You are on page 1of 90

Plan de Auditora Interna

Basado en Riesgos

Gua de Apoyo

Autor: www.auditool.org

Autor: Jess Aisa Dez


Plan de Auditora Interna Basada en Riesgos
Mdulo 1
En nombre del equipo Auditool, les damos la bienvenida al curso virtual, Implantacin de un Modelo
de Gestin de Riesgos Corporativos.
El autor del presente curso es don Jess Aisa Diez, Ex Subdirector Corporativo de Auditora Interna
de Telefnica S.A., Director de la Revista del Instituto de Auditores Internos de Espaa y colaborador
en las evaluaciones de calidad, ponente de diversos cursos y workshops sobre materias relacionadas
con el control interno. Asesor en control interno, tutor de cursos on-line y articulista frecuente en la
revista de la Institucin en la Asociacin Hispanoamericana de Centros de Investigacin y Empresas
de Telecomunicaciones (AHCIET). Ponente y conferencista en diversos eventos internacionales,
tanto
en
Espaa,
como
Iberoamrica.
Para todos los profesionales que nos dedicamos a la actividad de auditora interna existe una gran
preocupacin: que la funcin no sea percibida como un costo para las Organizaciones, sino como
un proceso rentable, en cuyo caso el valor aportado debe superar los desembolsos que su operativa
requiera.
Conseguir este objetivo depender de varios factores, entre ellos, y de forma prioritaria, acertando
en la seleccin de los trabajos de auditora a acometer, incidiendo en lo verdaderamente importante,
o lo que es lo mimo centrando nuestra atencin en las amenazas que afecten, o puedan afectar, a
la consecucin de los objetivos empresariales ms significativos. Para lo cual se hace imprescindible
dirigir nuestros esfuerzos hacia el anlisis y supervisin de aquellos procesos en los que puedan
materializarse
riesgos
capaces
de
impedir
los
resultados
deseados.
Aunque la adecuada seleccin de los trabajos no ser suficiente para conseguir el aporte de valor
que se nos requiere, s que es una condicin necesaria, sin la cual ya podremos ser todo lo eficaces
que resulte posible, que si no actuamos sobre lo que las necesidades de la Organizacin aconsejen
en cada momento, no conseguiremos ser eficientes.
En este contexto, el objetivo del presente curso es cubrir los siguientes dos escenarios:
1.

2.

Instruir a los participantes en el manejo de las tcnicas ms avanzadas sobre gestin de


riesgos para evaluar de forma objetiva y competente el nivel del control interno de las
organizaciones.
Capacitar a los participantes para que puedan apoyar a la alta direccin y a los Directorios
en el diseo e implementacin de procesos de administracin de riesgos con los cuales
conseguir los objetivos empresariales.

Para ello vamos a dividir su desarrollo en dos mdulos, el primero de ellos, que es en el que nos
encontramos, a su vez lo subdividiremos en los siguientes apartados:

Recordar el concepto de riesgo empresarial.


Pronunciamiento del Institute of Internal Auditors sobre la Gestin de Riesgos por parte de
Auditora.
Cules son los conceptos a manejar y a emplear.
Cmo elaborar los mapas de riesgos, y finalmente,
El rol de Auditora Interna en el proceso de su levantamiento.

