Auditing Outsourcing & Service Auditora Aseguramiento y Gestin S.A.

AUDITING S.A.

GENERADORES DE CONFIANZA

Auditora con enfoque en la gestin del riesgo empresarial. Primera parte.

Por: JOSE ANTONIO RODRIGUEZ PINEDA, Contador Pblico, Especialista En auditora Externa y Revisora Fiscal. Socio de Auditing S.A.

La auditora enfocada en la valoracin del riesgo empresarial, fija su actuacin en la evaluacin de la cultura de la organizacin para administrar el riesgo, evidenciando su identificacin y anlisis, asegurando as, un enfoque holstico del entorno empresarial, y un direccionamiento de la mirada del auditor hacia los puntos claves de la razn de ser de la organizacin y su desempeo futuro. Palabras Claves: Riesgo, Aseguramiento, Gestin, auditora, control, La administracin empresarial tiene implcita la complejidad de un entorno cada vez ms dinmico y globalizado, requiriendo la implementacin de tcnicas administrativas en cada una de sus reas funcionales, propendiendo por el fortalecimiento y maximizacin de la organizacin. Tales propuestas de valor estn enmarcadas dentro de las tradicionales funciones bsicas de la administracin (Planificar, organizar, ejecutar y controlar). Luego de que en las ltimas dcadas del siglo anterior se le diera gran importancia a la planificacin estratgica en la gestin gerencial; ahora parece que los tericos de estas materias han cedido su acervo, a la narrativa bibliogrfica de los empresarios exitosos del mundo, los cuales exponen sus experiencias con gran enfoque en la ejecucin y salida en productivo, segn su percepcin del mercado y evolucin tecnolgica en informtica y comunicaciones. Todo ente debe tener un cerebro que identifique el rumbo estratgico, y seguramente llevar a cabo esa conceptualizacin es la parte ms difcil de la gestin administrativa, pero sta tiene pocas probabilidades de xito cuando no se implementan controles adecuados para asegurar la obtencin de los objetivos. El control est interrelacionado con cada una de las funciones administrativas, y dicho control tiene implcito un componente complejo en su esencia, dada su trazabilidad en todo el desempeo organizacional: El riesgo Puede decirse que el riesgo es la vida misma. La cotidianidad trasluce en cada uno de sus recovecos el riesgo inherente a cada actividad, y ante la inminencia del mismo, es necesario decidir sobre su tratamiento: Eliminarlos, enfrentarlos, esquivarlos, minimizarlos o mitigarlos. Dado lo anterior, es necesario conceptualizar y contextualizar los trminos referentes.

Auditing Outsourcing & Service Auditora Aseguramiento y Gestin S.A.

AUDITING S.A.

GENERADORES DE CONFIANZA

Qu es Riesgo? Riesgo: Proviene del italiano risico o rischio que, a su vez, tiene origen en el rabe clsico rizq (lo que depara la providencia). El trmino hace referencia a la proximidad o contingencia de un posible dao. 1 La nocin de riesgo suele utilizarse como sinnimo de peligro. El riesgo, sin embargo, est vinculado a la vulnerabilidad, mientras que el peligro aparece asociado a la factibilidad del perjuicio o dao. Es posible distinguir, por lo tanto, entre riesgo (la posibilidad de dao) y peligro (la probabilidad de accidente o patologa). En otras palabras, el peligro es una causa del riesgo. Otros conceptos vinculados son riesgo y amenaza. Una amenaza es un dicho o hecho que anticipa un dao. Algo puede ser considerado como una amenaza cuando existe al menos un incidente especfico en el cual la amenaza se haya concretado. El mayor riesgo es no correr ningn riesgo. En un mundo que cambia muy rpidamente, la nica estrategia que garantiza fallar es no correr riesgos.
Mark Zuckerberg. CEO y Fundador de Facebook.com

En el 2002, el Instituto de Auditores Internos del Reino Unido e Irlanda public una declaracin de posicin sobre el Rol de la Auditora Interna en la Gestin de Riesgo, para proveer una gua a sus miembros sobre los roles que estn permitidos y las salvaguardas necesarias para proteger la objetividad e independencia de la auditoria interna. Esta nueva declaracin de posicin sustituye la anterior y toma en cuenta los desarrollos recientes alrededor del mundo en el campo de gestin de riesgo y auditoria del control interno. Qu es la Gestin de Riesgo Empresarial (ERM)? La gestin de riesgo empresarial ERM- es un proceso estructurado, consistente y continuo implementado a travs de toda la organizacin para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. Cmo define COSO2 la gestin del riesgo empresarial? ...es un proceso, efectuado por la junta de directores, la administracin y otro personal de una entidad, aplicado en la definicin de la estrategia y a travs de la identificacin de riesgos, diseado para identificar los eventos potenciales que pueden afectar la entidad, y para administrar los riesgos que se encuentran dentro de su apetito por el riesgo, para proveer seguridad razonable en relacin con el logro de los objetivos de la entidad.

