen auditorías para proveer seguridad razonable respecto de la detección de errores y fraudes que sean materiales (SAS 82, AU 316).

Este riesgo general se conoce como riesgo de auditoría. Contiene tres componentes principales —riesgo inherente, riesgo de control, y riesgo de detección—. Dado que se usan diversos adjetivos para describir el “riesgo” en auditoría, usted siempre debe hablar de riesgo con un modificador (auditoría, inherente, control, y detección) para especificar al que usted se refiere(25).

Lo anterior es, entonces, la ‘versión oficial’, muy difundida a partir de las prácticas estandarizadas. Un enfoque basado-en-riesgos que ha orientado el ejercicio profesional de los auditores de estados financieros durante los últimos veinte años, caracterizado porque la naturaleza, oportunidad, y extensión de las pruebas están determinados por la valoración del riesgo de que las aserciones contenidas en los estados financieros estén materialmente equivocadas(26).

Existen algunas variantes en las que sobresale el ‘modelo ABREMA’(27) que combina las actividades del auditor (planeación, obtención de evidencia, evaluación de la evidencia, toma de decisiones) con las etapas de la auditoría (aceptación/retención del cliente, planeación de la auditoría, prueba de controles, pruebas sustantivas, formulación de la opinión). En realidad, se trata del mismo esquema ‘oficial’. Su fortaleza radica en hacerlo más operacionalizable desde el punto de vista matemático.

Lo que sí está claro es que, en épocas recientes, abundan las críticas a este modelo. Tales críticas se pueden resumir en:

1. La excesiva subjetividad del modelo. Funcional en épocas pasadas pero no en los actuales entornos competitivos. Tal subjetividad hace que, especialmente, los riesgos inherente y de control sean difíciles de valorar y cuantificar, en un mundo en el que los riesgos financieros disponen de abundantes herramientas matemáticas para ello(28).

2. Trata los riesgos de manera aislada, en un mundo que optó por la integralidad. En consecuencia, no produce los resultados apropiados. Se hace imperativo analizar la interdependencia entre los distintos componentes(29).

3. Enfoque extremadamente reducido. Se centra exclusivamente en los problemas del auditor y no considera de manera suficiente las necesidades del cliente de auditoría. Se hace imperativo ampliar el modelo a fin de tener en cuenta factores tanto internos como externos y usar perspectivas adecuadas a los negocios actuales(30). Y ni siquiera le permite a los audito-res cubrirse frente a los riesgos de sus propios litigios(31).

4. Poca influencia para la toma de decisiones de auditoría. Y casi nula para las decisiones de negocio(32). Un asunto delicado en un mundo cuya preocupación principal es explicitar cuál es la contribución de la auditoría a la toma de decisiones de negocio.

5. Utilidad para sistemas no-computarizados. Pero en ambientes de sistemas y tecnología de la información, y más específicamente en ERPs, alta deficiencia en relación con los riesgos específicos de estos ambientes: interrupción del negocio, seguridad de las redes, seguridad de las bases de datos, seguridad de las aplicaciones, interdependencia de los procesos, y el riesgo de control general, quedan por fuera del modelo de riesgos de auditoría. Se necesita otro modelo(33).

Sobresale el análisis que sobre el particular hizo el panel referido la efectividad de la auditoría. Se incluye a continuación:

El modelo de riesgo de auditoría(34) 

Vista de conjunto sobre el modelo

6. Los GAAS establecen un “modelo” para llevar a cabo las auditorías, el cual requiere que los auditores usen su juicio en la valoración de los riesgos y luego decidan qué procedimientos llevar a cabo. A este modelo a menudo se le refiere como el “modelo de riesgo de auditoría”. El modelo le permite a los auditores tener en cuenta una variedad de circunstancias para seleccionar un enfoque de auditoría. Por ejemplo, el modelo le pide a los auditores que tengan un entendimiento del negocio y de la industria del cliente, de los sistemas empleados para procesar las transacciones, la calidad del personal involucrado en las funciones de contabilidad, las políticas y los procedimientos del cliente relacionados con la preparación de los estados financieros, y mucho más. El modelo requiere que los auditores obtengan un entendimiento del control interno de la compañía, y prueben la efectividad de los controles si el auditor intenta confiar en ellos cuando considera la naturaleza, oportunidad y extensión de las pruebas sustantivas a llevar a cabo. Por ejemplo, si los controles sobre las ventas y las cuentas por cobrar son fuertes, el auditor puede enviar una cantidad limitada de confirmaciones de las cuentas por cobrar a una fecha intermedia y confiar en los controles y en otras pruebas para actualizar las cuentas a final de año. De manera inversa, si los controles no son fuertes, el auditor tiene que enviar una cantidad más grande de confirmaciones a final del año. El modelo requiere una valoración del riesgo de fraude (declaraciones equivocadas intencionales en los estados financieros) en cada auditoría.

7. Con base en la valoración que realice el auditor de los diferentes riesgos y de cualesquiera pruebas de control, el auditor hace juicios sobre los tipos de evidencia (a partir de fuentes que son internas o externas para la organización del cliente) requeridos para tener “seguridad razonable”. De un modo, los GAAS expresan numerosos requerimientos o materias que el auditor debe considerar; y de otro modo, la necesidad de ejercer juicios de auditoría está inmersa en los GAAS.

Instrucciones técnicas sobre el modelo

8. El Statement on Auditing Standards (SAS) Nº 47, Audit risk and materiality in conducting an audit [Riesgo de auditoría y materialidad en la dirección de una auditoría], provee de manera esencial el apoyo conceptual de más alto nivel para el modelo de riesgo de auditoría, pero los conceptos del modelo impregnan los GAAS. Por ejemplo, el modelo influye directamente el muestreo de auditoría, el cual es la aplicación de un procedimiento de auditoría para menos del 100% de los elementos de una población dada, con el propósito de evaluar algunas características de la población.

9. El riesgo de auditoría (AR) es el riesgo de que el auditor pueda fallar, por desconocimiento, en modificar apropiadamente su opinión sobre estados financieros que estén mal declarados de manera material. El riesgo de auditoría es el producto de los siguientes tres factores interrelacionados:

IR = Riesgo inherente (el riesgo de que una aserción sea susceptible de una declaración equivocada material, asumiéndose que no existen controles relacionados).

CR = Riesgo de control (el riesgo de que una declaración equivocada material que pudiera darse en una aserción no sería prevenida o detectada en una base oportuna por el control interno de la entidad).

DR = Riesgo de detección (el riesgo de que el auditor no detectará una declaración equivocada material que exista en una aserción).

10. Por lo tanto, la descripción “matemática” del modelo de riesgo de auditoría, en términos simples, es AR = IR x CR x DR. Independiente de la precisión implicada al presentar el modelo en términos matemáticos, la realidad es que es altamente crítica. El objetivo en una auditoría es limitar el riesgo de auditoría (AR) a un nivel bajo, tal y como es juzgado por el auditor.

11. Esencialmente este objetivo se logra como sigue. A los auditores se les requiere que valoren el riesgo inherente (IR) y el riesgo de control (CR) como parte de un espectro. En la práctica, a menudo esta valoración se reduce a tres niveles: riesgo máximo, riesgo moderado o riesgo bajo (o términos similares tales como riesgo alto, mediano, o bajo). Esas valoraciones son asuntos complejos para llevar a cabo, y los GAAS establecen una cantidad de requerimientos sobre cómo lograrlos tanto a nivel del estado financiero como a nivel de los balances de cuenta o de las clases de cuenta individuales. Los GAAS también contienen un requerimiento específico de que, si el riesgo de control se valora como menor que el nivel máximo, el auditor tiene que probar la efectividad de los controles para soportar esa valoración. Una valoración de riesgo máximo (i.e., 100%) significa que el auditor considera que los controles, es improbable que se relacionen con una aserción o que es improbable que sean efectivos, o que la evaluación de su efectividad sería ineficiente. En todos los casos, se le permite al auditor que “incumpla” una valoración a riesgo máximo para los riesgos inherente o de control.

12. La importancia de las valoraciones de los riesgos inherente y de control se subraya por sus efectos en el riesgo de detección (DR). Los efectos se pueden describir de forma matemática mediante la ecuación DR = AR / (IR x CR). El auditor mitiga o compensa por los niveles valorados de riesgo mediante el diseño y desempeño de procedimientos para detectar las declaraciones equivocadas materiales. A mayor sean los riesgos inherente y de control, menor requiere ser el riesgo de detección, dando como resultado “más” procedimientos (“más” incluye su naturaleza y oportunidad, así como su extensión) que el auditor requerirá llevar a cabo. A final del día, el objetivo es limitar el riesgo de auditoría a un nivel bajo apropiado, de manera que le permita al auditor lograr seguridad razonable de que los estados financieros están libres de declaraciones equivocadas materiales.

13. Algunos agregan observaciones sobre lo que el modelo de riesgos de auditoría contiene y no contiene, lo cual es digno de discusión. Primero, el modelo subsume el concepto de “materialidad”. Los auditores no tienen que preocuparse con cada declaración equivocada posible que pueda darse en los estados financieros. En consecuencia, el concepto de materialidad entra a hacer parte del proceso de valoración de riesgos, y la selección de la naturaleza, oportunidad y extensión de los procedimientos de auditoría constituye parte integral del modelo. Además, el modelo le pide a los auditores que hagan valoraciones del “riesgo de fraude”, el cual comprende atributos tanto del riesgo inherente como del riesgo de control.

14. Finalmente, el auditor también está expuesto a riesgos que no están comprendidos en el modelo de riesgo de auditoría. Por ejemplo, los auditores pueden estar expuestos a pérdidas o daños a su ejercicio profesional, provenientes de litigios, publicidad adversa, o de otros eventos que surgen en vinculación con los estados financieros que auditaron y sobre los cuales reportaron. Esta exposición se presenta aun cuando el auditor haya desempeñado la auditoría de acuerdo con los GAAS y haya reportado de manera apropiada sobre los estados financieros. Aún si el auditor valora esta exposición como baja, no se le permite al auditor que desempeñe procedimientos menos extensos que los de otra manera serían apropiados bajo los GAAS. A los “riesgos” que caen por fuera del modelo de riesgo de auditoría generalmente se les refiere como “riesgo de contratación”, “riesgo de cliente” o “riesgo de continuidad (o de aceptación)”.

Perspectiva histórica del modelo en los GAAS

15. El modelo de riesgo de auditoría está codificado en los GAAS (si bien no con ese nombre), principalmente en SAS Nº 47. El ASB emitió el SAS Nº 47 en 1983, y fue enmendado en 1997 por SAS Nº 82, Consideration of fraud in a financial statement audit [Consideración del fraude en una auditoría de estados financieros]. Antes de SAS Nº 47, muchos auditores empleaban, en el ejercicio profesional, algunos conceptos del modelo, si bien no estaban explícitamente codificados ni hacían parte de los GAAS. Sin embargo, no existe un registro claro de exactamente cuál era la práctica que se realizaba antes del SAS Nº 47. Generalmente se considera que, si bien los juicios del auditor hacían parte del proceso de auditoría, muchos auditores empleaban enfoques “de procedimiento” que no estaban plenamente soportados en apoyos conceptuales estrictos. En otras palabras, las auditorías tendían a ser con-ducidas usando una variedad de enfoques de pruebas sustantivas con menor confianza en los juicios sobre el riesgo. La prueba del control interno, principalmente mediante la prueba de transacciones individuales, fue común y algunas veces extensiva.

16. Desde 1984, a los auditores se les requirió que siguieran SAS Nº 47; en otras palabras, se les requirió que emplearan el modelo de riesgo de auditoría. No obstante este requerimiento, la evidencia anecdótica y de otro tipo señala que muchas (si no todas) las auditorías continuaron siendo desempeñadas usando enfoques de pruebas sustantivas con poca o ninguna atención prestada a los resultados de las valoraciones de riesgos pedidas por el modelo. Este fenómeno fue, quizás, facilitado por el hecho de que el modelo permite “incumplir” el supuesto de que los riesgos se encuentran en un nivel máximo.

17. Sin embargo, con el tiempo las firmas de auditoría comenzaron a evaluar tanto la efectividad como la eficiencia de sus auditorías. El volumen completo de las transacciones procesadas por las organizaciones del cliente, el ritmo rápido de los desarrollos tecnológicos que afectan las organizaciones del cliente y las firmas de auditoría mismas, y las restricciones económicas sobre la habilidad de las firmas de auditoría para recuperar los costos, fueron direccionadores influyentes en esas evaluaciones. Ellos condujeron a que algunas firmas concluyeran que muchas auditorías estaban siendo dirigidas sin prestar consideración suficiente al proceso de valoración de riesgos y que en consecuencia carecían tanto de efectividad como de eficiencia. Algunas firmas respondieron haciendo importantes cambios a sus metodologías de auditoría. Además, las firmas continúan haciendo cambios a las metodologías de auditoría, y algunos de esos cambios son altamente significativos.

Consecuencia de lo anterior, tanto el US-ASB como el IAASB están revisando, conjuntamente, dicho modelo y se encuentran en la búsqueda de soluciones sobre el particular.

La página oficial del AICPA reseñó en julio de 2001 el proceso que está en curso. Tal reseña señala:

Nueva estructura conceptual para el proceso de auditoría(35) 

El Auditing Standards Board (ASB) está revisando la consideración que hace el auditor sobre el proceso de valoración de riesgos contenido en los estándares de auditoría, incluyendo la necesidad de entender los negocios del cliente y las relaciones entre los riesgos inherente, de control, de fraude, y otros. El ASB espera emitir una serie de borradores en discusión pública a finales de 2001 o a comienzos de 2002. Algunos de los participantes en el proceso esperan que los estándares finales tengan un efecto sobre la manera como se dirigen las auditorías, efecto que no se ha visto desde que se emitieron en 1988 los estándares sobre la “brecha de expectativas”.

Trasfondo

El modelo de riesgo de auditoría es la principal estructura conceptual que se ha estado usando para dirigir las auditorías durante los últimos 20 años. El modelo describe un proceso para reducir, a un nivel bajo aceptable, el riesgo de declaraciones equivocadas materiales en los estados financieros. El riesgo de auditoría es el riesgo de que el auditor pueda emitir una opinión no-calificada sobre estados financieros que sean declaraciones equivocadas materialmente y está compuesto por tres riesgos: 1. Riesgo inherente —el riesgo de que surgirá una declaración equivocada material, 2. Riesgo de control —el riesgo de que una declaración equivocada material permanecerá sin corregir como resultado de los procedimientos de control de la entidad, y 3. Riesgo de detección —el riesgo de que la auditoría fallará en detectar la declaración equivocada material.

En 1999, un Joint Working Group (JWG) conformado por emisores de estándares y académicos provenientes de Canadá, Reino Unido, y Estados Unidos, se formó para investigar los desarrollos recientes en las metodologías de auditoría de las principales firmas de contaduría. Se realizó la investigación para permitirle al grupo entender los cambios en las metodologías de auditoría de las firmas, y para permitirle a los emisores de estándares considerar la necesidad de revisar los estándares de auditoría para reflejar aspectos de las nuevas metodologías. En mayo de 2000, el JWG publicó los resultados de la investigación en el reporte titulado Developments in the audit methodologies of large accounting firms(36).

La investigación señaló que una tendencia importante en la evolución de las metodologías de auditoría es una consideración más explícita del “riesgo de negocio” de la entidad, que fue definido como el riesgo de que la entidad fallará en lograr sus objetivos. Esto difiere del modelo tradicional de riesgo de auditoría que define el riesgo de auditoría como el riesgo de declaraciones equivocadas materiales en los estados financieros. El riesgo de negocio conlleva una visión mucho más amplia de los tipos de riesgos a ser considerados por el auditor y probablemente beneficiarán al auditor y al cliente a causa de que:

• Una consideración amplia de los riesgos es más probable que resulte en una identificación de los problemas que pueden causar declaraciones equivocadas materiales en los estados financieros.

• La consideración de los negocios como un todo le permite al auditor servir mejor al cliente proveyéndole oportunidades para asesorar al cliente en la dirección del negocio.

Es importante notar que una consideración amplia de los riesgos no significa que se olvidan los objetivos de los estados financieros o el riesgo de declaraciones equivocadas materiales. El enfoque de riesgos de negocio asume que existe una relación entre el riesgo de negocio y el concepto tradicional de riesgo de auditoría, y que la mejor manera para identificar el riesgo de los estados financieros es considerar este concepto amplio de riesgo.