www.auditool.org

Autor: Jess Aisa Dez


Consideraciones Previas
Lo que resulta obvio es que cualquier actividad humana, las empresariales entre ellas, estn
sometidas siempre a riesgos, entendiendo estos como aquellas circunstancias que pueden impedir
que los acontecimientos se desarrollen, por causas ajenas a nuestra voluntad, segn estaban
diseados, afectando a los objetivos y expectativas marcadas.
La nica forma existente para que los riesgos externos nos afecten lo menos posible, sera
estndonos quietos, no haciendo nada; pero como dictamin Bertrand Russell, uno de los filsofos
ms influyentes del siglo XX:
Una vida sin riesgo es una vida gris, pero una vida sin control probablemente ser una vida
corta.
Expresin que viene ya a anticiparnos la solucin que debemos emplear ante las amenazas que
representan los riesgos. LOS CONTROLES.
Por lo que nos ha enseado el Comit de Organizaciones Patrocinadoras de la Comisin Treadway
(COSO, por sus siglas en ingls), y los dems protocolos sobre gestin de riesgos existentes,
sabemos que siempre que existen riesgos aparecen tambin oportunidades, pero lo contrario
tambin es cierto; cuando intentemos aprovechar una oportunidad, tenemos que considerar los
riesgos que la misma comporte.
Esto podemos observarlo claramente en la situacin que refleja la fotografa del joven soldado de 19
aos de la Alemania comunista, Jans Konrad Schuman, cuando el 15 de agosto de 1961 aprovecha
la oportunidad de pasarse al lado occidental. Para ello debi asumir unos ciertos riesgos, como
que se tropezara y cayera, que se le detuviese, etctera, pero en su caso entendi que, a pesar de
ellos, valan la pena asumirlos, pues el riesgo vena acompaado de una gran oportunidad, LA
LIBERTAD.

www.auditool.org

Autor: Jess Aisa Dez


Lo importante de esta pequea historia es que nos permite visualizar como en cualquier situacin
que, tanto los riesgos, como las oportunidades, siempre vienen acompaados de situaciones de
efectos contrarios, que son los que debemos intentar identificar, y en la medida de lo posible,
controlar, administrar o, en su caso, aprovechar.

Qu es el Riesgo Empresarial
Todas las empresas estn sometidas a los efectos de diversos eventos, tales como fases de
inflacin, bonanza econmica, aumento de la competencia, agentes meteorolgicos (sequias,
inundaciones,), etctera, los cuales, unas veces tendrn repercusiones positivas, que entonces
denominaremos oportunidades y otras veces efectos negativos respecto a la consecucin de los
objetivos, en cuyo caso denominaremos riesgos.
Estas amenazas normalmente resultan inevitables, pues no dependen, en muchas ocasiones, de la
voluntad de la empresa. Pero, siendo totalmente cierto que estos hechos pueden resultar inevitables,
esto no nos conduce necesariamente a la conclusin de que tambin lo sern sus efectos, pues eso
depender de cmo hayamos decidido gestionarlos.
Pongamos como ejemplo un caso extremo, el riesgo de sismo, el cual resulta inevitable poder
impedirlo, pero s est en nuestra capacidad de decisin el tipo de construccin que apliquemos a
las instalaciones de nuestra empresas a fin de minimizar los daos, como tambin lo sern los
seguros que podamos suscribir con los cuales compensar los perjuicios que finalmente hayamos
sufrido.
Por consiguiente, lo importante sern las medidas que adoptemos para gestionar, administrar o
minorar los riesgos que se puedan presentar.
Como acertadamente seal Suzanne Lagarbe, Jefa de Riesgos del Royal Bank of Canad: El
riesgo en s mismo no es malo; lo que es malo es que el riesgo est mal administrado, mal
interpretado, mal calculado, o lo que es lo mismo, que no est bien comprendido.

Evolucin de la Gestin de Riesgos


Si observamos cual es la evolucin que se ha producido en el mbito empresarial respecto de la
forma de gestionar los riesgos, podremos concluir que los cambios han sido muy significativos.
Puesto que:

En el pasado: El monitoreo de los riesgos era una funcin secundaria adscrita a auditora
interna; ahora es una responsabilidad del mximo responsable ejecutivo, el CEO (Chief
Executive Officer)
Antes la gestin de riesgos solo contemplaba la parte negativa, actualmente tambin
debemos considerar las oportunidades que su presencia nos ofrezca.
Inicialmente el riesgo se trataba de forma aislada, hoy es un proceso integral.
El tratamiento de los riesgos estaba situado en los niveles bajos del organigrama,
actualmente la responsabilidad principal de su gestin corresponde a la alta direccin.
De medir los riesgos de forma subjetiva, hemos pasado incluso a modelos de cuantificacin
sofisticados empleando tcnicas economtricas complejas en algunos casos.
En el pasado, la gestin de los riesgos era intuitiva, y no estaba estructurada y
procedimentada; hoy en da s.