Auditing Outsourcing & Service Auditora Aseguramiento y Gestin S.A.

AUDITING S.A.

GENERADORES DE CONFIANZA

Un proceso es un medio para un fin, no un fin en si mismo. Efectuado por la gente- no es solamente polticas, estudios y formas, sino que involucra gente de todos los niveles. Estableciendo estrategias para contrarrestarlo. Identificando eventos que potencialmente afectan la entidad. Administrar los riesgos dentro de su apetito por los riesgos. Provee seguridad razonable para la entidad Orientado al logro de los objetivos en una o ms categoras separadas o interrelacionadas. (1) www. definicin.de/riesgo/ (2) Committee of sponsoring organizations of the treadway commissin (COSO) Cul es la importancia de evaluar los riesgos del entorno empresarial? La administracin es la responsable de identificar los riesgos e implementar controles que permitan su adecuada administracin, visualizando situaciones que eventualmente al concretarse, pudieran evitar o dificultar que alguno o varios de los objetivos se logren segn la forma y oportunidad planeadas. En este contexto, los beneficios de gestionar los riesgos pueden ser: Potencia la certidumbre de alcanzar los objetivos de la empresa. Consolida reportes de riesgos distintos a nivel de la alta direccin. Incrementa el entendimiento de riesgos claves y sus ms amplias implicaciones. Identifica y comparte riesgos alrededor del negocio. Crea mayor enfoque de la gerencia en asuntos que realmente importan. Menos sorpresas y crisis Mayor enfoque interno en hacer lo correcto en la forma correcta Incrementa la posibilidad de que cambios en iniciativas puedan ser logrados Capacidad de tomar mayor riesgo por mayores recompensas, y Ms informacin sobre riesgos tomados y decisiones realizadas Reduce la posibilidad de prdidas econmicas o dificultades de liquidez.

Desde el punto de vista del auditor, evaluar los riesgos de la empresa, permite un enfoque y propsito acorde con las disposiciones normativas y estndares profesionales respecto a los servicios que debe prestar en materia de aseguramiento y consulta, aportacin de valor agregado, mejoramiento de las operaciones y fortalecimiento de la efectividad de los procesos de

Auditing Outsourcing & Service Auditora Aseguramiento y Gestin S.A.

AUDITING S.A.

GENERADORES DE CONFIANZA

administracin de riesgos y control, para ayudar al logro de los objetivos de la organizacin. Adicionalmente es importante porque: Concentrar los recursos y revisiones de auditora hacia las reas de la organizacin que generen ms valor, respondiendo a los mecanismos que posee la empresa para evaluar, detectar y establecer prioridades en materia de riesgo. Participacin activamente en los procesos internos y externos de la organizacin, trasmitiendo la experiencia del auditor, y motivando el autocontrol y su eficacia. Identifica y reporta tempranamente oportunidades de mejora para proponerlos a la administracin, e igualmente sensibiliza sobre sus beneficios Propicia la comunicacin interna para rescatar las capacidades y habilidades del personal para solucionar los problemas. Con una adecuada planeacin, el auditor puede lograr que la evaluacin tenga una mayor cobertura de los procesos, metas y objetivos relevantes, as como el establecimiento de un mecanismo permanente de seguimiento y realimentacin de la efectividad del sistema de control. Documentando todo el proceso de anlisis de riesgos y controles, proporciona bases objetivas para reportar a las partes interesadas peridicamente informacin resumida y comprensible sobre riesgos potenciales y el estado que guarda el control. La evaluacin del riesgo empresarial le requiere nuevos conocimientos y habilidades profesionales.

Al evaluar el control interno, el auditor verifica su diseo y la efectividad con que opera; identifica los riesgos considerados claves, comprobando la confiabilidad de su tratamiento. Su rol principal es proveer aseguramiento objetivo a la administracin sobre la efectividad de la gestin del riesgo.

Roles principales de la auditoria interna respecto al ERM

-Brindar aseguramiento sobre procesos de gestin de riesgo -Brindar aseguramiento de que los riesgos son correctamente evaluados. -Evaluacin de los procesos de gestin de riesgo -Evaluacin de reporte de riesgos claves -Revisin del manejo de los riesgos claves.

Roles legtimos de auditoria interna realizados con salvaguarda

-Facilitacin, identificacin y evaluacin de riesgos. -Entrenamiento a la gerencia sobre respuesta a riesgos. -Coordinacin de actividades de ERM -Consolidacin de reportes sobre riesgos. -Mantenimiento y desarrollo del marco de ERM -Desarrollo de estrategia de gestin de riesgo para aprobacin de la Junta

Roles que auditoria interna no debe realizar

-Establecer el apetito de riesgo. -Imponer procesos de gestin de riesgo. -Manejar el aseguramiento sobre los riesgos. -Tomar decisiones en respuestas a los riesgos. -Implementar respuestas a los riesgos a favor de la administracin. -Responsabilidad de la gestin

Auditing Outsourcing & Service Auditora Aseguramiento y Gestin S.A.