Al mismo tiempo que el JWG estaba realizando su investigación, el Public Oversight Board’s Panel on Audit Effectiveness (POB Panel) estuvo ejerciendo su propia revisión y evaluación de la manera como se dirigen las auditorías independientes. En el altamente promocionado reporte emitido en agosto de 2000, The panel on audit effectiveness, report and recommendations(37), el POB Panel expresó su conclusión de que el modelo de riesgo de auditoría es apropiado pero que requiere ser enriquecido y actualizado. En el reporte, el POB Panel agradeció el trabajo del JWC y sugirió que el ASB considerara las sugerencias del JWG si concluye que una orientación amplia de los riesgos de negocio, hecha por los auditores, mejora la calidad de la auditoría.

La respuesta del ASB

En respuesta a las recomendaciones del JWG y del POB Panel, el ASB formó la Risk Assessments Task Force. Esta fuerza de trabajo está revisando la consideración del auditor sobre el proceso de valoración de riesgos en una auditoría de estados financieros, incluyendo el entendimiento necesario de los negocios del cliente y de las relaciones entre los riesgos inherentes, de control, de fraude y otros. La meta más ambiciosa de esta fuerza de trabajo fue emitir un grupo de borradores en discusión pública a finales de 2001 o a comienzos de 2002.

Algunos de los cambios más importantes a los estándares, que se esperaron proponer son:

• Un requerimiento por un entendimiento más robusto de los negocios y del ambiente de la entidad, que esté más claramente vinculado con la valoración del riesgo de declaraciones equivocadas materiales en los estados financieros. Entre otras cosas, esto mejorará la valoración que hace el auditor sobre el riesgo inherente y eliminará el “incumplimiento” de valorar al máximo el riesgo inherente.

• Un énfasis incrementado en la importancia de los controles de la entidad con orientación más clara sobre lo que constituye un conocimiento suficiente de los controles, para planear la auditoría.

• Una clarificación de cómo puede el auditor obtener evidencia sobre la efectividad de los controles, en la obtención de un entendimiento sobre los controles.

• Una clarificación de cómo el auditor planea y desempeña procedimientos de auditoría de manera diferente para valoraciones alta y baja de los riesgos de declaraciones equivocadas materiales a nivel de aserción, mientras mantiene el “neto de seguridad” de los procedimientos.

Colectivamente, esos cambios tienen la intención de mejorar la orientación sobre cómo el auditor operacionaliza el modelo de riesgo de auditoría.

Convergencia internacional

El capital está fluyendo en una escala global más rápidamente que antes, y este flujo es probable que se acelere. Los participantes en los procesos de emisión de estándares de auditoría consideran que la creciente globalización de los negocios necesitará eventualmente el uso de estándares internacionales de auditoría. En orden a servir al interés público, esos estándares internacionales tienen que ser de la mayor calidad. Una ruta hacia estándares internacionales de alta calidad es la convergencia de los estándares nacionales e internacionales, incorporando las mejores prácticas de cada una de las jurisdicciones.

Al mismo tiempo que el ASB ha estado trabajando en este proyecto, el International Auditing Practices Committee (IAPC(38)) ha estado trabajando en un proyecto similar. Tanto el ASB como el IAPC reconocieron esta oportunidad para hacer que los estándares de U.S. e internacionales se orientaran hacia la convergencia. Como resultado de ello, los dos emisores de estándares han estado trabajando juntos en los proyectos, con gran cooperación, discusión, y participación mutua de información. Si bien es probable que existan algunas diferencias en los estándares finales de U.S. e internacionales, se espera que los estándares de auditoría resultantes de U.S. en internacionales proveerán a los auditores en los Estados Unidos y en el extranjero con orientación similar, y establecerán principios básicos y procedimientos esenciales que sean similares.

¿Qué significa esto para el auditor?

El ASB considera que este nuevo enfoque de auditoría derivará en muchos beneficios para el auditor. Entre esos beneficios se encuentran:

• Efectividad de la auditoría. Un centro de atención amplio puesto en los riesgos de negocio y un entendimiento más robusto del negocio es probable que resulte en una identificación más completa del riesgo inherente que puede afectar los estados financieros. De manera similar, un incrementado centro de atención en los controles que la entidad tiene en funcionamiento es probable que derive en una identificación más completa del riesgo de control que puede afectar los estados financieros.

• Eficiencia de la auditoría. Una valoración más robusta del riesgo de declaraciones equivocadas materiales contenidas en los estados financieros debe resultar en que los auditores centren su atención en las fuentes y en las consecuencias de esos riesgos, y al mismo tiempo, eviten sobreauditar áreas de bajo riesgo.

• Servicio al cliente. Un mayor énfasis en los riesgos del negocio del cliente le permite al auditor agregar valor a la auditoría desde la perspectiva del cliente. La auditoría puede proveer luces e información que es valiosa para la administración de la entidad en su meta de administrar exitosamente el negocio. Esto provee al auditor con la oportunidad de diferenciar la auditoría de su firma de aquélla que ofrecen sus competidores.

A la fecha (septiembre 2002), están anunciados los borradores en discusión pública. La línea general es la atrás reseñada. Se esperan los nuevos estándares. Habrá que esperar cómo evolucionan los acontecimientos.

Casos particulares de administración de riesgos: riesgos de independencia (auto-interés, auto-revisión, abogamiento, familiaridad, intimidación)

Posiblemente el tema actual de mayor relevancia para la auditoría es el de la ‘independencia’ de los auditores.

La discusión inicial giró respecto de si a un mismo cliente, el auditor le puede prestar simultáneamente servicios de auditoría de estados financieros y servicios de consultoría. El análisis se inserta, entonces, en la problemática más amplia de la relación entre el auditor y sus clientes (punto de vista estrecho(39)) o con sus stakeholders (punto de vista amplio(40)).

Si bien los desarrollos (acelerados por el caso Enron y relacionados) condujeron a señalar, prácticamente de manera definitiva, tanto por la vía conceptual como por la de la obligatoriedad legal (específicamente en Estados Unidos(41)), tal incompatibilidad, se ha reconocido que todavía queda mucho camino por recorrer. Hace falta, de manera particular, una teoría comprensiva aceptada, una estructura conceptual o un modelo que sea aceptado por todos.

En esa dirección es en la que se está trabajando con afanes. Tales esfuerzos se pueden agrupar bajo cuatro ópticas diferentes:

1. Regulación

2. Pronunciamientos profesionales

3. Estándares profesionales

4. Academia

La clasificación anterior no es exhaustiva ni cronológica. Se hace simplemente para ayudar a abordar el problema.

1. Regulación

Si bien Arthur Levitt no es el primero que abordó el asunto, se reconoce el impacto que causó su intervención el 18 de octubre de 1999 en el Economic Club of New York, dado su carácter de Chairman de la SEC.

Todavía se escucha el eco de su intervención:

“Can the audit engagement partner truly be perceived as discharging his public duties while trying to sell his audit clients legal advice or consulting service”?(42)

[¿Puede el socio encargado de la auditoría ser verdaderamente descargado de sus deberes públicos al vender a sus clientes de auditoría asesoría legal o servicios de consultoría?]

Desde entonces se generó un intenso debate a escala mundial y luego de un período de consulta la SEC emitió un importante documento, titulado Final Rule: Revision of the Commission’s Auditor Independence Requeriments [Regla Final: revisión de los requerimientos de independencia que la SEC hace al auditor](43).

La regla final incorpora la estructura conceptual del ISB y los direccionamientos de Levitt: moderniza los requerimientos para la independencia del auditor en tres áreas: (1) inversiones que realizan los auditores, y/o sus familiares, en los clientes de auditoría; (2) relaciones de empleo entre los auditores, y/o sus familiares, con los clientes de auditoría; (3) provisión de servicios de no-auditoría.

La tercera área, provisión de servicios de no-auditoría, es la más polémica dado que si bien codifica muchas de las prohibiciones existentes las extiende para incluir, entre otros, ciertas valuaciones, la auditoría interna y los servicios de tecnología de la información.

Este documento tiene una característica importante: es, quizás, el último que adopta el enfoque de incluir un conjunto detallado de reglas que cubren lo que puede ocurrir en circunstancias específicas. Como se verá adelante, la dirección final se trasladará hacia enfoques basados-en-estructuras-conceptuales.

Pero tiene el valor, sin lugar a dudas, de haber acelerado el proceso de análisis y soluciones en relación con la independencia del auditor.

La Sarbanes-Oxley Act of 2002, en respuesta a los problemas de la crisis de Enron y similares, significa un cambio radical dado que acelera las tendencias relacionadas con la independencia del auditor. Como se ha visto, la no-compatibilidad entre servicios de auditoría y servicios de asesoría-consultoría era asunto que se venía discutiendo desde hacía varios años. Esta ley hace obligatoria tal incompatibilidad, extendiéndola a todos los servicios de no-auditoría:

Define auditoría. “El término ‘auditoría’ significa un examen de los estados financieros de cualquier emisor, realizado por una firma de contadores públicos independiente de acuerdo con las reglas de la Junta(44) o de la comisión(45) (o para el período precedente a la adopción de las reglas aplicables de la Junta bajo la sección 103, de acuerdo con los entonces aplicables estándares de auditoría generalmente aceptados y relacionados, para tal propósito” [Secc. 2, (a) (2)].

Señala los servicios que están por fuera del alcance del ejercicio profesional de los auditores. Este es, sin lugar a dudas, el corazón del asunto:

“(g) Actividades prohibidas. Excepto lo que se provee en la subsección (h), es ilegal para una firma de contaduría pública registrada (y para cualquier persona asociada con esa firma, en la extensión que sea determinada apropiada por la comisión) que desempeñe para cualquier emisor cualquier auditoría requerida por este título o por las reglas de la comisión bajo este título, comenzando 180 días después de la fecha de inicio de operaciones de la junta supervisora de la contabilidad de las compañías públicas establecida bajo la sección 101 de la Sarbanes-Oxley Act of 2002 (referida en esta sección como la ‘junta’), las reglas de la junta, proveer a ese emisor, simultáneamente con la auditoría, cualquier servicio de no-auditoría, incluyendo:

(1) Teneduría de libros u otros servicios relacionados con los registros contables o con los estados financieros del cliente de auditoría;

(2) Diseño e implementación de sistemas de información financiera;

(3) Servicios de evaluación o valoración, opiniones sobre razonabilidad, o reportes sobre contribución- de-otro tipo;

(4) Servicios actuariales;

(5) Servicios de outsourcing de auditoría interna;

(6) Funciones de administración o de recursos humanos;

(7) Corredor o comerciante, asesor de inversiones, o servicios de banca de inversión;

(8) Servicios legales y servicios expertos relacionados con la auditoría, y

(9) Cualquier otro servicio que la junta determine, mediante regulación, que no es permisible.

(h) Aprobación previa requerida para servicios de no-auditoría. Una firma de contaduría pública registrada puede contratar cualquier servicio de no-auditoría, incluyendo servicios tributarios, que no esté descrito en los parágrafos (1) a (9) de la subsección (g) para un cliente de auditoría, solamente si la actividad es aprobada previamente por el comité de auditoría del emisor, de acuerdo con la subsección (i).

(i) Autoridad que puede eximir. La junta puede, en una base de caso por caso, eximir a una persona, emisor, firma de contaduría pública, o transacción, de la prohibición de servicios contemplada en la sección 10a(g) de la Securities Exchange Act od 1934 (tal y como fue añadida por esta sección), en la extensión en que tal exención sea necesaria o apropiada en interés público y que sea consistente con la protección de los inversionistas, y sujeta a revisión por la comisión de la misma manera que para las reglas de la junta bajo la sección 107” [Secc. 201, (g), (h), (i)].

2. Pronunciamientos profesionales

Se destacan dos pronunciamientos profesionales: el del ISB y el de la FEE.

El Independence Standards Board (ISB) fue un esfuerzo importante de diversos organismos que quisieron consolidar otro que, con carácter independiente y por la vía de la auto-regulación, definiera los estándares internacionales relacionados con la independencia. Fue disuelto el 31 de julio de 2001 sin que alcanzara a emitir una versión final oficial de su estructura conceptual sobre la independencia.

Sin embargo, en su corta vida alcanzó a emitir en Julio de 2001 el reporte final preparado por el personal del ISB (basado en el borrador preparado para discusión pública titulado Statement of independence concepts – A Conceptual framework for auditor independence [Declaración sobre conceptos de independencia – Una estructura conceptual para la independencia del auditor]. Este reporte no fue aprobado institucionalmente por el ISB, a causa de su desaparición.

Dicho reporte se resume de la siguiente manera(46):

Describe una estructura conceptual para la independencia del auditor a ser usada:

• Como fundamento para desarrollar estándares de independencia basados-en-principios,

• Como guía para resolver problemas de independencia en ausencia de estándares u otras reglas, y

• Como un recurso para ayudarle a inversionistas, otros usuarios de información financiera, y otras partes interesadas a que entiendan mejor cómo la independencia de los auditores contribuye a la calidad de la auditoría.

Contiene cuatro componentes interrelacionados: (1) una definición de independencia del auditor; (2) una meta de la independencia del auditor; (3) conceptos; y (4) principios básicos.

Define independencia del auditor como (a) independencia de la mente-libertad frente a los efectos de las amenazas a la independencia del auditor que serían suficientes para comprometer la objetividad de un auditor, y (b) independencia en la apariencia-ausencia de actividades, relaciones, y otras circunstancias que harían que inversionistas bien informados y otros usuarios concluyan razonablemente que existe un alto riesgo inaceptable de que un auditor carece de independencia de la mente. El cumplimiento con las reglas y regulaciones que gobiernan la independencia del auditor es necesario, pero puede no ser suficiente, para que un auditor sea considerado independiente bajo la definición. Un auditor también tiene que ser capaz, y los inversionistas bien informados y otros usuarios tienen que esperar que el auditor sea capaz, de sobreponerse a los efectos de las amenazas que comprometerían la objetividad.

Más que centrarse en la independencia como un fin en sí misma, la estructura conceptual describe la meta de la independencia del auditor como el ayudarle a asegurar la calidad de las auditorías en orden a apoyar la confianza de los inversionistas y de los otros usuarios del proceso de presentación de estados financieros y facilitar la asignación óptima del capital.

Los conceptos de independencia del auditor descritos en la estructura conceptual comprenden un modelo de riesgos(47) para la independencia del auditor:

• Las amenazas a la independencia del auditor son presiones y otros factores que menoscaban la objetividad de un auditor. La estructura conceptual discute cinco tipos de amenazas a la independencia del auditor —auto-interés; auto-revisión; abogamiento; familiaridad (o confianza), e intimidación— que se pueden dar en diversas actividades, relaciones, y otras circunstancias.

• Las salvaguardas a la independencia del auditor son controles que mitigan los efectos de las amenazas. La estructura conceptual provee ejemplos de salvaguardas que existen en el actual entorno de la auditoría o que pudieran darse en respuesta a las amenazas a la independencia del auditor.

• El riesgo de independencia es la probabilidad de que la objetividad de un auditor (a) estaría comprometida o (b) razonablemente parecería comprometida para inversionistas y otros usuarios bien informados. La significancia de una amenaza es la extensión en la cual la salvaguarda disminuye el riesgo de independencia. La estructura conceptual provee ejemplos de factores que afectan la significancia de las amenazas y la efectividad de las salvaguardas.

Los principios sirven como guías para asistir a los individuos y a las organizaciones a que tomen decisiones de independencia al analizar los problemas de independencia en una amplia variedad de circunstancias.

• Los tomadores de decisiones de independencia deben considerar el nivel del riesgo de independencia mediante el análisis de los tipos y de la significancia de las amenazas a la independencia del auditor y los tipos y efectividad de las salvaguardas, valorar si el nivel del riesgo de independencia es aceptablemente bajo, y aplicar las salvaguardas apropiadas si no lo es. La estructura conceptual especifica que solamente un nivel muy bajo de riesgo de independencia se debe considerar aceptable.