www.auditool.org

Autor: Jess Aisa Dez


Pronunciamiento del IIA sobre la Gestin de Riesgos
Esta permanente coexistencia de los riesgos con las decisiones empresariales es reconocida de
forma reiterada por el Institute of Internal Auditors (IIA), pues incluso ya desde la propia definicin de
la funcin de Auditora Interna, se nos indica que uno de los objetivos de la actividad auditora es la
correspondiente a la mejora del proceso de la gestin de riesgos.
Asmismo, se nos aconseja que los planes anuales deben elaborarse por parte del Director de
Auditora Interna teniendo en consideracin el entorno de riesgos en el que se desenvuelve la
actividad de la Organizacin, centrndose en aquellos que sean ms importantes, o lo que es lo
mismo, los que estn ms presentes en los procesos crticos de la empresa. Norma 2010.
Por ltimo el Instituto de Auditores Internos tambin seala que si la Organizacin ha aceptado
convivir con un nivel del riesgo que resulte incompatible con la evolucin normal de la actividad
empresarial, lo que significara que estamos actuando en un ambiente de riesgos inadecuado con
la consecucin de los objetivos, el Director de Auditora Interna debe denunciar esta situacin a las
partes apropiadas. Norma 2600.
Pero no solo el Instituto se pronuncia sobre los aspectos que deben guiar la actividad de auditora
interna con base a los riesgos, sino que tambin describe de forma muy detallada cul debe ser el
proceso a seguir para establecer el Plan anual de Auditora de acuerdo a los riesgos.
En este sentido el Consejo para la Prctica 2010-2 (CP.2010-2), describe pormenorizadamente la
forma de cmo el Plan Anual debe estar basado en riesgos. Sealando que:

Auditora Interna debe identificar reas de alto riesgo inherente, alto riesgo residual y los
sistemas de control claves en los que se sustenta la Organizacin.
Si se identifican reas de riesgo residuales inaceptables, el Director de Auditora Interna
debe notificarlo.
Auditora Interna analizar la adecuacin y eficacia de los sistemas de control y ofrecer
seguridad razonable de que los controles funcionan y que los riesgos son gestionados de
manera efectiva.

En tanto que el Consejo para la Prctica 2120-1 establece la conveniencia de que Auditora Interna
evale la adecuacin de los procesos de Gestin de Riesgos, es decir si la forma en que la empresa
se pronuncia en lo que se refiere al modelo de gestin/administracin de los riesgos empresariales
es el adecuado, o lo est enfocando equivocadamente, aconsejando, a partir de ah, los cambios
que sean pertinentes. Puesto que:

Los objetivos de la organizacin han de estar alineados con la misin de la empresa.


Los riesgos significativos deben ser identificados y evaluados.
Se han de seleccionar respuestas apropiadas a los riesgos de forma que estn en un entorno
de aceptacin.
Se debe obtener oportuna informacin significativa sobre los riesgos crticos.

Una adecuada planificacin del trabajo que se estime pertinente deba ser desarrollado por la Unidad
de Auditora Interna, conlleva una serie de importantes ventajas, de las que destacaramos:

Facilitar la identificacin y ordenacin de las actividades de auditora, con las cuales


conseguir los objetivos esperados.
Focalizar las actuaciones en la identificacin y evaluacin de lo importante.

www.auditool.org

Autor: Jess Aisa Dez

Contribuir a la racionalizacin de los recursos humanos, tcnicos y financieros.


Guiar la obtencin de evidencias de auditoras adecuadas y suficientes para respaldar el
contenido de los informes.
Justificar la labor del auditor frente a cuestionamientos externos.