AUDITING S.A.

GENERADORES DE CONFIANZA

Actividades en la gestin del Riesgo empresarial. o Articulacin y comunicacin de los objetivos de la organizacin o Determinacin del apetito de riesgo de la organizacin o Establecimiento de un ambiente interno apropiado, incluyendo un marco de gestin de riesgo o Identificacin de amenazas potenciales o Evaluacin de riesgo, por ejemplo: impacto y posibilidad de ocurrencia de las amenazas. o Seleccin e implementacin de respuestas a los riesgos o Comunicacin de informacin sobre riesgos de manera consistente en todos los niveles de la organizacin. o Centralizar monitoreo y control de los procesos de gestin de riesgo y de los resultados, y, o Proveer aseguramiento sobre la eficiencia con la cual los riesgos estn siendo gestionados. Gestin del Riesgo Riesgos son eventos futuros inciertos que podran influir sobre el logro de los objetivos de la organizacin, incluyendo objetivos estratgicos, operativos, financieros y de cumplimiento. El primer paso para aclarar esto es reconocer que cada asunto de riesgo debe ser visto desde tres ngulos diferentes: o Riesgo como oportunidad o Riesgo como incertidumbre o Riesgo por azar Riesgo como oportunidad: El riesgo desde la perspectiva de oportunidad, reconoce la inherente relacin entre riesgo y rendimiento. Entre mayor sea el riesgo, mayor ser el rendimiento potencial y, necesariamente, mayor ser el potencial de prdida. En este contexto, las organizaciones pueden reaccionar usando tcnicas para maximizar el lado alto dentro de las limitaciones del entorno operativo de la organizacin. El riesgo visto desde la perspectiva de oportunidad es medible en algunas circunstancias y calificable en otras. Existe alguna forma de que yo pueda crear una oportunidad mediante el anlisis de este riesgo? Riesgo como Incertidumbre: Cuando se consideran asuntos coyunturales identificados desde la perspectiva de incertidumbre, las empresas deben determinar cmo pueden evitar en forma proactiva que un evento futuro incierto tenga un impacto negativo sobre ellas. El manejo de riesgo es proactivo en cuanto uno tiene que anticipar el impacto de cambio y establecer controles/procesos que mitigarn el efecto de dicho cambio sobre las operaciones comerciales. Cmo puedo evitar que suceda el evento negativo?

Auditing Outsourcing & Service Auditora Aseguramiento y Gestin S.A.

AUDITING S.A.

GENERADORES DE CONFIANZA

Riesgo por Azar: Los hechos de riesgo pueden ser vistos como la posibilidad de que ocurra un evento negativo la incertidumbre, o el hecho de que el evento negativo haya ocurrido ya azar. Dichos eventos potenciales negativos incluyen prdidas financieras, fraudes, robos, daos al prestigio, heridas o muerte, falla de los sistemas, pleitos factores en contra. Al manejar el riesgo desde el punto de vista de azar, las personas actan en forma reactiva en cuanto mitigan el grado de dao que sera causado si un evento ocurre. Cul es mi plan de contingencia en caso de que ocurriere el evento negativo? Proceso para administrar el riesgo. La administracin del riesgo, implica inicialmente el enfoque sobre dos aspectos bsicos: la valoracin del riesgo, y el control del riesgo. La valoracin del riesgo comprende la identificacin del riesgo, valorar la probabilidad de ocurrencia, e impacto sobre el logro de los objetivos; y de acuerdo con dicha estimacin, priorizar los riesgos. El control del riesgo comprende, secuencialmente, generar opciones y planes de contingencia para la mitigacin del riesgo, asignacin de responsabilidades, y medicin, control o monitoreo de los planes implementados.

Identificar Riesgos

Valorar la probabilidad

Evaluar el Impacto frecuencia

VALORACIN DE RIESGOS
Medicin y Control Priorizar Riesgos

ADMINISTRACIN DE RIESGOS
CONTROL DE RIESGOS

Asignar Responsa bilidades

Planeacin de Contencin Planeacin de Contingencia

Generar Opciones

Identificacin de los riesgos: Definidos los objetivos de la organizacin, se deben identificar los riesgos ms crticos inherentes y asociados con stos. Una articulacin y comunicacin

Auditing Outsourcing & Service Auditora Aseguramiento y Gestin S.A.

AUDITING S.A.