• Los tomadores de decisiones de independencia deben concluir que los beneficios de riesgos de independencia reducidos a partir de aplicar las salvaguardas exceden sus costos. Si bien los beneficios del riesgo de independencia reducido y de los costos de las salvaguardas a menudo son difíciles de identificar y cuantificar, los tomadores de decisiones de independencia deben considerarlos cuando valoran la aceptabilidad del nivel del riesgo de independencia.

• Los tomadores de decisiones de independencia deben considerar los puntos de vista de los inversionistas, de otros usuarios, y de otras personas que tengan interés en la integridad de la presentación de reportes financieros, cuando consideran el nivel del riesgo de independencia, cuando valoran su aceptabilidad, y cuando consideran los costos y los beneficios de aplicar las salvaguardas.

Lo importante de este documento es que fue acogido, de hecho, por la Regla Final de la SEC y, sobre todo, por el Código IFAC de ética para contadores profesionales.

Susan McGrath y su equipo(48) hacen una síntesis del documento del ISB, subrayando que dicho borrador para discusión pública define la independencia del auditor como “la libertad frente a aquellos factores que comprometen, o que razonablemente se puede esperar comprometen, la habilidad de un auditor para tomar decisiones de auditoría sin sesgo”.

Señalan cómo la estructura conceptual del ISB se basa en tres etapas clave: (1) identificación de las amenazas a la independencia del auditor y análisis de su significado; (2) evaluación de la efectividad de las salvaguardas potenciales, incluyendo las restricciones; y (3) determinación de un nivel aceptable de riesgo de independencia (el riesgo de que se comprometerá la independencia del auditor).

E insisten en que la estructura conceptual del ISB identifica cinco tipos de amenazas: (1) auto-interés; (2) auto-revisión; (3) abogamiento; (4) familiaridad; y (5) intimidación.

La Fédération des Experts Comptables (FEE) emitió en febrero de 2001 un documento extremadamente importante: Enfoque conceptual para proteger la independencia del auditor(49). Este documento es el aporte de la profesión contable europea para una declaración que sobre la independencia del auditor emitirá la Unión Europea en un futuro cercano. Tiene las siguientes características:

• Adopta un enfoque de auditoría de estados financieros orientada a los stakeholders y al interés público.

• Abandona los tradicionales esquemas basados-en-reglas y se orienta por uno basado-en-estructuras-conceptuales.

• Señala que, en líneas generales, el enfoque conceptual opera como sigue:

— Se establecen principios fundamentales que un contador tiene que observar siempre. (En el caso de la auditoría, el principio fundamental relevante es la objetividad, la cual necesariamente requiere que el auditor sea independiente).

— Un contador tiene que considerar de manera concienzuda, antes de tomar parte en un trabajo, si éste conlleva amenazas que podrían, de hecho o en apariencia, impedir la observación de los principios fundamentales.

— Cuando existen tales amenazas, tiene que poner en funcionamiento salvaguardas que las eliminen o las reduzcan a niveles claramente insignificantes.

— Si es incapaz de implementar completamente las salvaguardas adecuadas, está en la obligación de no llevar a cabo el trabajo.

• La clave para el éxito del enfoque conceptual es la efectividad de las salvaguardas. Éstas aplican en tres niveles: (1) salvaguardas en el ambiente de trabajo; (2) salvaguardas que incrementan el riesgo de detección; y (3) salvaguardas específicas para tratar casos particulares.

3. Estándares profesionales

La intención aquí tampoco es abarcar todo el horizonte de los estándares profesionales. Se resaltan los dos más importantes para el tema en mención: los estándares de ética profesional emitidos por el AICPA y por IFAC(50).

El Código de Conducta Profesional del AICPA, revisado en 2001, es un documento importante porque: (1) abre el horizonte de los servicios profesionales de los contadores; (2) considera la independencia como uno de los principios de conducta profesional; y, (3) incorpora el enfoque basado-en-estructuras conceptuales.

Si bien este documento no es pródigo en detalles sobre el riesgo de independencia, su valor principal radica en que se abre a transformaciones importantes en la profesión.

El Código IFAC de ética para contadores profesionales (revisado noviembre 2001) es, sin lugar a dudas, el documento más importante sobre el tema en cuestión dado que: (1) se trata de un estándar internacional; (2) incorpora el enfoque basado-en-conceptos; y (3) su núcleo central (tanto en cantidad como en calidad) se encuentra en lo relacionado con la independencia de los contadores profesionales en ejercicio profesional público.

Las características del enfoque que adopta este estándar internacional son:

1. Explicado en el marco de los contratos de aseguramiento. Por lo tanto, se sale del esquema tradicional de atestación y se introduce en el del aseguramiento de información. Asunto clave.

2. Se basa en un enfoque conceptual sobre la independencia. Y resalta que la independencia es: (1) independencia de la mente; y (2) independencia en la apariencia. Otra transformación clave dado que no se queda en la independencia mental convencional.

3. Su objetivo es asistir a las firmas y a los miembros de los equipos de aseguramiento a: (a) identificar las amenazas a la independencia; (b) evaluar si esas amenazas son claramente insignificantes; y (c) en los casos en los que las amenazas no son claramente insignificantes, identificar y aplicar las salvaguardas apropiadas para eliminar o reducir las amenazas a un nivel aceptable. Claramente, el enfoque es de administración de riesgos de independencia. Posiblemente la innovación más radical, todavía no asimilada del todo por la profesión en el mundo.

4. La sección 8, dedicada a la independencia del contador profesional en ejercicio profesional público, esboza las amenazas a la independencia (parágrafos 8.28 a 8.33). Luego analiza las salvaguardas capaces de eliminar esas amenazas o de reducirlas a un nivel aceptable (parágrafos 8.34 a 8.47). Concluye con algunos ejemplos sobre cómo aplicar este enfoque conceptual a circunstancias y relaciones específicas. Los ejemplos discuten amenazas a la independencia que pueden ser generadas por circunstancias y relaciones específicas (parágrafos 8.100 y siguientes). Se usa el juicio profesional para determinar las salvaguardas apropiadas con el fin de eliminar las amenazas a la independencia o para reducirlas a un nivel aceptable. En ciertos ejemplos, las amenazas a la independencia son tan significativas que las únicas acciones posibles son eliminar las actividades o intereses que generan la amenaza, o negarse a aceptar o continuar el contrato de aseguramiento. En otros ejemplos, la amenaza se puede eliminar o reducir a un nivel aceptable mediante la aplicación de salvaguardas. Los ejemplos no tienen la intención de ser totalmente inclusivos.

5. Perspectivas nacionales. Esta sección establece una estructura conceptual para los requerimientos de independencia para los contratos de aseguramiento, la cual constituye el estándar internacional sobre el cual se deben basar los estándares nacionales. De acuerdo con ello, a ninguna asociación o firma miembro se les permite aplicar estándares menos exigentes que los establecidos en esta sección.

Sin embargo, cuando por ley o regulación, a las asociaciones o firmas miembro se les prohíbe cumplir ciertas partes de esta sección, deben cumplir con todas las otras partes de la misma.

6. Amenazas a la independencia. La independencia es afectada potencialmente por amenazas de: (1) auto-interés; (2) auto-revisión; (3) abogamiento; (4) familiaridad; y (5) intimidación.

La amenaza de auto-interés ocurre cuando una firma o un miembro del equipo de aseguramiento se pudiera beneficiar de un interés financiero en, u otro autointerés entra en conflicto con, un cliente de aseguramiento.

La amenaza de auto-revisión ocurre cuando: (a) cualquier producto o juicio de un contrato de aseguramiento previo o de un contrato de no-aseguramiento previo, requiere ser vuelto a evaluar con el fin de conseguir conclusiones sobre el contrato de aseguramiento, o (b) cuando un miembro del equipo de aseguramiento previamente fue director o ejecutivo del cliente de aseguramiento, o fue un empleado que se encontraba en posición de ejercer influencia directa o significativa sobre la materia sujeto del contrato de aseguramiento.

La amenaza de abogamiento ocurre cuando una firma, o un miembro del equipo de aseguramiento, promueve —o puede percibirse que promueva— una posición u opinión del cliente de aseguramiento hasta el punto que se pueda comprometer, o se pueda percibir que se comprometa, la objetividad. Tal puede ser el caso si una firma o un miembro del equipo de aseguramiento subordina su juicio al del cliente.

La amenaza de familiaridad ocurre cuando, por virtud de una relación estrecha con un cliente de aseguramiento, sus directores, ejecutivos o empleados, una firma o un miembro del equipo de aseguramiento se vuelve demasiado comprensivo con los intereses del cliente.

La amenaza de intimidación ocurre cuando un miembro del equipo de aseguramiento puede ser disuadido de actuar objetivamente y de ejercer el escepticismo profesional mediante amenazas, actuales o percibidas, recibidas de los directores, ejecutivos o empleados de un cliente de aseguramiento.

7. En consecuencia de lo anterior, el riesgo de independencia está conformado por cinco factores: riesgo de auto-interés, riesgo de auto-revisión, riesgo de abogamiento, riesgo de familiaridad, y riesgo de intimidación. Esto será, en el futuro cercano, un asunto clave para el desarrollo de aplicaciones prácticas y modelos matemáticos de cálculo. A diferencia de algunas estructuras conceptuales (ver adelante) que buscan reducir el riesgo de independencia a solo tres componentes, para de alguna manera asimilarlo con el riesgo de auditoría. Deberá prestarse mucha atención a esto.

8. Las salvaguardas se ubican en tres categorías amplias: (1) salvaguardas generadas por la profesión, legislación o regulación; (2) salvaguardas dentro del cliente de aseguramiento; y (3) salvaguarda dentro de los sistemas y procedimientos propios de la firma.

4. Academia

La literatura técnica sobre el riesgo de independencia es todavía incipiente. Además de los documentos mencionados, se destacan dos trabajos: (1) el de Johnstone et al.; y (2) el de Turner et al.

Se caracterizan por sintetizar el estado del asunto y por, de alguna manera, ofrecer su aporte propio. La bibliografía que respalda cada uno de ellos es extensa, lo cual conduce a afirmar que el tema no es tan nuevo ni tan improvisado: se está incorporando con celeridad y está implicando abandonar muchas prácticas del pasado, hoy obsoletas.

Karla M. Johnstone es profesor asistente de la University of Wisconsin-Madison y posiblemente una de las personas que más está liderando el análisis de este tema. Junto con Michael H. Sutton y Terry D. Warfield proponen una estructura conceptual(51) que explica cómo ciertos incentivos que afectan el riesgo de independencia interactúan con factores situacionales para afectar la calidad de la auditoría actual o percibida.

Posiblemente lo más interesante de su propuesta es que articula los efectos combinados de: (1) incentivos directos; (2) incentivos indirectos; y (3) decisiones basadas en el juicio (que implican problemas difíciles de contabilidad, materialidad, y dirección de la auditoría).

De igual manera, identifica una diversidad de factores que pueden mitigar el riesgo de independencia: (1) mecanismos de gobierno corporativo; (2) supervisión reguladora; (3) políticas de la firma de auditoría; (4) cultura de la firma de auditoría; y (5) características del auditor individual.

Y finalmente, muestra los efectos del riesgo de independencia sobre los diversos stakeholders.

En este sentido, la propuesta se orienta a lo que técnicamente se denomina un enfoque integrado de riesgos alrededor del análisis de la correlación de éstos.

Define el riesgo de independencia como el riesgo de que se pueda comprometer o que se perciba está comprometida la independencia del auditor.

Ofrece una importante contribución a la literatura sobre la independencia del auditor, la cual se expresa de diversas maneras:

Presenta, en una estructura conceptual, los antecedentes y las consecuencias del riesgo de independencia. Para evitar la tentación de discutir cada factor por separado.

El desarrollo de una estructura conceptual para el entendimiento del riesgo de auditoría es importante porque la independencia es el activo más importante y fundamental poseído por la profesión auditora. Sin independencia carente de cuestionamientos, las auditorías tienen poco valor. En el contexto de los mercados de capital, el valor de una auditoría surge a partir de su rol en el direccionamiento de un conflicto de intereses que es inherente en esos mercados. Ese conflicto es entre quienes buscan capital en el mercado y quienes proveen capital. Quienes buscan capital esperan obtenerlo en los términos más favorables para ellos; quienes proveen capital esperan hacerlo en los términos más favorables para ellos. En los mercados públicos de capital, quienes buscan capital generalmente poseen información interna sobre el proceso de emisión de la compañía y los prospectos para su éxito futuro, los cuales no están disponibles para los proveedores de capital. Dado que quienes buscan capital también tienen la habilidad para hacer equivocar a los proveedores de capital respecto de los prospectos del emisor en relación con el éxito futuro, los proveedores de capital están inherentemente en desventaja respecto de su habilidad para controlar, negociar, o evaluar los términos de la oferta y los precios de la negociación en los mercados públicos de capital. Mediante el ser independientes de los buscadores de capital, tanto de hecho como en apariencia, los auditores agregan valor en los mercados públicos de capital mediante el proteger los intereses de los proveedores de capital.

Adicionalmente, una estructura conceptual para el entendimiento del riesgo de independencia provee una base para discutir los factores que afectan el riesgo de independencia y las respuestas del mercado emprendidas para mitigar ese riesgo. La evaluación de todos esos factores dentro de una estructura conceptual única provee luces respecto de sus efectos combinados e interrelacionados(52).

Otro asunto clave de esta estructura conceptual es que analiza riesgos tanto internos como externos, dando prelación al análisis de estos últimos, a lo cual denomina “condiciones ambientales que generan riesgo de independencia”: (1) los incentivos actuales o percibidos; (2) las situaciones de decisión basadas en juicio. Esto es clave, dado que permite orientar el análisis hacia la planeación estratégica: el centro de atención no está, por consiguiente, en lo transaccional. Sin lugar a dudas, adopta el modelo de administración de riesgos del emprendimiento. La Figura 1 resume con claridad la estructura conceptual que proponen.

J.L.Turner, T.J. Mock, y R. Srivastava, de las University of Memphis, University of Southern California, y de la University of Kansas(53), respectivamente, analizan los principales esfuerzos y las estructuras conceptuales disponibles en relación con el riesgo de auditoría, criticando el ser reglas de naturaleza general y que solamente sugieren algunas conexiones entre los diversos factores: ‘ninguna de esas estructuras conceptuales y ninguno de esos conjuntos de reglas intentan relacionar de manera formal esas relaciones’.

Definen riesgo de independencia como “el riesgo que amenaza comprometer la independencia del auditor (en la extensión en que no se puede mitigar por salvaguardas), o que razonablemente se puede esperar comprometa, la habilidad de un auditor para tomar decisiones de auditoría carentes de riesgo”. Esta definición no difiere de la del ISB.

 

Turner et al., desarrollan un modelo formal de riesgo de independencia y lo usan para mostrar cómo se pueden direccionar preguntas tales como aquellas que involucran interrelaciones complejas entre las variables del modelo.

Por ello, ven al riesgo de independencia como una función de tres factores: (1) incentivos; (2) oportunidad; y (3) integridad del auditor, representándolo de la siguiente manera:

Riesgo de independencia = f (incentivos, oportunidad, integridad del auditor)

donde:

Incentivos representa un continuo de diversos tipos de incentivos que pueden llevar a que los auditores violen las guías éticas.

Oportunidad representa un continuo de las oportunidades disponibles para que el auditor sesgue su juicio profesional.

Integridad del auditor representa un continuo que mide la carencia de integridad ética del auditor.

Con una aclaración extremadamente importante:

Para que exista el riesgo de independencia, es necesario cada componente, pero no suficiente. Esto es, se menoscabará la independencia solamente cuando el auditor carezca de integridad y cuando existan tanto oportunidad como incentivos.

Una debilidad de este trabajo es reducir a solo tres los cinco componentes de la misma estructura conceptual que respaldan. Sin embargo, su fortaleza principal radica en ser capaces de modelarla, esto es, hacerla operacionalizable matemáticamente. Utilizan variables que pueden modificarse de acuerdo con las circunstancias concretas, lo cual facilita su comparación en diversos escenarios. Habrá que esperar los resultados que ello dé.

Administración de riesgos del emprendimiento

La administración de riesgos del emprendimiento es, hasta ahora, la última fase en la evolución de la administración de riesgos, fase actual que se caracteriza por centrarse en ayudarle a las compañías a que desarrollen estrategias amplias de administración de riesgos que le den soporte a la maximización de la riqueza de los accionistas(54) o a la generación de valor de stakeholders(55).