O lo que es lo mismo, posibilitando conseguir una eficiente labor auditora, pues estaramos
enfocando la actividad exclusivamente en los aspectos significativos, abandonando aquellos otros
que no sean objetivamente susceptibles de anlisis.
Citaremos como ejemplo lo regulado por la Superintendencia de Banca y Seguros Peruana (SBS),
lo cual obviamente slo tendr aplicacin en las entidades del sector financiero que desarrollen su
actividad en ese pas, pero entendemos que lo recogido en su circular n 37 del ao 2008, puede
considerarse como una buena prctica, la cual creemos conveniente compartir. En forma resumida
lo legislado se refiere a:
1) Es objetivo de la Superintendencia que las empresas supervisadas cuenten con una Gestin
Integral de Riesgos adecuada a su tamao y a la complejidad de sus operaciones y servicios.
2) Dichas empresas debern establecer los sistemas apropiados que faciliten la oportuna
denuncia e investigacin de actividades ilcitas o fraudulentas, identificadas por cualquier
trabajador o persona que interacte con ellas (Canal de denuncias).
3) Es responsabilidad del Directorio conocer los principales riesgos afrontados por la entidad,
estableciendo adecuados niveles de tolerancia y apetito al riesgo (Toma de decisin).
4) La Gerencia General tiene la responsabilidad de implementar la Gestin Integral de Riesgos
conforme a las disposiciones del Directorio.
5) Resultar obligatoria la constitucin de un Comit de Auditora y un Comit de Riesgos.
Las responsabilidades que, de acuerdo con lo regulado por la Superintendencia peruana, han de
asumir los distintos rganos de gestin y de control con los que deben contar las instituciones
financieras afectadas. Seran:
Comit de Riesgos (al menos uno de sus miembros ha de provenir del Directorio):

Aprobar las polticas y la organizacin para la Gestin Integral de Riesgos.


Definir la tolerancia y el grado de exposicin al riesgo.
Decidir las acciones necesarias para la implementacin de las acciones correctivas
requeridas, en caso de existir desviaciones respecto a los niveles de tolerancia a los riesgos
asumidos.
Proponer mejoras en la Gestin Integral de Riesgos.

En tanto que el Comit de Auditora (mnimo tres miembros del Directorio, uno de ellos
independiente), debe:

Vigilar el adecuado funcionamiento del sistema de control interno.


Informar al Directorio sobre la existencia de limitaciones en la fiabilidad de la informacin.
Supervisar el cumplimiento de las polticas y procedimientos internos del control interno.
Definir los criterios en la seleccin y contratacin del auditor interno y sus principales
colaboradores, sus remuneraciones y sobre su evaluacin del desempeo, e incentivos
monetarios (salvo que lo asuma el Comit de la casa matriz, previa autorizacin expresa de
la SBS).

www.auditool.org

Autor: Jess Aisa Dez


El esquema de relaciones y dependencias entre las diferentes unidades orgnicas, es el que se
refleja en el grfico del Slide. Los diversos roles a desempear por cada uno de estos intervinientes
en el proceso los describiremos en los siguientes slides:

Responsabilidades
Directorio: Responsable de definir el proceso de Gestin Integral de Riesgos, as como de propiciar
un ambiente interno adecuado y de aprobar los recursos necesarios para ello.
Gerencia General: Encargada de implementar la Gestin Integral de Riesgos conforme a las
disposiciones del Directorio. Podr constituir Comits para el cumplimiento de sus
responsabilidades.

www.auditool.org

Autor: Jess Aisa Dez


Gestores de Riesgos: Coordinar, facilitar y transmitir la cultura de riesgos dentro de su rea de
competencia. Gestionar e informar acerca de los riesgos de la misma y promover la mejora continua
en la gestin de sus procesos.
Gerencias de rea: Los gerentes de las unidades organizativas de negocios o de apoyo, en su
mbito de accin, tienen la responsabilidad de administrar los riesgos relacionados al logro de los
objetivos de sus respectivas unidades.
Gerencia de Riesgos: Responsable de apoyar y asistir a las dems unidades de la entidad en la
realizacin de una buena gestin de riesgos en sus correspondientes reas de responsabilidad.
Unidad de Auditora Interna: Desempea un rol independiente a la gestin, vigilando la adecuacin
de la Gestin Integral de Riesgos, debiendo sujetarse a las disposiciones especficas que regulan su
actividad en el Reglamento de Auditora Interna.

Protocolos Existentes sobre Gestin de Riesgos


Cuando nos hemos referido en plural a los protocolos que guan a las organizaciones en la
implantacin de un modelo de gestin de riesgos, lo hacemos porque no estamos ante una nica
forma de actuar, ya que las formas de proceder son mltiples; aunque eso s, bsicamente
obedeciendo todas ellas a dos hitos fundamentales:

El establecimiento de una base slida sobre la cual se sustente el proceso de gestin de


riesgos, y
Contar con un modelo operacional basado en una metodologa robusta y adecuadamente
implementada.