GENERADORES DE CONFIANZA

claras de los objetivos constituye el primer paso en el proceso de movilizar a una organizacin hacia el logro de sus metas. El entendimiento y una percepcin mejorada del perfil de riesgo de una entidad que est ligado con dichos objetivos y provee el fundamento para identificar oportunidades en el mercado y realzar el valor de la entidad. En su forma ms simple, un objetivo es una meta. Es algo que un individuo o un grupo desea para lograr o hacer ocurrir algo a cualquier nivel dentro de una organizacin. Es una meta que, si se logra, capacita a una organizacin para lograr sus metas subsiguientes y en ltimas su misin y sus objetivos de negocio en general. Algunos ven los objetivos a un nivel muy alto. Esto es similar a lo que algunos podran llamar una misin. Definen por qu est operando la organizacin y qu es lo que est esperando lograr. Este tipo de objetivo se considera cuando se establecen las estrategias de la empresa. Otros ven los objetivos a un nivel ms bajo y pueden ser vistos como objetivos operativos que conducen a cumplir la estrategia. La organizacin necesita evaluar los objetivos a todo nivel, desde el nivel de misin, hasta las responsabilidades de trabajo de los empleados individuales. Se debe considerar el proceso que una organizacin utiliza para establecer sus objetivos. Estos procesos deberan estar correlacionados con las necesidades de todos los que tienen un inters creado en la entidad. Hay otras personas con intereses creados, (prestamistas, acreedores, directores, empleados, el Estado, analistas financieros, organismos reguladores, agencias de calificacin, etc.), a quienes la administracin debe reconocer y cuyas necesidades deben ser satisfechas en algn grado. La satisfaccin de los aportantes depende del grado de satisfaccin de todos aqullos que tienen intereses creados en la entidad. Este entendimiento de las necesidades de todos los que tienen intereses en la entidad, especialmente los aportantes, permite una apreciacin ms cabal de los riesgos que pueden impedir el logro de objetivos. Dicho anlisis provee la base para construir una percepcin completa y la identificacin de riesgos, que a su turno proveen la base para manejo integral de riesgo.

Auditing Outsourcing & Service Auditora Aseguramiento y Gestin S.A.

AUDITING S.A.

GENERADORES DE CONFIANZA

Escenarios

Entrevistas Consultas

Diagramas de anlisis

TCNICAS PARA IDENTIFICAR LOS RIESGOS

Diagramas de procedimientos

Cuestionarios
Lluvia de ideas A partir de la matriz DOFA

El proceso de identificacin de los riesgos, requiere el uso de tcnicas, aplicadas segn las circunstancias, el tipo de riesgo, la fuente y los objetivos relacionados; tales como: Cuestionarios o entrevistas al personal, creacin de escenarios a partir de supuestos y probabilidades, lluvia de ideas de las partes relacionadas o con intereses creados, indagaciones o consultas con entes o informacin externa, diagramas de procedimientos o mapas de procesos, diagramas de anlisis, e igualmente realizando un inventario de riesgos a partir de la matriz DOFA, especialmente los que surgen de las debilidades y amenazas. Con base en estas tcnicas, previo anlisis para su depuracin y agrupacin, se puede construir un mapa de riesgos, ajustado particularmente a la organizacin evaluada. Un Mapa de Riesgos es la representacin o descripcin de los distintos aspectos tenidos en cuenta en la valoracin de los riesgos, permite visualizar todo el proceso y el plan de manejo de los mismos.

Auditing Outsourcing & Service Auditora Aseguramiento y Gestin S.A.

AUDITING S.A.

GENERADORES DE CONFIANZA

MAPA DE RIESGOS
-Riesgo Pas -Rgimen tributario -Rgimen laboral -Regulacin sectorial -Seguridad -Intervencin Estatal -Convenios internacionales R. Estabilidad Jurdica R. Financiero -Desastres naturales - Regulacin sectorial -Responsabilidad empresarial -Calidad -Servicio -investigacin y desarrollo -Competidores -Transformacin empresarial -Cumplimiento de normas -Penetracin de mercados -Competencia -Convenios internacionales -Globalizacin -R. Rentabilidad -Macroeconoma -Apalancamiento -Liquidez -Planificacin -Cobranza -Tasas de inters -tipo de cambio

R. de Mercado

R. ambiental

Riesgo Empresarial

R. Imagen

R. Informacin R. Factor Humano -Informacin financiera -Tecnologa informtica -Integridad -oportunidad -Accesibilidad -Confiabilidad

R. Operacional

-Seleccin -Desempeo -R. estratgico -Cultura de trabajo -Competencias -integridad y liderazgo

-Tecnologa -Productividad -Logstica -Errores -Fraudes

Identificados los riesgos de acuerdo con el anlisis del entorno interno y externo de la organizacin, lo siguiente es la valoracin de stos para determinar cul puede ser el efecto sobre el logro de los objetivos. En una segunda entrega continuar con el tema de la valoracin del riesgo.