En todo caso, corresponde a un paso hacia adelante desde prácticas parciales (aisladas; transaccionales) hacia la búsqueda de soluciones comprensivas (integrales; estratégicas) que tengan en cuenta no solo elementos particulares sino el conjunto de la organización, incluyendo tanto su conformación interna como su entorno. Se trata, entonces, de incorporar una perspectiva sistémica (holística) a la administración de riesgos.

Es un proceso complejo y multifacético que varía de una organización a la siguiente. Requiere ser percibido como un proceso ongoing que necesita supervisión, planeación y modificación continuos en la medida que evoluciona.

Distintas profesiones han entendido que éste es su horizonte de cambio y hacia él trabajan con ahínco: consultores (financieros y actuariales) y auditores (internos y financieros) se destacan por la rapidez con la que están trabajando en esta dirección, hecho que les está conllevando abandonar muchas de sus prácticas tradicionales, desarrollar nuevas habilidades, modificar sus esquemas de formación/capacitación y, sobre todo, aplicar modelos interdisciplinarios.

¿Por qué emprendimiento y no empresa?

El término técnico en inglés es ‘Enterprise risk management (ERM) que normalmente se traduce como ‘administración de riesgos de la empresa’, pero que en realidad es ‘administración de riesgos del emprendimiento’.

El vocablo inglés ‘enterprise(56) es una palabra originada en el ‘mediano inglés’, época en la que fue tomada del francés entreprendre, que es el compuesto de entre (inter.) y prendre (llevar, aceptar, acometer). Tiene tres acepciones:

1. Un proyecto o emprendimiento que es especialmente difícil, complicado, o riesgoso

2. Disponer o hacer algo en preparación para ocuparse o comprometerse en acción atrevida o audaz: iniciativa

3. (a) una unidad de organización o actividad económica; organización de negocios; (b) una actividad decididamente sistemática.

Su principal sinónimo, en inglés, es ‘to undertake’:

1. Tomar (hacer) algo por uno mismo: intentar (una tarea)

2. Colocarse uno mismo en la obligación de desempeñar; aceptar un cargo o responsabilidad

3. Garantizar, prometer; dar fianza o asumir responsabilidad

En español, el término ‘empresa(57) tiene también varias acepciones:

1. Acción ardua y dificultosa que valerosamente se comienza

2. Cierto símbolo o figura enigmática que alude a lo que se intenta conseguir o denota alguna prenda de la que se hace alarde, para cuya mayor inteligencia se añade comúnmente alguna palabra o mote

3. Intento o designio de hacer alguna cosa

4. Casa o sociedad mercantil o industrial fundada para emprender o llevar a cabo construcciones, negocios o proyectos de importancia

5. Obra o designio llevado a efecto, en especial cuando en él intervienen varias personas

6. Entidad integrada por el capital y el trabajo, como factores de la producción, y dedicada a actividades industriales, mercantiles o de prestación de servicios generalmente con fines lucrativos y con la consiguiente responsabilidad.

Se observa, entonces, que dichos términos pueden entenderse ya sea en sentido amplio (incluyendo el conjunto de las acepciones) o en sentido estrecho (reduciéndolo solamente a las formas o regulaciones jurídicas de la actividad empresarial). En la actualidad, a causa de la importancia creciente del pensamiento de sistemas, se prefieren los sentidos amplios, globales. Por esa razón, hoy en español conviene utilizar el término ‘emprendimiento’ dado que subraya el aspecto amplio de emprender (hacer empresa) y no solamente el reducido a las formas legales (asociado, sin lugar a dudas, al establecimiento de comercio).

¿Qué es administración de riesgos del emprendimiento?

En Enterprise risk management está claro que el sentido que se utiliza es el amplio, dado que incluye aspectos tanto internos como externos. Por esa razón, es preferible utilizar en español el término ‘administración de riesgos del emprendimiento’.

De esta manera, se entiende mejor la definición que da a ello la Casuality Actuarial Society (CAS):

“Proceso mediante el cual organizaciones de todas las industrias valoran, controlan, explotan, financian y monitorean los riesgos provenientes de todas las fuentes, con el propósito de incrementar el valor de la organización en el largo y en el corto plazo para sus stakeholders”(58).

O la que aporta el estudio de investigación realizado por The Institute of Internal Auditors:

“Un enfoque vigoroso y coordinado para valorar y responder a todos los riesgos que afectan el logro de los objetivos estratégicos y financieros de una organización. Esto incluye riesgos tanto internos como externos”(59).

La administración de riesgos del emprendimiento es, en esencia, el último nombre dado a un enfoque general (global, total), de administración de riesgos de negocio. Los principales precursores de este nuevo enfoque son: administración de riesgos corporativos [corporate risk management], administración de riesgos de negocio [business risk management], administración holística de riesgos [holistic risk management], administración estratégica de riesgos [stragegic risk management], administración integrada de riesgos [integrated risk management](60) o también, administración consolidada de riesgos [consolidated risk management], administración de riesgos de la empresa amplia [enterprise-wide risk management](61).

La anterior no es la única definición de ERM. De hecho, abundan y generalmente difieren más en la forma que en la sustancia. Las características importantes que la mayoría de las definiciones subrayan son:

1. La administración de riesgos es un hecho. Inicialmente se expresó como identificación (medición) y control de los riesgos. Ahora el proceso total es más amplio: valoración, control, explotación, financiación y monitoreo de los riesgos.

Ello ha conducido a la coordinación de estrategias de administración de riesgos que expanden(62):

• La valoración de riesgos: para incluir identificación, análisis, medición, priorización.

• La mitigación de riesgos: para incluir los procesos de control.

• La financiación de riesgos: para incluir la financiación interna y la transferencia externa, como es el caso de los seguros y las coberturas.

• El monitoreo de los riesgos: para incluir la presentación de reportes y la retroalimentación tanto internos como externos, como parte de la valoración de riesgos, continuando el lazo.

• El centro de atención: colocándolo en los objetivos generales financieros y estratégicos de la organización.

• El reconocimiento de la naturaleza tanto interna como externa de los riesgos.

2. Inclusión de riesgos provenientes de todas las fuentes (financieros, operacionales, estratégicos, etc.) y explotación de las ‘coberturas naturales’ y de los ‘efectos portafolio’ derivados de tratar esos riesgos en el colectivo.

3. Inicialmente, se dio una percepción ‘aislada’ de los riesgos: cada uno se analizaba y administraba por separado (riesgos de peligro, financieros, operacionales, estratégicos, de tasa de interés, de mercancías, de compensación de trabajadores, de distribución de productos, etc.). Hoy ya no es suficiente analizarlos por separado y desarrollar estrategias únicas para cada riesgo específico: la meta de la administración de riesgos del emprendimiento es desarrollar una estrategia corporativa global para direccionarlos, dado que es necesario analizar la correlación entre los diversos riesgos(63). Se insiste hoy en una administración de riesgos integrada, continua y con un centro de atención amplio.

4. El cambio principal conduce a un enfoque general de riesgos menos transaccional y más estratégico. El análisis ya no es defensivo sino proactivo: del ‘control’ al ‘realce del valor’. En una era de cambios sin precedentes, que no dan tregua y que dan origen a nuevos riesgos de globalización, interdependencia, tecnológicos y de cambio en el mercado, así como de incertidumbre política y socio-económica(64).

5. Se requieren, entonces, nuevas herramientas y nuevas prácticas para identificar, clasificar y medir los riesgos. Pero también, estrategias creativas para administrarlos.

Lo anterior, visto desde otra perspectiva, se resume de la siguiente manera:

“La administración de riesgos del emprendimiento es un proceso y una perspectiva comprensivos que le ayudan a las compañías a desarrollar estrategias de administración de riesgos que le den soporte a la maximización de la riqueza de los accionistas. Es un proceso en el que toda la organización identifica, cuantifica, modela, mitiga, y financia los riesgos. La meta de ERM es optimizar la exposición a los riesgos a lo largo de toda la firma. ERM ve los riesgos desde las perspectivas del director ejecutivo jefe, de los miembros de la junta, de los accionistas, o de los otros administradores principales, en lugar de como los ven los departamentos separados de la firma.

ERM le permite a una organización moverse más allá de administrar los riesgos por separado, mediante el desarrollo de un perfil corporativo amplio. Las preguntas que dan inicio al proceso ERM son:

• ¿Cuáles son los riesgos de mi compañía, independiente de su origen?

• ¿Cuál es su magnitud?

• ¿Cuál es su frecuencia?

• ¿Cuál es la relación que existe entre los riesgos?

• ¿Cómo impacta el valor de la firma?

• Y, quizás lo más importante, ¿deben los riesgos financieros, estratégicos, y operacionales ser administrados colectivamente, dado que todos los tres tipos de riesgo pueden tener la misma consecuencia potencial un efecto negativo en las ganancias de una compañía?

ERM asume que los accionistas son indiferentes a la departamentalización arbitraria de los riesgos. También asume que los factores de riesgo tienen múltiples efectos y que, para que tengan cualquier valor, los programas de mitigación de riesgos tienen que considerar todos esos efectos.

ERM ofrece un proceso para medir los riesgos sobre una base común, valora las interrelaciones entre esos riesgos, y analiza sus impactos potenciales en toda la firma. Además, el ver los riesgos de una compañía sobre una base de portafolio le permite a los ejecutivos principales ver cómo interactúan los riesgos y provee a la administración con una mejor perspectiva sobre cómo serán afectados el balance general, el estado de ingresos, y los flujos de efectivo, si ocurren eventos no anticipados(65)”.

Esta última perspectiva (de accionistas) considera que hacer el tránsito hacia un enfoque estratégico implica una cantidad de etapas que incluyen:

1. Determinación de los objetivos y establecimiento de un equipo de ERM (herramienta clave: mapeo de los procesos).

2. Creación de un perfil de riesgos de negocio (herramienta clave: revisión sistemática a partir del nuevo paradigma holístico).

3. Desarrollo e implementación de una estrategia comprensiva de administración de riesgos (herramienta clave: ir más allá de las prácticas tradicionales aisladas ‘propias’ e integrarlas con las prácticas ‘ajenas’: integración y correlación de riesgos).

4. Evaluación de la efectividad de la estrategia seleccionada. (Herramienta clave: análisis para el mejoramiento continuo; modelos matemáticos).

La otra perspectiva (de stakeholders) no difiere mucho en el proceso que conlleva dicho tránsito, simplemente que es más exigente al considerar no solamente los intereses de los accionistas sino los de todos los demás stakeholders.

Otros enfoques de ERM

Adicional a las perspectivas mencionadas, es importante considerar el análisis que sobre los enfoques de ERM ofrece la investigación realizada para The Institute of Internal Auditors:

Un enfoque de ERM se puede ver en tres dimensiones. La primera representa el rango de operaciones de la organización. Algunas organizaciones han comenzado en pequeña escala, haciendo una prueba piloto de ERM en una, o en pocas, de sus unidades de negocio o localizaciones, para afinamiento en tiempo real y para replicarlo eventualmente en toda la empresa. La segunda dimensión representa las fuentes de riesgo (peligro financiero, operacional, etc.). Otras organizaciones limitan el alcance inicial de ERM a un subconjunto seleccionado de sus fuentes de riesgo, por ejemplo, riesgo de catástrofes en las propiedades, riesgo de tasa de cambio. Eventualmente, se estratificarían todas las fuentes de riesgo, de forma secuencial.

La tercera dimensión representa los tipos de actividades o procesos de administración de riesgos (identificación, medición, financiación, etc.). Algunas organizaciones limitan su visión inicial a la identificación y priorización de los riesgos de toda la empresa, por ejemplo, con actividades subsecuentes dependiendo de los resultados. Otras comienzan generando un programa integrado de financiación de los riesgos, alrededor de un subconjunto de fuentes de riesgos; ello depende a menudo de las fuentes de riesgo para las cuales sus proveedores de servicios financieros ya tienen productos integrados. Otros comienzan todavía midiendo y modelando virtualmente todas las fuentes de riesgo, independiente de su prioridad y de la disponibilidad actual de productos de financiación de los riesgos.

Dentro del universo ERM, han emergido dos modelos generales: un enfoque orientado-a-la-medición y un enfoque de control de procesos. No consideramos que esos modelos sean mutuamente excluyentes. Comparten muchas similitudes y solamente difieren en su énfasis en ciertos puntos —cada uno tiene fortalezas y debilidades inherentes—.

En un enfoque orientado-a-la-medición, el centro de atención está en los riesgos más relevantes para la organización. De manera efectiva prioriza los riesgos y coloca la atención de la administración donde más se necesita. Sin embargo, una de las debilidades posibles es el riesgo de una serie en cascada de eventos que inicialmente parecen pequeños, con una baja probabilidad de ocurrencia y por consiguiente no se visualizan inicialmente, pero que rápidamente se vuelven significativos.

En un enfoque de control-de-procesos, el centro de atención está en los procesos de negocio. Este enfoque no categoriza los riesgos por su materialidad sino que asume el enfoque de administrar todos los riesgos mediante la administración consistente y rigurosa de las etapas de los procesos de negocio. Es inherente a este modelo que los buenos procesos puedan controlar los riesgos. Sin embargo, como lo enfatizó el colapso de Barings, los controles a los procesos son solamente tan efectivos como su aplicación y monitoreo.

Cada modelo incorpora los siguientes pasos:

• Identificación de riesgos: ¿Cuáles son los riesgos a través de las diferentes funciones y unidades de negocio en mi organización?

• Medición de riesgos: ¿Cuál es el impacto potencial relativo de esos factores de riesgo?

• Mitigación de riesgos: ¿Cuál es la mejor manera para administrar/eliminar esos riesgos?

• Monitoreo de riesgos: ¿Está funcionando mi estrategia de mitigación?

Desafortunadamente, no existe un enfoque ‘correcto’ único o simple, que sea la guía de implementación paso a paso para un ERM apropiado en todas las organizaciones. El patrón correcto es una función de la cultura de la organización y de sus circunstancias de negocio únicas. Si bien han sido identificados dos enfoques generales, en la práctica las organizaciones incorporan elementos de ambos modelos en sus actividades de ERM. En la medida en que las organizaciones se muevan hacia ERM, las decisiones requerirán tomarse sobre si un modelo único de ERM o alguna adaptación de ambos modelos es el método más apropiado(66).

De lo anterior queda claro que ERM se convierte en una nueva herramienta para la administración organizacional, dada la cantidad de ventajas que ofrece para los líderes de las organizaciones. Si se vuelve o no elemento permanente es algo que solamente la historia podrá resolver.

Origen del interés en ERM

Mediante la administración de riesgos del emprendimiento se buscan, por consiguiente, soluciones comprensivas (integrales), no porque el problema sea nuevo, sino porque las consecuencias de fallar (o de acertar) son enormes. Esta es la causa principal por la cual hoy muchos están interesados en impulsar este enfoque(67):

• La administración, porque le permite optimizar los procesos con los cuales asume los riesgos;

• Los acreedores, prestamistas, e inversores, dado que les posibilita actuar más directamente sobre las causas que generan los riesgos;

• Los reguladores, en cuanto les hace factible enriquecer la revelación de los riesgos por fuera y por dentro del balance, asegurar que las instituciones están suficientemente capitalizadas para enfrentar los riesgos que toman, y para reducir el riesgo sistémico;

• La organización misma porque les permite tener buen sentido de negocios.

La investigación realizada para The Institute of Internal Auditors encontró cinco factores principales que motivan a las organizaciones para que direccionen sus actividades ERM(68):

• Deseo de tener una estructura conceptual unificada

• Guías de orientación sobre el gobierno corporativo

• Mandato dado por la junta de directores

• Presiones competitivas

• Deseo de tener estabilidad en las ganancias

A ello se debe agregar la creciente presión que existe sobre las corporaciones para que mejoren sus mecanismos de gobierno y revelen plenamente los factores y problemas claves de riesgo que enfrentan.

Surge así una propuesta diferente para implementar una estrategia efectiva de ERM, asunto que no se considera fácil y que para cada organización es diferente. Tal propuesta(69) considera que existen tres elementos fundamentales que debe tener cualquier estrategia de administración de riesgos: (1) cultura corporativa; (2) procedimientos; y (3) tecnología.