De todos ellos, quizs, el que tiene un mayor reconocimiento es el denominado COSO II (ERM por
sus siglas en ingls), siendo por ello en el que nos vamos a apoyar, dado que, por otra parte, las
diferencias metodolgicas no son tan importantes como para que lo dicho con base a COSO, sea
invalidado por los otros protocolos.
Por nuestra parte destacaramos, aparte de Basilea, Solvencia, SOX, los siguientes:

ASNZ (Australian and New Zealand Standard on Risk Management),


ISO 31000, recientemente, por ejemplo.

COSO II

Aunque en el curso no pretendemos describir COSO II, ya que lo consideramos suficientemente


conocido, s haremos alguna mencin a determinados aspectos que nos permitan avanzar en el
objetivo del seminario en forma gil. Como por ejemplo, dada su relevancia, la definicin que el
propio Committee entendi oportuno elaborar para describir la administracin de los riesgos
corporativos. Considerndola:
Un proceso efectuado por el directorio, la administracin y las personas de la organizacin; aplicado
desde la definicin estratgica hasta las actividades del da a da, diseado para identificar eventos
potenciales que pueden afectar a la organizacin y administrar los riesgos dentro de su apetito, a
objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organizacin.

www.auditool.org

Autor: Jess Aisa Dez


Existen una serie de premisas, circunstancias o aspectos que son de aplicacin generalizada en la
administracin de los riesgos, y son los que determinarn, en gran medida, la forma de actuar. Como
por ejemplo:

La principal es que todas las entidades, con o sin fines de lucro, existen para crear valor a
sus grupos de inters.
Todas ellas enfrentan incertidumbres.
Las incertidumbres provienen de fuentes internas y externas, y stas se pueden presentar
como un riesgo o una oportunidad, con el potencial de destruir o generar valor,
respectivamente.
La gestin de riesgos corporativos permite manejar esas incertidumbres, su riesgo u
oportunidad asociada y, en consecuencia, incrementar la capacidad de crear valor.
La INCERTIDUMBRE equivale a DUDA o INSEGURIDAD.
El problema es saber cunta incertidumbre estamos dispuestos a aceptar?

Recordemos que el Marco Integrado para la Gestin de Riesgos Empresariales, o


COSO II, es:

Un proceso continuo. Un medio para alcanzar un fin (los objetivos empresariales), no un fin
en s mismo.
Efectuado por todo el personal de la empresa en todos sus niveles.
Aplicado a partir de la definicin de la estrategia.
Desarrollado a lo largo de toda la organizacin (en cada nivel y unidad).
Diseado para identificar eventos potenciales y gestionar riesgos dentro del entorno del
apetito al riesgo.
Proveedor de seguridad razonable del logro de los objetivos: Estratgicos, Operacionales,
Reporte y Cumplimiento.
Y lo que quizs sea lo ms importante: ES UN TRABAJO DE EQUIPO

En este slide exponemos las dos representaciones de COSO, la denominada COSO I y COSO II, no
para desarrollar los conceptos que subyacen en ellas, sino solo para dejar constancia de que cuando
estemos refirindonos al modelo de gestin de riesgos empresariales, tambin estamos hablando
del Marco relativo al Control Interno, ya que este est inmerso en el anterior.

www.auditool.org

Autor: Jess Aisa Dez

En opinin de ms de 1.400 CEOs recogidas en una encuesta de PWC, la Gestin de Riesgos


Empresariales produce mltiples beneficios:

Incrementa la capacidad objetiva para asumir los riesgos necesarios para ayudar a crear
valor.
Aporta claridad a la toma de decisiones y solvencia a las operaciones.
Mejora el seguimiento del desempeo.
Apoya el establecimiento de procedimientos de gobierno consistentes.
Refuerza la reputacin.

Pero tambin, aunque esto es ya nuestra opinin, normalmente:

Han requerido un perodo de implementacin amplio.


Han necesitado apoyos de especialistas externos.
El costo de la implementacin ha resultado significativo.