(1) Cultura corporativa. Los casos más conocidos de fraude corporativo (Inicialmente Orange Country, Baring Bank, Daiwa Bank, y Sumimoto Corp. y recientemente Enron, Worldcom, Xerox, etc.) muestran que ello se debió a que tenían una cultura corporativa que fue incapaz de enfrentar el comportamiento irresponsable.

Es un hecho que una organización administrará sus riesgos solamente si sus miembros desean hacerlo. Reguladores, banqueros y aseguradores pueden forzar algunos hechos, pero no pueden obligar a que una institución administre efectivamente sus riesgos.

Una cultura positiva de riesgos es aquella que promueve la responsabilidad individual y apoya la toma de riesgos. Ello incluye: individuos que asumen riesgos y se hacen responsables por ello; gente que cuestiona todo; admisión de la ignorancia (reconocimiento de la capacidad de equivocarse).

(2) Procedimientos. Los malos procedimientos generan burocracia. Los que se usan correctamente constituyen una herramienta poderosa para ERM.

El propósito de los procedimientos es empoderar la gente, dado que especifican cómo la gente puede lograr lo que se requiere hacer.

El éxito de los procedimientos depende críticamente de una cultura positiva de riesgos. Las muchas páginas de procedimientos son inútiles si no se les utiliza. Sin embargo, un conjunto simple de procedimientos puede hacer una enorme diferencia a favor de una organización si la gente confía en ellos y si asume la responsabilidad personal por ellos.

Los procedimientos sistematizan el proceso de administración de riesgos, señalando sus límites inferior y superior.

Los principales procedimientos incluyen:

• procedimientos de la junta directiva: para direccionar los conflictos de interés, clarificar la responsabilidad personal y facilitar la discusión y solución de problemas difíciles.

• líneas de presentación de reportes: cada persona en una organización debe reportar a una sola persona y esa línea de presentación de reportes debe ser explícita.

• autoridad para comerciar: cualquiera en una organización que se comprometa en una nueva forma de actividad de mercado debe obtener primero una revisión formal y un proceso de aprobación.

• límites de los riesgos: inferior y superior.

El mejor de los procedimientos es aquel que una organización espera implementar y promover.

(3) Tecnología en perspectiva. Para algunas industrias, la tecnología es un componente crítico de cualquier iniciativa de administración de riesgos. Para otras, es menos importante.

Un enfoque equilibrado comienza reconociendo que la administración de riesgos es principalmente sobre la gente: cómo piensa y cómo interactúan unos con otros. La tecnología es solamente una herramienta. Si está en las manos equivocadas, es inútil. Pero si se aplica apropiadamente, puede transformar una organización.

Un buen enfoque para implementar una estrategia de ERM es:

• Asignar inicialmente financiación mínima para la iniciativa, pero asegurar que los miembros de la junta, la administración principal y los otros supervisores están involucrados en el proceso.

• Comenzar planeando una estrategia de administración de riesgos que no involucre tecnología en todo.

• Una vez que se ha decidido sobre una estrategia de administración de riesgos, determinar entonces la tecnología que se requiere.

En la práctica, la tecnología básica es: agregación de datos (bases de datos), análisis de riesgos (con enfoque prospectivo) y automatización (para facilitar la supervisión).

Habilidades requeridas para la administración de riesgos del emprendimiento

Algunos(70) consideran que ERM es básicamente un regreso a las raíces de la administración de riesgos, la cual se especializó tanto que perdió su orientación fundamental. En consecuencia, consideran que además de las habilidades tradicionales (experimentadas exitosamente en las prácticas aisladas), se considera necesario obtener algunas habilidades adicionales:

1. El punto de partida es aprender la terminología de las finanzas y de la administración de riesgos financieros. Se quiera o no aceptar, es la más desarrollada y confiable. Además, los intereses básicos de los distintos stakeholders son de tipo económico y en los emprendimientos ello se expresa en términos financieros.

Dentro de este conjunto, se requiere aprender especialmente sobre:

• VaR (Valor en riesgo): en orden a vincular cualquier proceso comprensivo de administración de riesgos.

• Simulación y modelación: como herramientas básicas de análisis.

• Habilidad para localizar y explotar las coberturas naturales: aquellas condiciones que afectan los diferentes aspectos de las formas de compensación disponibles para una organización.

2. Traslado del centro de atención. Si bien es cierto que el enfoque básico para identificar, medir, evaluar, seleccionar y monitorear los riesgos continúa siendo el mismo, el cambio principal es examinar todos los riesgos que enfrenta una organización, no solamente centrarse en los de tipo financiero o en los que son asegurables.

Aquí son claves algunos aspectos:

• Enfoque de equipo. Dado que ERM involucra muchos aspectos diferentes de las operaciones de una organización, e integra una variedad amplia de distintos tipos de riesgos, ninguna persona es probable que tenga la experticia necesaria para manejar todo este rol.

• Las áreas que necesariamente debe integrar un equipo de ERM son: administración tradicional de riesgos, administración de riesgos financieros, administración de sistemas de información, auditoría (especialmente interna), planeación, y operaciones de línea.

• Lenguaje común. Todos tienen que aportar. Todos tienen que aprender.

3. Ubicación gerencial. De nada sirve intentar un enfoque estratégico si no se tiene el compromiso y la participación decidida de los integrantes del nivel directivo más alto. El desarrollo de habilidades gerenciales es, entonces, indispensable.

4. Pensamiento sistémico. No es posible lograr soluciones integrales a partir de metodologías fragmentadas (aisladas). El pensamiento sistémico permite ver, en conjunto, el todo, las partes, y las interrelaciones.

Apéndice

El modelo de riesgos de auditoría y la toma de decisiones de auditoría en el siglo veintiuno(71)

Tres son los elementos centrales de esta presentación: (1) Evolución de la orientación a riesgos en auditoría; (2) El modelo de riesgos de auditoría y la orientación actual de gran autoridad; y, (3) Consideraciones para una estructura conceptual de valoración de riesgos de auditoría en la toma de decisiones de auditoría en el siglo veintiuno.

Los riesgos de auditoría y la asignación de recursos

El asunto central está en poder conocer el estado de los negocios, o mejor aún, el ‘estado de la naturaleza’ de los negocios (expresado en función de proposición de valor, estrategia y ejecución de los negocios) y su interrelación con la información que representa el estado de los negocios (las medidas sobre los outcomes de los negocios y sobre los estados de la naturaleza).

Dicha interrelación ha cambiado sustancialmente desde la era del propietario-administrador hasta la era actual de capital-mercados:

• En la era del propietario-administrador las necesidades de información pertenecían tanto a los propietarios como a los administradores y eran respecto de costos, prevención y detección de robos. Les interesaba mucho conocer sobre las proposiciones de valor, la estrategia y la ejecución de los negocios. Los objetivos de auditoría eran entonces verificar la teneduría de libros y detectar los robos. Por lo tanto, la naturaleza del riesgo de auditoría era la falla en la detección de los errores en la teneduría de libros y la falla en la detección del fraude en la teneduría de libros.

• En cambio, ahora, en la era de los mercados de capital, el usuario principal es el inversionista y sus necesidades de información se refieren a los outcomes de los negocios y al estado de la naturaleza y le importa poco saber mucho sobre las proposiciones de valor, la estrategia y la ejecución de los negocios. Los objetivos de la auditoría son entonces opinar sobre la veracidad de ciertas representaciones que hace la administración sobre el estado de los negocios. En consecuencia, la naturaleza del riesgo de auditoría está en la falla para obtener conocimiento sobre las representaciones equivocadas que realiza la administración sobre el estado de los negocios.

Se entiende, entonces, que las mediciones, las revelaciones y los estándares de auditoría están en permanente evolución.

Evolución de la orientación a riesgos en auditoría

En la primera época de la auditoría americana (estadounidense), propietarios y administradores contrataban auditores para detectar y prevenir el fraude y los errores en la teneduría de los libros: procedimientos para verificar la consistencia interna dentro de los libros, incluyendo las notas de pie de página y las declaraciones (anotaciones) en diarios, libros secundarios y libros mayores.

Así lo señala la Guía para Auditores elaborada por Mettenheimer en 1869:

“Como el único beneficio que se deriva de los fraudes en las cuentas surge de un deseo de desfalcar el efectivo, la mayor parte de los problemas en la detección de los errores se puede obviar solamente mediante el examen de la cuenta de efectivo” (Auditor’s Guide: Being a Complete Exposition of Bookeeper’s Fraud. Mettenheimer, 1869).

Igualmente en las primeras épocas de la auditoría americana, se buscaba verificar todas las entradas, asientos y traslados de cuentas que se daban en la teneduría de libros, para asegurar que se aplicaban correctamente esas mecánicas de la teneduría de libros.

Tales mecánicas o procedimientos estaban dirigidos a chequear la consistencia interna dentro de los libros: elaborando comprobantes para todos los desembolsos de caja, verificando todas las notas y asientos, y chequeando el libro mayor en relación con el balance de prueba y con los estados financieros. Ello lo constata Montgomery en 1905:

“En algunas auditorías, y no solamente en las pequeñas, nosotros verificamos cada nota y cada asiento... El auditor de hace quince años... fue poco reconocido dado que los asuntos con los que se relacionaba eran relativamente poco importantes y esta carencia de importancia tendió a reducirlo al nivel de un secretario oficinista”. (Fifty Years of Accountancy. R.H.Montgomery, 1939).

Se deduce, entonces, que la teneduría de libros era propensa a error humano, tal y como lo constata Spregue en 1907:

“La experiencia muestra que el intelecto, aún en algo tan mecánico como un proceso de hacer asientos, no se puede considerar absolutamente como libre de error.

La verificación más simple es ir por una segunda vez a todos los asientos, comparándolos con el original.

En los procesos denominados ‘calling back’ [solicitar atrás], ‘calling off’ [solicitar de], y ‘calling over’ [solicitar sobre], es bastante usual trabajar en un equipo de dos. Una persona lee el nombre o el número de una cuenta y la otra, yendo a la página apropiada, responde con las figuras. Soy consciente que este método es utilizado en la auditoría por muchos contadores públicos” (The Philosophy of Accounts, C.E. Sprague, 1907).

Las pruebas selectivas se introdujeron antes de 1900. Una pregunta del examen de CPA en Nueva York realizado antes de 1900 dice: “En una auditoría en la que un examen detallado exhaustivo... no está estipulado o no es práctico hacerlo, qué examen es necesario para asegurar... la exactitud general?”.

Al respecto hay algunas referencias adicionales tempranas:

“Los auditores decidieron que no fue necesario hacer un examen detallado de cada entrada, nota, y asiento durante el período, en orden a obtener la sustancia del valor que resultó de una auditoría”. (“Changing Audit Objectives and Techniques”, The Accounting Review, R.G. Brown, 1962 [refiriéndose al período comprendido entre 1905 y 1933]).

“Con el rápido crecimiento de los negocios en América luego de la Guerra España-América, el incremento en el tamaño de muchas empresas y la auditoría de los intereses más grandes, se desarrolló la necesidad de hacer una auditoría solo de las pruebas seleccionadas de las cuentas más que examinar todas las transacciones del período”. (Auditing Developments During the Present Century. Walter A. Staub. Harvard University Press, 1942).

Se dispone de una referencia temprana sobre la relación entre la valoración que el auditor realiza del riesgo de declaración equivocada (“sospecha”) y la extensión de las pruebas de auditoría:

“Cuando nada excita la sospecha, será razonable y bastante suficiente hacer muy poca indagación; y, en la práctica, considero que los hombres de negocios seleccionan unos pocos casos de cualquier manera, ven que son correctos y asumen que los otros similares a ellos también son correctos” (Presiding Judge on London and General Bank Case, 1895).

Ello implica en auditoría, necesariamente, la necesidad de desarrollar “conciencia sobre la situación” mediante la adquisición de conocimiento del negocio y la valoración de riesgos.

A finales del siglo XIX los auditores vieron la necesidad de obtener evidencia por fuera de los libros:

“Se deben buscar pruebas por fuera de los libros, en las declaraciones de los deudores y acreedores mismos, para comparación con los libros...” (Science of Accounts, G.P. Greer, 1882).

“Los métodos adoptados para la verificación de las transacciones mediante el asegurar evidencia por fuera de los registros del cliente implica que los auditores estuvieron encontrándolos deseables y necesarios para considerarlos, más que la sola exactitud de oficina y la detección del fraude” (“Early Developments in American Auditing”, The Accounting Review, C.A. Moyer, 1951).

El ascenso de la propiedad ausente cambió los objetivos de la auditoría. De la misma manera que el propietario-administrador, el propietario ausente requirió información justa y exacta sobre los asuntos relacionados con los negocios. Por lo tanto, los objetivos de la auditoría cambiaron desde la detección del fraude en la teneduría de libros a la valoración de la veracidad de la medición y presentación de reportes que realizan los hombres de negocios.

“Cuando el comercio era llevado a cabo solamente por individuos, cada uno por su propia cuenta, en una gran cantidad de emprendimientos pequeños, y cuando no habían impuestos a los ingresos regulares, ello fue asunto de un momento pequeño... cuando el excedente de las entradas... constituyó utilidades económicas” (Depreciation and Wasting Assets. P. D. Leake. Henry Good & Son, 1912).

“De otro modo, el advenimiento de la corporación moderna y el desarrollo de los mercados de capital interactuaron con la legislación de dividendos para crear el concepto de la utilidad de un año, una de las ideas más importantes en economía y... la pregunta central de la contabilidad moderna” (“The Accountant’s Res-ponsibility in Historical Perspective”, The Accounting Review, R. P. Brieg, 1975).

“En lo que se puede denominar los días formativos de la auditoría, a los estudiantes se les enseñó que los objetivos principales de la auditoría eran:

• Detección y prevención del fraude

• Detección y prevención de errores

En los años recientes ha ocurrido un cambio en la demanda y en el servicio. Los propósitos del presente son:

• Determinar la condición financiera y las ganancias actuales de una empresa

• Detección de fraude y errores, pero este es un objetivo menor”

(Auditing Theory and Practice, R. H. Montgomery, 1912).

Los auditores reconocen la relación entre la fortaleza de los controles internos y la extensión del trabajo de prueba:

“El primer reconocimiento cierto de los controles internos como fundamento para decidir la cantidad de verificación detallada a realizar aparece en la versión americana de la Auditing de Dicksee [1905]: ... “Un sistema apropiado de chequeo interno obviará frecuentemente la necesidad de una auditoría detallada” (“Changing audit objectives and techniques”, The Accounting Review, R. G. Browns, 1962).

Sin embargo, hasta McKesson and Robbins, los auditores son lentos para adaptar los procedimientos. El controller de MacKesson and Robins (un exCPA) encabezó un desfalco ocultado mediante un sistema elaborado de falsificación de registros: el 25% de los activos totales era ficticio y el fraude se descubrió cuando se observó una gran diferencia entre el balance de la cuenta de inventario y la cantidad de la cobertura del seguro.

“Hasta los 1930s, fue habitual limitar el trabajo de auditoría de inventarios a solamente un examen de los registros...

La situación cambió con la investigación de McKesson and Robbins, Inc., en los Estados Unidos... A causa de esa investigación, la profesión de la contaduría pública se enfrentó con la necesidad de aceptar responsabilidad por la verificación de la existencia física de los inventarios – o a modificar que su función de auditoría ofrecida no protege realmente a los inversionistas u otros usuarios de los estados financieros” (Audits of Inventories, AICPA, 1986).

La orientación de gran autoridad ha sido lenta en dar reconocimiento explícito al impacto que el conocimiento de los negocios tiene sobre el riesgo de auditoría:

“También es deseable que el auditor se familiarice a sí mismo, al menos de una manera general, con el negocio de su cliente, averiguando en el caso de un emprendimiento comercial, por ejemplo, los artículos manufacturados o manipulados, la tasa promedio de utilidad que se espera ganar, y la cantidad de otros asuntos que por sí mismos se sugerirán” (“Mode of Conducting an Audit”, W.A. Staub, 1904, reimpreso en The Accounting Review, April 1943).

La adopción del muestreo estadístico en auditoría. Con las pruebas selectivas surgieron preguntas tales como “¿qué tanto probar?”. Incluso desde 1933 se pueden encontrar publicaciones que se refieren al muestreo estadístico en auditoría. Ver Auditing Practice, Research and Education: A Productive Collaboration, editada por T.B.Bell & A.M.Wright (AICPA, 1995) para un resumen histórico de los desarrollos del muestreo en auditoría.

“Hablando de manera aproximada, el muestreo estadístico ayuda a responder una de las tres preguntas clave del auditor relacionadas con la naturaleza, extensión, y oportunidad de sus procedimientos de auditoría. El auditor puede determinar más objetivamente la extensión de las pruebas cuando usa el muestreo estadístico en las pruebas de detalle más que en muestreos críticos...” (Statistical auditing, D.M. Roberts, AICPA, 1978).

A partir de lo anterior se define riesgo de muestreo como la posibilidad de que los procedimientos de auditoría restringidos a una muestra de los detalles de las transacciones o de los balances puedan producir resultados que sean diferentes de aquellos producidos cuando los procedimientos se aplican de la misma manera a todos los detalles. Y se entiende como riesgo de no-muestreo a la posibilidad de que aplicando procedimientos de auditoría a todos los detalles de las transacciones o balances de cuenta puedan fallar para detectar que ocurra un error material. El riesgo de no-muestreo es por lo tanto una función de la competencia de la materia evidencial.

“Es muy importante controlar este riesgo de no-muestreo y debe ser considerado de manera cuidadosa por el auditor al determinar la naturaleza y oportunidad de los procedimientos de auditoría.

... El auditor nunca puede reducir el riesgo de auditoría a un nivel más bajo que el riesgo de no-muestreo. En consecuencia, a menos que los procedimientos de auditoría tengan un riesgo de no-muestreo reducido a un nivel tolerable por debajo del riesgo de auditoría, ni el muestreo estadístico ni el no-estadístico serán particularmente útiles” (Statistical auditing, D.M.Roberts, AICPA, 1978).

Introducción del modelo de riesgo de auditoría dentro de la orientación con gran autoridad

El así denominado “Modelo de riesgo de auditoría”(72) aparece en forma de ecuación en 1972 en el apéndice B del SAP Nº 54, The auditor’s study and evaluation of internal control [Estudio y evaluación que hace el auditor sobre el control interno]. Es interesante ver cómo el título de ese apéndice es “Precisión y confiabilidad del muestreo estadístico en auditoría”.

La actual orientación con gran autoridad es el apéndice al SAS Nº 39, publicado en 1981. El siguiente modelo expresa la relación general de los riesgos asociados con la valoración que realiza el auditor sobre los riesgos inherente y de control y sobre la efectividad de los procedimientos analíticos (incluyendo otras pruebas sustantivas relevantes) y las pruebas sustantivas de los detalles:

AR = IR x CR x AP x TD

Donde:

AR = Audit risk (riesgo de auditoría)

IR = Inherent risk (riesgo inherente)

CR = Control risks (riesgos de control)

AP = Analytical procedures (procedimientos analíticos)

TD = Tests of details (pruebas de detalles)

De ello se derivan algunas observaciones y consideraciones: nuestro(s) modelo(s) mental(es) de auditoría y el rol de la valoración del riesgo de declaraciones equivocadas está fundamentado naturalmente en los objetivos tempranos de la auditoría que eran realizar verificaciones internas (al interior de los libros) para detectar el fraude de los tenedores de los libros y los errores en la teneduría de los libros. Ello permite derivar un proceso en el tiempo que comprende:

• Pruebas detalladas al interior de los libros

• Pruebas selectivas al interior de los libros

• Algún movimiento hacia el exterior de los registros contables, con el fin de obtener evidencia

• Desarrollo de herramientas para ayudar a tomar decisiones sobre la extensión de las pruebas

Dentro de estas herramientas sobresalen: (1) las técnicas de prueba de los controles contables; (2) el muestreo estadístico; y (3) el modelo de riesgo de auditoría.

Por consiguiente, se observa que la profesión ha recorrido el pasado condicionando nuestros modelos mentales de auditoría:

• Desde mediados de los 1980s, la evolución de la orientación con gran autoridad fue un extenderse y destinarse desde el viejo conjunto mental de la auditoría detallada.

• Las pruebas de detalle permanecieron como el “estándar de oro” y los movimientos para incorporar las perspectivas de valoración de riesgos enfatizaron el riesgo de muestreo y le restaron importancia al riesgo de no-muestreo. Parece que el modelo de riesgo de auditoría fue adoptado para asistir el pensamiento de los auditores sobre cómo se podía reducir la extensión de las pruebas de detalle. No se dio mayor orientación sobre cómo valorar el riesgo de declaraciones materiales equivocadas, excepto en alguna orientación sobre la valoración del riesgo de fraude.

• La contribución al nivel de aseguramiento obtenido a partir del control efectivo del riesgo de muestreo probablemente siempre ha sido más baja que la contribución a partir del riesgo de no-muestreo.

Con el tiempo, los objetivos de auditoría varían con los cambios en el entorno de los negocios, y las técnicas de auditoría se modifican con los cambios en los objetivos de auditoría.

Con el inicio de la centuria veintiuno, la tecnología de la información ha reducido considerablemente la propensión al error humano que existió cien años antes. Los sistemas de información son crecientemente confiables.

El interés primario por el fraude, por parte de los auditores, ha cambiado desde el fraude del tenedor de libros perpetrado contra propietario-administradores hacia el fraude administrativo perpetrado por los administradores contra los inversionistas.

El modelo contable ha sido expandido considerablemente más allá de los métodos iniciales de teneduría de libros para comprender un arreglo amplio de medidas prospectivas y revelaciones complementarias.

El capital intelectual —propiedad intelectual, tecnologías de procesos, capital humano, etc.— por fuera de balance, es crecientemente crítico para la creación de valor y para la generación de utilidades y flujos de efectivo.

Los cada vez más crecientes competencia feroz y mejoramiento continuo de los procesos amenazan los modelos de negocio de las entidades.

Los cada vez más crecientemente complejos (interactivos) sistemas de negocios e información generan nuevos riesgos de negocio, pero también incrementan la confiabilidad de la información.

Las responsabilidades de los auditores continúan incrementándose, e.g., SAS 90 requiere comunicaciones dirigidas al comité de auditoría sobre la calidad de las políticas de contabilidad de la entidad, incluyendo elementos que tienen un impacto significativo en la fidelidad representativa de la información contable incluida en los estados financieros.

En el entorno de negocios del siglo veintiuno, el riesgo de declaraciones materiales equivocadas se eleva cuando:

• El modelo de negocios ha perdido, o nunca ha tenido, viabilidad

• Las condiciones económicas cambiantes agobian el crecimiento o causan disminución en las ventas

• Se reducen los ciclos de vida de los productos

• Es pobre la efectividad/eficiencia de la ejecución de los procesos centrales

• Las condiciones de mercado se deterioran en los mercados críticos

• Los socios de las alianzas no entregan lo prometido

• Los recursos no se manejan de manera efectiva

• Los sistemas de información no son confiables

El riesgo de auditoría se eleva cuando los auditores fallan en ser conscientes de esas situaciones.

Esos cambios en el entorno de los negocios, vinculados a los cambios ocurridos en el siglo veinte en la exposición legal de los auditores, continúan cambiando los objetivos y las técnicas de auditoría de los auditores que ejercen profesionalmente.

Por esas razones, el conocimiento del negocio y de la industria del cliente continúan teniendo importancia creciente en el ejercicio profesional de la auditoría, y los procesos de auditoría se han adaptado para enfatizar, mucho más fuertemente que en el pasado, los procedimientos de valoración de riesgos para la obtención de tal conocimiento.

De otro modo, la orientación actual de gran autoridad continúa enfatizando las pruebas de detalle, relegando la valoración de riesgos a la planeación de auditoría, en oposición a una categoría de procedimiento de auditoría.

¿Es el momento para un cambio paradigmático en la orientación? ¿Todavía tiene sentido, en el entorno actual de la auditoría, separar la valoración de riesgos y las pruebas, o todo es valoración de riesgos?

¿Debe un modelo de riesgos de auditoría del siglo veinte enfatizar fuertemente las técnicas de adquisición de conocimiento que mejorarán el desarrollo de la conciencia de los auditores sobre las situaciones que ‘excitarán la sospecha’? ¿Enfatizar más fuertemente el control del riesgo de no-muestreo?

¿Deben, en las orientaciones, relegarse las pruebas de detalle a ‘golpes quirúrgicos’ que son procedimientos de valoración de riesgos utilizados cuando los análisis y los diagnósticos de los sistemas señalan que se ha intensificado el riesgo de declaraciones materiales equivocadas? (De la misma manera que los físicos cuyo diagnóstico señala que es urgente realizar una biopsia).

El modelo de riesgo de auditoría y la orientación actual de gran autoridad

¿Qué nos dice el Apéndice del SAS Nº 39?

El punto de vista estrecho del modelo de riesgo de auditoría puesto solamente en la orientación de gran autoridad cuando se usa la palabra ‘modelo’. Si bien ofrece una ecuación, SAS 39 sugiere que su intención es comunicar componentes del riesgo de auditoría y dirección de las relaciones entre los componentes y el riesgo de auditoría.

El riesgo de auditoría (AR) es una función positiva de cada uno de los cuatro componentes IR, CR, AP, y TD.

El riesgo de TD planeado varía directamente en relación con el AR permisible, pero de manera inversa con IR, CR y AP.

El parágrafo 4º del apéndice de SAS 39 señala:

“El siguiente modelo expresa la relación general de los riesgos...” y “El modelo no tiene la intención de ser una fórmula matemática que incluya todos los factores...”. [el resaltado no es del original].

Ello implica que:

• Las relaciones entre los diversos factores del modelo no es estrictamente compensatoria.

• Uno no puede computar un valor específico de cualquier factor mediante la valoración y la combinación matemática de los otros factores.

En contraste con las declaraciones contenidas en el parágrafo 4º, la tabla 2 del apéndice presenta valores específicos computados para el riesgo permitible de lo incorrecto que es aceptable (TD), dados los diversos valores de los otros componentes.

Por lo tanto, surgen algunas preguntas/comentarios:

• ¿El modelo es, o no, estrictamente compensatorio?

• Si lo es, tiene problemas que han sido documentados en investigaciones anteriores.

Ya sea que la respuesta sea sí o no, el modelo de punto de vista estrecho no es muy útil para la toma de decisiones en auditoría.

SAS 47 expandió la discusión sobre el riesgo de auditoría y sus componentes, pero no usa la palabra “modelo”

El parágrafo 27 de SAS 47 señala que a nivel de balance de cuentas o de clase de transacciones, el riesgo de auditoría consiste en:

Riesgo de declaraciones materiales equivocadas (RMM(73)): “El riesgo (consistente en el riesgo inherente y el riesgo de control) de que las aserciones de los balances o de las clases y relacionadas contengan declaraciones equivocadas.

Riesgo de detección (DR(74)): El riesgo de que el auditor no detectará tales declaraciones equivocadas. (Incluye AP y TD a partir de SAS 39).

El parágrafo 28 de SAS 47 implica una forma funcional:

• “DR debe resistir una relación inversa con IR y CR”.

• “Esos componentes del riesgo de auditoría pueden ser valorados en términos cuantitativos tales como porcentajes o en términos cuantitativos que clasifiquen, por ejemplo, desde un mínimo hasta un máximo”.

De ello se derivan algunas preguntas: ¿Implica esto una relación compensatoria estricta? ¿Implica que se puede aplicar la fórmula contenida en SAS 39? ¿Implica que uno puede computar un valor específico para cualquier valor mediante la valoración de los otros factores y realizando el apareamiento?

El modelo de riesgos de auditoría se puede ver también a través de un punto de vista amplio, tal y como el contenido en Panel on audit effectiveness report and recommendations:

• El parágrafo 2.7 anota:

“Los GAAS(75) incluyen un ‘modelo de riesgo de auditoría’... El modelo pide que los auditores tengan un entendimiento de:

— El negocio y la industria de la entidad

— Los sistemas empleados para procesar las transacciones

— La calidad del personal involucrado en las funciones de contabilidad

— Las políticas y los procedimientos de la entidad relacionados con la preparación de los estados financieros

— El control interno de la entidad para valorar el riesgo de que los controles fallarán en prevenir o detectar errores o fraudes materiales

— Y para probar la efectividad de esos controles en los cuales el auditor intenta confiar para diseñar y desempeñar pruebas sustantivas de las cuentas de la entidad.

• El parágrafo 2.8 anota:

— “Con base en la valoración del auditor sobre los diferentes riesgos, soportada por las pruebas de controles apropiadas, el auditor hace juicios sobre los tipos de evidencia requeridos para soportar la opinión de auditoría”.

— “El riesgo de auditoría es el producto de los siguientes tres factores interrelacionados: IR, CR, y DR” [Apéndice A, p. 176].

— “Desde 1984, a los auditores se les ha requerido que sigan el SAS 47; en otras palabras, se les ha requerido que empleen el modelo de riesgo de auditoría. No obstante este requerimiento, la evidencia anecdótica y de otro tipo señala que muchas (por no decir que todas) auditorías continúan siendo desempeñadas usando enfoques de pruebas sustantivas con poca o ninguna atención prestada a los resultados de las valoraciones de riesgo pedidas por el modelo. Este fenómeno es facilitado quizás por el hecho de que el modelo permite ‘no comparecer’ frente a un supuesto de que los riesgos se encuentran a un nivel máximo”.

A partir del análisis de este punto de vista amplio contenido en el informe y en las recomendaciones del Panel sobre la Efectividad de la Auditoría y, de manera particular, en el parágrafo 2.8, surgen algunas preguntas:

• ¿A cuál punto de vista, estrecho o amplio, corresponde el modelo de riesgo de auditoría?

• ¿El modelo permite o impone una relación compensatoria estricta entre los factores?

• ¿Qué orientación específica de gran autoridad forma el modelo?

Existe también otra orientación de gran autoridad. Particularmente la relacionada con la orientación sobre el papel del conocimiento del negocio contenida en AU(76):

• La naturaleza, extensión y oportunidad de la planeación varía con el tamaño y complejidad de la entidad, experiencia con la entidad, y conocimiento de los negocios de la entidad [AU 311.03].

• El auditor debe obtener un nivel de conocimiento de los negocios de la entidad que le permitirá planear y desempeñar su auditoría de acuerdo con estándares de auditoría generalmente aceptados [AU 311.06].

• El auditor debe obtener un conocimiento de los asuntos que se relacionan con la naturaleza de los negocios de la entidad, su organización y sus características de operación. Tales asuntos incluyen, por ejemplo, el tipo de negocio, tipos de productos y servicios, estructura de capital, partes relacionadas, ubicaciones, y métodos de producción, distribución y compensación. El auditor también debe considerar los asuntos que afectan la industria en la cual opera la entidad, tales como condiciones económicas, regulaciones gubernamentales, y cambios en la tecnología, en cuanto ellos se relacionen con su auditoría. Otros asuntos, tales como prácticas de contabilidad comunes en la industria, condiciones competitivas, y, si están disponibles, tendencias y razones financieras, también deben ser consideradas por el auditor [AU 311.07].

De la monografía Auditoría de organizaciones mediante una perspectiva estratégica de sistemas(77) surgen algunas importantes preguntas:

• ¿Específicamente, qué conocimiento del negocio se requiere, y a qué nivel(es) del entorno del negocio del cliente debe el auditor dirigir su atención: industrias; nichos de mercado; estrategias de negocio; estrategias financieras; procesos de negocio, transacciones de negocio; sistemas de control de negocio; etc.?

• ¿Qué tanto conocimiento sobre el negocio y la industria del cliente se requiere para obtener seguridad razonable de que las aserciones contenidas en los estados financieros no están equivocadas materialmente?

• ¿Cuál es la importancia relativa de este conocimiento del negocio para con la opinión del auditor, comparada con el conocimiento obtenido sobre las transacciones individuales, y qué rol debe jugar este conocimiento en la evaluación que el auditor realiza de las transacciones individuales?

• ¿El conocimiento sobre el negocio y la industria del cliente constituye evidencia de auditoría?

También surgen preguntas de la otra orientación de gran autoridad, especialmente del parágrafo 12 de SAS 47: “El auditor debe considerar el riesgo de auditoría y la materialidad tanto en (a) la planeación de la auditoría y el diseño de los procedimientos de auditoría, y (b) la evaluación de si los estados financieros tomados como un todo están presentados justamente...”:

• ¿Los procedimientos diseñados para valorar el riesgo de declaraciones materiales equivocadas son procedimientos de auditoría? Si lo son, ¿a partir de qué bases se deben determinar esos procedimientos de valoración del riesgo? ¿Qué distingue esos procedimientos de los otros procedimientos de auditoría?

• ¿En el análisis financiero, no son los APs y los TDs realmente procedimientos de valoración de riesgos? En el caso de los TDs, nosotros extrapolamos los resultados de la muestra a una población base para estimar las probables declaraciones equivocadas, lo cual por definición es incertidumbre. Aún antes, cuando se desempeñaban auditorías detalladas nunca se conoció que se estaba seguro de si los fraudes o los errores fueron no detectados.

Del parágrafo 29 de SAS 47: “El riesgo inherente y el riesgo de control difieren del riesgo de detección en que existen independientemente de la auditoría de estados financieros, mientras que el riesgo de detección se relaciona con los procedimientos del auditor y puede ser cambiado a su discreción”. Surgen de esto algunas preguntas:

• Antes de la auditoría existen dos estados posibles de naturaleza —ya sea que los estados financieros estén libres o no de declaraciones materiales equivocadas. El auditor aplica diversos procedimientos de adquisición de conocimiento para hacer una valoración del riesgo de declaraciones materiales equivocadas. Considera las susceptibilidades de las declaraciones equivocadas y el diseño y efectividad de los controles. ¿Significa esto que “IR y CR son independientes de la auditoría”?

• Si IF y CR son independientes de la auditoría, ¿significa esto que el AR no se aumenta cuando el auditor hace valoraciones de riesgos mal-informadas?

• Si el AR se eleva cuando el auditor hace valoraciones de riesgos mal-informadas, entonces ¿qué factor(es) en el modelo de riesgos de auditoría contienen esta fuente de riesgo —IR, CR, o DR—?

El parágrafo 29 de SAS 47: “Si un auditor concluye que el esfuerzo requerido para valorar el riesgo inherente para una aserción excedería la reducción potencial en la extensión de los procedimientos de auditoría derivados de tal valoración, el auditor debe valorar el riesgo inherente como al máximo cuando diseña los procedimientos de auditoría”. Surgen, entonces, algunas preguntas:

• ¿Significa esto que al auditor no se le requiere que haga una valoración del IR? Si lo es, ¿sobre qué base diseña la naturaleza de los procedimientos de seguimiento?

• ¿Puede el riesgo de auditoría ser aumentado cuando el auditor falla en maximizar el IR?

El parágrafo 30 de SAS 47: “Si el auditor considera que sería ineficiente evaluar la efectividad de sus controles, valoraría al máximo el riesgo de control para esa aserción”. De ello brotan algunas preguntas:

• ¿Significa esto que al auditor no se le requiere que haga una valoración del CR? Si lo es, ¿sobre qué base diseña la naturaleza de los procedimientos de seguimiento?

• ¿Puede el riesgo de auditoría ser aumentado cuando el auditor falla en maximizar el CR?

El parágrafo 35 de SAS 47: “Cuando un auditor prueba un balance de cuentas o clase de transacciones y las aserciones relacionadas mediante un procedimiento analítico, ordinariamente no identificaría específicamente las declaraciones equivocadas sino que obtendría solamente una indicación de si pueden existir declaraciones equivocadas en el balance o clase y posiblemente su magnitud aproximada”. La pregunta fundamental que surge de ello es:

¿Qué distingue los procedimientos analíticos de otros tipos de procedimientos que se pueden usar para valorar el IR y el CR? “Solamente obteniendo una indicación de si tienen que existir declaraciones equivocadas” suena similar a IR.

Del parágrafo 36 de SAS 47: “El riesgo de declaraciones materiales equivocadas en los estados financieros es generalmente mayor cuando los balances de cuenta y las clases de transacciones incluyen estimados contables más que datos esencialmente factuales dada la subjetividad inherente en la estimación de los eventos futuros”. Se pueden extraer de ello algunas preguntas:

• Una prueba sustantiva de los detalles no es probable que sea un procedimiento posible o deseable para uso en la auditoría de los estimados contables. Los procedimientos recomendados en SAS 57 sobre auditoría de estimados contables, ¿son procedimientos analíticos en el sentido tradicional, o son procedimientos de adquisición de conocimiento que tienen la intención de identificar y medir las susceptibilidades de los balances de cuenta y de evaluar el diseño y la efectividad de los controles?

• Si el auditor escoge no desarrollar una expectativa diferente para un estimado contable, ¿están disponibles otros procedimientos de valoración de riesgos de IR y CR? Si lo están, ¿es correcto decir que IR y CR son ‘independientes de la auditoría’?

Consideraciones para una estructura conceptual de valoración de riesgos de auditoría en la toma de decisiones de auditoría en el siglo veintiuno

Regreso a lo básico: ¿qué es un modelo?

Un modelo es una representación simplificada del mundo real. La utilidad de un modelo define su valor, más que la extensión en la cual los modelos describen el mundo real. Los modelos le ayudan a la gente a entender situaciones complejas, de manera tal que puedan tomar mejores decisiones. Las decisiones complejas requieren modelos (formales o mentales):

“Su opción nunca es si usar un modelo sino solamente qué modelo usar. Su responsabilidad es usar el mejor modelo disponible para los propósitos a mano, independiente de sus limitaciones inevitables” (Business Dynamics. J.D. Sterman, Irwin McGraw-Hill, 2000).

Riesgo es la posibilidad de sufrir daño o pérdida a causa de la exposición a un evento sobre el cual se tiene incertidumbre.

Incertidumbre es el estado de no conocer a causa de: (a) un evento que todavía no ha ocurrido, o (b) un evento ha ocurrido pero uno tiene hechos incompletos o pobres luces sobre lo que conoce.

Conocimiento es la evidencia que está percibida y codificada en la memoria.

Evidencia es la información indicativa que resulta cuando se desempeñan procedimientos.

Procedimientos de auditoría son los actos desempeñados por el auditor para obtener y producir evidencia.

Consideraciones para un modelo de riesgo de auditoría en el siglo veintiuno

El riesgo de auditoría implica la posibilidad de daño. Daño, en términos de asignación equivocada de los recursos sociales. Ocurre cuando existe desacuerdo entre la realidad de los negocios y la presentación de reportes de los negocios.

Re-caracteriza la auditoría como un proceso de adquisición de conocimiento/valoración de riesgos centrado en la realidad de los negocios (i.e., proposición de valor, estrategia, ejecución de los negocios).

Es el reconocimiento de usos múltiples para el conocimiento adquirido –conciencia de la situación sobre el estado de los negocios, diseño y ejecución de procedimientos de auditoría de seguimiento, y evaluación de evidencia.

Re-caracteriza el objetivo de la auditoría como una valoración del riesgo de declaraciones materiales equivocadas, y del proceso de auditoría como un proceso de valoración de riesgos.

La valoración de riesgos es un esfuerzo de adquisición de conocimiento.

Los procedimientos de valoración de riesgos inherente y de control (i.e., Ira, Cra), APs, y TDs son todos ellos procedimientos aplicados por el auditor para obtener información útil para la valoración del riesgo de declaraciones materiales equivocadas. La detección y corrección de errores son eventos en-proceso. El conocimiento sobre el negocio y la industria del cliente es esencial para la valoración efectiva del riesgo de auditoría - el riesgo de auditoría se aumenta cuando no se ha obtenido conocimiento del negocio.

La meta es modelar el riesgo de auditoría: esforzarse por desarrollar una estructura conceptual de valoración del riesgo de auditoría que le ayudará a los auditores a desarrollar conciencia de la situación y tomar decisiones informadas sobre el riesgo de declaraciones materiales equivocadas.

 

La Figura 2 presenta una estructura conceptual para ayudarle a los auditores a desarrollar conciencia de la situación.

Lo anterior conduce a hacer algunas consideraciones sobre el proceso de la auditoría a la luz de la valoración del riesgo de declaraciones materiales equivocadas y mediante el centro de atención en los ‘estados de la naturaleza’ (Figura 3).

 

Enfoques de adquisición de conocimiento de auditoría

Análisis de sistemas: examen de todo el sistema integrado, para aprender sobre su naturaleza y la manera como las partes se interrelacionan para conformar el todo (e.g., sistema económico de la entidad).

Diagnóstico: examen de los síntomas para aprender la naturaleza de un problema.

Análisis de sub-unidades: examen de las partes para aprender sobre su naturaleza (e.g., transacciones, balances de cuenta, procesos de negocio, funciones de negocio).

Se dispone de procedimientos analíticos complejos para valorar el riesgo de declaraciones materiales equivocadas, a partir de una combinación de análisis de sistemas, análisis de sub-unidades y diagnósticos:

• El análisis del entorno de la entidad se basa en: (1) análisis estratégico (obtención de evidencia), y (2) análisis de procesos (obtención de evidencia), que conduce a y es retroalimentado por la valoración de riesgos y la medición del negocio.

• Ello conduce al modelo de sistemas estratégico de la entidad: creación de conocimiento y síntesis para formar proposiciones independientes.

• El centro de atención radica en el modelo de sistemas estratégicos de la entidad (modelo mental del auditor) que conduce por una parte hacia: (1) los GAAP (principios de contabilidad generalmente aceptados), y (2) proposiciones del auditor (expectativas). Estas últimas se interrelacionan con las proposiciones de la administración (aserciones).

Hacia un nuevo proceso de auditoría(78) 

Al respecto, se destaca el trabajo preliminar realizado por la fuerza de trabajo del AICPA sobre valoración de riesgos(79), que se esboza en las siguientes etapas:

(1) Obtención y apoyo de un entendimiento de la entidad y de su ambiente: naturaleza de la entidad; procesos de negocio; medición y desempeño; objetivos y estrategias; gobierno; administración; factores externos de industria, reguladores, y de otro tipo.

(2) Identificación de los riesgos que pueden derivar en declaraciones materiales equivocadas en los estados financieros a causa de error o fraude. Determina la contratación de personal, supervisión y revisión.

(3) Evaluar las respuestas de la entidad para direccionar los riesgos identificados y obtener evidencia de su implementación.

(4) Valorar los riesgos que permanecen de declaraciones materiales equivocadas a nivel de aserciones y determinar los procedimientos de auditoría (control y/o sustantivos). Si las aserciones son de alto riesgo, diseñar y desempeñar procedimientos centrados. Si son de riesgo bajo, diseñar y desempeñar procedimientos. En los dos casos, se pasa a la siguiente etapa.

(5) Evaluar si se obtuvo evidencia detallada y si fue apropiada la valoración de riesgos.

(6) Reportar

Bibliografía

ABREMA = Activity Based Risk Evaluation Model of Auditing (En: http://www.abrema.net/abrema/index.html).

AICPA. Professional Standards. New York: AICPA, section AU 312.02.

Aon Risk Services. Investigating enterprise risk management. Aon insights, Edition 1, 2000 (http://www.aon.com).

Aon Risk Services. Enterprise risk management. parts one and two. Aon insights. The Aon Risk Services Risk Management and Insurance Review, 1999.

Barron, Orie; Jamie Pratt; and James D. Stice. Misstatement direction, litigation risk, and planned audit investment. Journal of Accounting Research, vol. 39, Nº 3, 2001, pp. 449-462.

Barton, Thomas L., William G. Shenkir, and Paul L. Walker. Making enterprise risk management pay off: how leading companies implement risk management. New York: Financial Times-Prentice Hall, 2002.

Bell, Timothy; Frank Marrs; Ira Solomon; and Howard Thomas. Auditing Organizations through a strategic systems lens. The KPMG business measurement process. KPMG Peat Marwick LLL. 1997. (Esta monografía se puede conseguir en español: Auditoría de organizaciones mediante una perspectiva estratégica de sistemas. El proceso de medición de negocios de KPMG. Cuadernos de Contabilidad Nº 13, Departamento de Ciencias Contables. Bogotá: Pontificia Universidad Javeriana), 2002.

Chouhy, Michel; Dan Galai; and Robert Mark. Risk management. New York: McGraw-Hill, 2001, p. 4.

Cushing, B.E.; L.E. Graham Jr.; Z.V. Palmrose; R.S. Roussey; and I. Solomon. Risk orientation. Auditing, Practice, Research, and Education. A Productive Collaboration. Edited by T.B. Bell and A.M. Wright, 1995.

D’Arcy, Stephen A. Enterprise risk management. Forthcoming in the Journal of Risk Management of Korea, vol. 12, Nº 1, 2001. (En: http://www.cba.uiuc.edu:80/~s~darcy/papers/erm.pdf).

Davenport, Edgar W.; and L. Michelle Bradley. Enterprise risk management: a consultative perspective. Casuality Actuarial Society Discussion Paper Program, 2000, pp. 23-42. (En: http://www.casact.org/pubs/dpp/dpp00/00dpp23.pdf).

Dusenbury, Richard; Jane Reimers; and Stephen Wheeler. The audit risk model. Journal of Accountancy. September, 2000. (El texto completo de ese documento de investigación se encuentra En: Dusenbury, Richard; Jane Reimers; and Stephen Wheeler. Inherent risk and control assessments: evidence on the effect of pervasive and specific risk factors. Auditing: A Journal of Practice & Theory, Fall 2000, vol. 19, Nº 2, 2000).

Gallagher, Russell B. Risk management: a new phase of cost control. Harvard Business Review. September-october, 1956.

Holton, Glyn A. Enterprise risk management. Boston: Contingency Analysis, 1996. (En: http://www.contingencyanalysis.com/_frame/frameerm.htm).

Houston, Richard W.; Michael F. Peters; and Jamie H. Pratt. The audit risk model, business risk and audit-planning decisions. The Accounting Review, vol. 74, Nº 3, july, 1999.

Hunton, James; Arnie Wright and Sally Wright. Business and audit risks associated with ERP systems: knowledge differences between information systems audit specialists and financial auditors. Working paper. University of South Florida (James Hunton), Boston College (Arnie Wright) y University of Massachusetts-Boston (Sally Wright), 2001.

ISB. A conceptual framework for auditor independence. Staff Report, july, 2001, pp. 4-5. (Los autores de dicho reporte son: Henry R. Jaenicke, de Drexel University; Alan S. Glazer, del Franklin & Marshall College; Arthur Siegel, del ISB; Susan McGrath, del ISB; Richard H. Towers, del ISB; y Thomas W. Dunfee, de University of Pennsylvania).

Johnstone, Karla M.; and Steven R. Muzatko. Resolving difficult accounting issues: a case study in client-auditor interaction. Issues in Accounting Education, vol. 17, Nº 1, 2002, pp. 27-39.

Johnstone, Karla M.; Jean C. Bedard; and Stanley F. Biggs. Aggressive client reporting: factors affecting auditor, generation of financial reporting alternatives. Auditing, Sarasota, vol. 21, Nº 1, 2002, pp. 47-65.

Johnstone, Karla M.; Michael H. Sutton; and Terry D. Warfield. Antecedents and consequences of independence risk: framework for analysis. Accounting Horizons, Sarasota, vol. 15, Nº 1, 2001, pp. 1-18.

Larry, Konrath. Auditing: a risk analysis approach. Sidney: Thomson, 2002.

Levitt, Arthur. Quality information: the lifeblood of our markets. Speech to the Economic Club of New York on 18th october, SEC, Washington: 1999.

Mantilla B., Samuel A. (Comp.). Contaduría ¿pública o profesional? Cuadernos de Contabilidad Nº 15, Departamento de Ciencias Contables. Bogotá: Pontificia Universidad Javeriana, 2002, pp. 54-63.

McGrath, Susan; Arthur W. Dunfee; Alan S. Glazer; and Henry R. Jaenicke. A framework for auditor independence. Journal of Accountancy, vol. 191, Nº 1, 2001, pp. 39-42.

Merriam-Webster. Merriam-Webster’s Collegiate Dictionary. Tenth edition. Springfield, Massachusetts: Merriam-Webster, Inc., 1993, pp. 386 y 1289.

Messier, William Jr.; and Lizabeth A. Austen. Inherent risk and control risk assessments. Journal of Accountancy. September, 2000. (El texto completo de este documento de investigación se encuentra En: Messier, William Jr.; and Lizabeth A. Austen. The audit risk model: an empirical test for conditional dependencies among assessed component risks. Auditing: A Journal of Practice & Theory. Fall 2000, vol. 19, Nº 2, 2000).

Miccolis, Jerry A.; Kevin Hively; and Brian W. Merkley. Enterprise risk management: trends and emerging practices. The Institute of Internal Auditors Research Foundation: Altamonte Springs, FL, 2001.

Mulvey, John M.; Michael J. Belfatti; and Chris Madsen. Integrated financial risk management. Working Paper, Princeton University, 1999.

Panel on Audit Effectiveness. Apendix A. The audit risk model, 2000, pp. 175-179. (En: http://www.pobauditpanel.org/downloads/appendixa.pdf).

Real Academia Española. Diccionario de la lengua española. Vigésima primera edición. Madrid: Real Academia Española, 1992, pp. 813-814.

Robertson, Jack C.; and Timothy J. Louwers. Auditing and assurance services. Tenth Edition. Boston: McGraw-Hill – Irwin, 2002.

Sarbanes-Oxley Act of 2002.

SEC. Final rule: revision of the commission’s auditor independence requeriments. Washington: SEC, 2000.

Soler Ramos, José A., et al. Gestión de riesgos financieros. Un enfoque práctico para países latinoamericanos. Banco Interamericano de Desarrollo – Grupo Santander. Washington: 1999.

Turner, J.L.; T.J. Mock; and R.P. Srivastava. A formal model of auditor independence risk. Australian Accounting Review, vol. 12, Nº 2, 2002.

Vaughan, Emmett J. Risk management. New York: John Wiley & Sons, 1997, p. 27.

Whittington, O. Ray; and Kurt Pany. Principles of auditing and other assurance services. Thirteenth Edition - Irwin. Boston: McGraw-Hill, 2001, p. 136.

http://instruction.bus.wisc.edu/kjohnstone/CHAPTER%206.htm

http://www.aicpa.org/members/div/auditstd/opinion/Jul01_1.htm 

(1) El contexto completo de esto lo encuentra en el libro: “Auditoría/Aseguramiento de información. Estructura conceptual de la auditoría: de la revisión al aseguramiento” que puede bajar de: http://www.javeriana.edu.co/Facultades/C_Econom_y_Admon/SAMantilla.

(2) Miccolis, Jerry A., Kevin Hively, and Brian W. Merkley. Enterprise risk management: trends and emerging practices. The Institute of Internal Auditors Research Foundation. Altamonte: Springs, FL., 2001, p. xxiii.

(3) Vaughan, Emmett J. Risk management. New York: John Wiley & Sons, 1997, p. 27.

(4) Gallagher, Russell B. “Risk management: a new phase of cost control”. Harvard Business Review. September-October, 1956.

(5) Especialmente a través de la Insurance Buyers of New York, nacida en 1932 y que más tarde se convirtió en el Risk Research Institute. En 1950 se fundó la National Insurance Buyers Association, que posteriormente se convirtió en la American Society of Insurance Management.

(6) Vaughan, Emmett J. Risk management. New York: John Wiley & Sons, 1997, p. 28.

(7) Vaughan, Emmett J. Op. cit., 1997, pp. 27-28.

(8) Chouhy, Michel, Dan Galai, and Robert Mark. Risk management. New York: McGraw-Hill, 2001, p. 4.

(9) D’Arcy, Stephen A. “Enterprise risk management”. Forthcoming in the Journal of Risk Management of Korea, vol. 12, Nº 1, (tomado de: http://www.cba.uiuc.edu:80/~s~darcy/papers/erm.pdf), 2001, p. 5.

(10) Vaughan, Emmett J. Op. cit., 1997, p. 30.

(11) Chouhy, Michel, Dan Galai, and Robert Mark. Op. cit., 2001, pp. 39-40.

(12) D’Arcy, Stephen A. Op. cit., 2001, p. 7.

(13) D’Arcy, Stephen A. Op. cit., 2001, p. 14.

(14) GARP, Generally Accepted Risk Principles = Principios de riesgo generalmente aceptados.

(15) D’Arcy, Stephen A. Op. cit., 2001, pp. 29-31.

(16) Con base En: Vaughan, Emmett J. Op. Cit. 1997 y Chouhy, Michel, Dan Galai, and Robert Mark, 2001.

(17) Aon Risk Services. “Investigating enterprise risk management”. Aon Insights. Edition 1, 2000. (http://www.aon.com).

(18) RAROC = Risk-ajusted return on Capital = Retorno sobre el capital, ajustado según los riesgos.

(19) Un análisis técnico pero sencillo de esto se encuentra en: Mulvey, John M., Michael J. Belfatti, and Chris Madsen. “Integrated financial risk management”, Working Paper, Princeton University, 1999.

(20) Una buena aproximación al tema, en español, se encuentra En: Soler Ramos, José A., et al. Gestión de riesgos financieros. Un enfoque práctico para países latinoamericanos. Banco Interamericano de Desarrollo - Grupo Santander, Washington, 1999.

(21) Ver adelante el apéndice titulado: “El modelo de riesgos de auditoría y la toma de decisiones de auditoría en el siglo veintiuno”, que muestra cómo ha evolucionado tal práctica.

(22) AICPA. Professional Standards, New York: AICPA, section Au 312.02.

(23) Larry, Konrath. Auditing: a risk analysis approach. Thomson. Sidney, Chap. 5, 2002, pp.148-203.

(24) Whittington, O. Ray, and Kurt Pany. Principles of auditing and other assurance services. Thirteeth Edition – Irwin. Boston: McGraw-Hill, 2001, p. 136.

(25) Robertson, Jack C., and Timothy J. Louwers. Auditing and assurance services. Tenth Edition. Boston: McGraw-Hill – Irwin, 2002.

(26) Cushing, B.E., L.E. Graham, Jr., Z.V. Palmrose, R.S. Roussey, and I. Solomon. “Risk orientation” Auditing, practice, research, and education. A Productive Collaboration. Edited by T.B. Bell and A.M. Wright, 1995.

(27) ABREMA = Activity Based Risk Evaluation Model of Auditing (En: http://www.abrema.net/abrema/index.html).

(28) Cfr.: http://instruction.bus.wisc.edu/kjohnstoneCHAPTER% 206.htm.

(29) Dusenbury, Richard, Jane Reimers, and Stephen Wheeler. “The audit risk model” Journal of Accountancy. September, 2000. (El texto completo de ese documento de investigación se encuentra En: Dusenbury, Richard, Jane Reimers, and Stephen Wheeler. “Inherent risk and control assessments: evidence on the effect of pervasive and specific risk factors”. Auditing: A Journal of Practice & Theory, Fall 2000, vol. 19, Nº 2, 2000). Un análisis similar se puede encontrar En: Messier, William Jr., and Lizabeth A. Austen. “Inherent risk and control risk assessments”. Journal of Accountancy. September, 2000. (El texto completo de este documento de investigación se encuentra En: Messier, William Jr., and Lizabeth A. Austen. “The audit risk model: an empirical test for conditional dependencies among assessed component risks” Auditing: A Journal of Practice & Theory. Fall 2000, vol. 19, Nº 2, 2000).

(30) Bell, Timothy, Frank Marrs, Ira Solomon, and Howard Thomas. Auditing organizations through a strategic systems lens. The KPMG Business Measurement Process. KPMG Peat Marwick LLL, 1997. (Esta monografía se puede conseguir en español: Auditoría de organizaciones mediante una perspectiva estratégica de sistemas. El proceso de medición de negocios de KPMG. Cuadernos de Contabilidad Nº 13, Departamento de Ciencias Contables, Pontificia Universidad Javeriana. Bogotá).

(31) Barron, Orie, Jamie Pratt, and James D. Stice. “Misstatement direction, litigation risk, and planned audit investment”. Journal of Accounting Research, vol. 39, Nº 3, 2001, pp. 449-462.

(32) Houston, Richard W. , Michael F. Peters, and Jamie H. Pratt. “The audit risk model, business risk and audit-planning decisions”. The Accounting Review, vol. 74, Nº 3, july, 1999.

(33) Hunton, James, Arnie Wright and Sally Wright. “Business and audit risks associated with ERP systems: knowledge differences between information systems audit specialists and financial auditors”. Working paper. Universiy of South Florida (James Hunton), Boston College (Arnie Wright) y University of Massachusetts-Boston. (Sally Wright), 2001.

(34) Panel on Audit Effectiveness. Apendix A. The audit risk model, 2000, pp. 175-179 (Fuente: http://www.pobauditpanel.org/dowloads/appendixa.pdf).

(35) Fuente: http://www.aicpa.org/members/div/auditstd/opinion/Jul01_1.htm

(36) Para más información o una copia del reporte, llame a ABG Professional Information al +44-20-7920-8991 o vaya a http://www.abgweb.com

(37) Para mayor información o una copia del reporte, escriba al Public Oversight Board a One Station Place, Stamford, CT 06902, tel. 203/353-5300, fax: 203/353-5311 o vaya a http://www.pobauditpanel.org

(38) Reemplazado a partir de 2002 por el IAASB = International Auditing and Assurance Standards Board, de IFAC.

(39) Johnstone, Karla M., and Steven R. Muzatko. “Resolving difficult accounting issues: a case study in client-auditor interaction”. Issues in Accounting Education, vol. 17, Nº 1, 2002, pp. 27-39.

Johnstone, Karla M., Jean C. Bedard, and Stanley F. Biggs. “Aggressive client reporting: factors affecting auditor’ generation of financial reporting alternatives’. Auditing, Sarasota, vol. 21, Nº 1, 2002, pp. 47-65.

(40) Johnstone, Karla M., Michael H. Sutton, and Terry D. Warfield. “Antecedents and consequences of independence risk: framework for analysis”. Accounting Horizons, Sarasota, vol. 15, Nº 1, 2001, pp. 1-18.

(41) Véase la Sarbanes-Oxley Act of 2002.

(42) Levitt, Arthur. “Quality information: the lifeblood of our markets”. Speech to the Economic Club of New York on 18th October, SEC, Washington: 1999.

(43) SEC. “Final rule: revision of the commission’s auditor independence requeriments”. Washington: SEC, 2000.

(44) La también creada por esta ley Junta Supervisora de la Contabilidad de las Compañías Públicas.

(45) La SEC (Securities and Exchange Commission).

(46) ISB. “A conceptual framework for auditor independence”. Staff Report, July, 2001, pp. 4-5. (Los autores de dicho reporte son: Henry R. Jaenicke, de Drexel University; Alan S. Glazer, del Franklin & Marshall College; Arthur Siegel, del ISB; Susan McGrath, del ISB; Richard H. Towers, del ISB; y Thomas W. Dunfee, de University of Pennsylvania).

(47) El resaltado no pertenece al original.

(48) McGrath, Susan, Arthur W. Dunfee, Alan S. Glazer, and Henry R. Jaenicke. “A framework for auditor independence”. Journal of Accountancy, vol. 191, Nº 1, 2001, pp. 39-42.

(49) Este documento se puede leer en español En: Mantilla B., Samuel A. (Comp.). Contaduría ¿pública o profesional? Cuadernos de Contabilidad Nº 15, Departamento de Ciencias Contables, Pontificia Universidad Javeriana. Bogotá: 2002, pp. 54-63.

(50) Una buena versión al español de estos documentos se encuentra En: Mantilla B., Samuel A. (Comp.). Contaduría ¿pública o profesional? Cuadernos de Contabilidad Nº 15, Departamento de Ciencias Contables, Pontificia Universidad Javeriana. Bogotá: 2002.

(51) Johnstone, Karla M., Michael H. Sutton, and Terry D. Warfield. “Antecedents and consequences of independence risk: Framework for analyisis”. Accounting Horizons. Sarasota, vol. 15, Nº 1, 2001, pp. 1-18.

(52) Johnstone, Karla M., Michael H. Sutton, and Terry D. Warfield. Op. Cit., 2001, pp. 2-3.

(53) Turner, J.L., T.J. Mock, and R.P. Srivastava. “A formal model of auditor independence risk” Australian Accounting Review, vol. 12, Nº 2, 2002.

(54) Aon Risk Services. “Enterprise risk management. parts one and two”. Aon InSights. The Aon Risk Services Risk Management and Insurance Review, 1999.

(55) D’Arcy, Stephen P. “Enterprise risk management”. Forthcoming in the Journal of Risk Management of Korea, vol 12, Nº 1, 2001. (Tomado de: http://www.cba.uiuc.edu:80/~s-darcy/papers/erm.pdf).

(56) Merriam-Webster. Merriam-Webster’s Collegiate Dictionary. Tenth edition. Springfield, Massachusetts: Merriam-Webster, Inc. 1993, pp.386 y 1289.

(57) Real Academia Española. Diccionario de la lengua española. Vigésima primera edición. Madrid: Real Academia Española. 1992, pp. 813-814.

(58) D’Arcy, Stephen P. “Enterprise risk management”. Forthcoming in the Journal of Risk Management of Korea, vol 12, Nº 1, 2001. (Tomado de: http://www.cba.uiuc.edu:80/~s-darcy/papers/erm.pdf ).

(59) Miccolis, Jerry, Kevin Hively, and Brian W. Merkley. Op. cit., 2001, p. Xxii.

(60) D’Arcy, Stephen. Op. Cit., 2001, p. 2.

(61) Miccolis, Jerry, Kevin Hively, and Brian W. Merkley. Enterprise risk management: trends and emerging practices. The Institute of Internal Auditors Research Foundation. Florida: Altamonte Springs, 2001, pp. xxii.

(62) Miccolis, Jerry, Kevin Hively, and Brian W. Merkley. Op. cit., 2001, pp. xvii-xviii.

(63) Davenport, Edgar W., and L. Michelle Bradley. “Enterprise risk management: a consultative perspective”. Casuality Actuarial Society Discussion Paper Program, 2000. pp. 23-42. (Tomado de: http://www.casact.org/pubs/dpp/dpp00/00dpp23.pdf).

(64) Barton, Thomas L., William G. Shenkir, and Paul L. Walker. Making enterprise risk management pay off: how leading companies implement risk management. New York: Financial Times - Prentice Hall, 2002.

(65) Aon Risk Service. Op. cit., part one, 1999, pp. 2-3.

(66) Miccolis, Jerry, Kevin Hively, and Brian W. Merkley. Op. cit., 2001, pp. xxviii-xxxii.

(67) Holton, Glyn A. Enterprise risk management. Contingency Analysis. Boston: 1996. (En: http://www.contingencyanalysis. com/_frame/frameerm.htm).

(68) Miccolis, Jerry, Kevin Hively, and Brian W. Merkley. Op. cit., 2001, p. 3.

(69) Holton, Glyn A. Op. cit., 1996, pp. 3 y ss.

(70) D’Arcy, Stephen. Op. cit., 2001, pp. 18-20.

(71) Esta parte es una transcripción libre de la presentación que en Power Point hicieron los Dres. Timothy Bell (Director, Assurance & Advisory Services, KPMG LLP U.S.) e Ira Solomon (R.C. Evans Endowed Chair in Commerce, Professor of Accountancy, University of Illinois at Urbana-Champaing), con el título “The Audit Risk Model and 21st Century Audit Decision Making”, en la 13th Asian Pacific Conference on International Accounting Issues, 28-31 de Outubro de 2001, Rio de Janeiro – Brasil.

(72) Audit Risk Model = Modelo de riesgo de auditoría.

(73) RMM = Risk of material misstatements = Riesgo de declaraciones materiales equivocadas.

(74) DR = Detection Risk = Riesgo de detección.

(75) GAAS = Generally Accepted Auditing Standards = Estándares de auditoría generalmente aceptados.

(76) AU = es la inicial de auditoría (auditing) en la codificación actual de los SAS americanos.

(77) Bell et al. Auditoría de organizaciones mediante una perspectiva estratégica de sistemas. Departamento de Ciencias Contables, Pontificia Universidad Javeriana: Bogotá, 2002 (Traducción al español de: Bell et al. Auditing Organizations Through a Strategic-Systems Lens. The KPMG Business Measurement Process. KPMG Peat Marwick LLP, 1997).

(78) Dos trabajos, actualmente en elaboración, están dedicados a: (1) el modelo de riesgos de fraude dentro del contexto del modelo de riesgos de auditoría; y (2) transformación del modelo de riesgos de auditoría dentro de los estándares internacionales de auditoría.

(79) AICPA Risk Assessment Task Force.