Pudiendo concluir: Que lo complicado es hacer las cosas sencillas, por lo que se convierte en nuestro
objetivo.

www.auditool.org

Autor: Jess Aisa Dez


Conceptos
Los principales conceptos sobre los que vamos a ir trabajando a lo largo del curso son: Riesgo,
Controles, Apetito al riesgo, Riesgo residual, Tolerancia al riesgo, Mapa de riesgos, pero tambin
otros aspectos como: Distribucin de responsabilidades, diferentes roles a desempear por los
intervinientes en el proceso y evaluacin de costos versus beneficios, que por ser ya viejos conocidos
de todos nosotros no nos detendremos demasiado en ellos, aunque en su momento, s en forma
breve.
Dado que estos son los que aplicaremos, tanto en la implementacin del proceso de gestin de
riesgos, como en la determinacin del Plan Anual de Auditora.
Siendo el riesgo la posibilidad de que un evento ocurra y afecte adversamente a la consecucin de
los objetivos de una organizacin, su naturaleza puede ser muy variada y deberse a factores
externos (econmicos, medioambientales, polticos, sociales, catastrficos, etc.) o internos
(infraestructura, personal, procesos y tecnologa, etc.)
La cuantificacin de los riesgos, de acuerdo con lo establecido por COSO depende de sus dos
atributos clsicos: el impacto y la probabilidad de ocurrencia. Sin embargo, como un poco ms
adelante veremos, actualmente se estn incorporando algunas nuevas opiniones o teoras que
incluyen otras variables adicionales para poder valorarlos adecuadamente, entre ellas la velocidad
de ocurrencia y la vulnerabilidad.
Aspecto que, aunque los vamos a describir, no lo tendremos plenamente en consideracin en el
desarrollo del curso, ya que entendemos que la propuesta no est demasiado bien soportada, por
lo que entendemos que nos encontramos ante una moda pasajera.
En cualquier caso, y al igual que a las personas se nos puede identificar por muchos atributos, en
donde una forma clsica de evaluarlas es a travs de su altura y peso; actuando de forma similar
con los riesgos, pero refirindonos al impacto y a la probabilidad de ocurrencia.

10

www.auditool.org

Autor: Jess Aisa Dez


El atributo probabilidad mide la frecuencia con la que se estima se podra presentar la amenaza
que se est analizando. Estadsticamente sabemos que la probabilidad mxima de un fenmeno es
igual a 100% y la mnima 0%. Pero frecuentemente tambin podremos emplear medidas de ndole
cualitativas, como: extrema, alta, media, norma, baja.
En cuanto al impacto, tambin nos encontramos con otras dos forma de medirlo: (i) la cuantitativa
con base a la estimacin en unidades econmicas del dao producido, y (ii) la cualitativa referida a
la entidad del dao: Alto, medio o bajo, por ejemplo.
Normalmente cuando se inicia la implementacin de un Sistema de Gestin de Riesgos, los mtodos
de medicin sern cualitativos, ya que no requieren de herramientas economtricas desarrolladas,
sino solo sentido comn y buen juicio.
Una vez que ya disponemos de las valoraciones que subjetivamente hayamos considerado que
corresponden al riesgo que estemos analizando, se hace imprescindible que a cada nivel del impacto
y de la probabilidad estimada le asignemos un valor. Por ejemplo:
PROBABILIDAD alta (valor 3), media (valor 2), baja (valor 1)
IMPACTO alto (valor 3), medio (valor 2), bajo (valor 1)

Posteriormente para poder cuantificar la importancia del riesgo debemos multiplicar el valor asignado
a la probabilidad por el valor asignado al impacto estimado.
En el ejemplo expuesto, los valores obtenidos seran: 9, 6, 4, 3, 2, 1. Pudiendo establecer que el
resultado 1 y 2 corresponde con un riesgo tolerable, los valores 3 y 4 con un riesgo moderado, el
valor 6 representara una alta amenaza, mientras que la combinacin que conduzca al 9 sera un
riesgo crtico.

11

www.auditool.org

Autor: Jess Aisa Dez


En lnea de lo que ya hemos comentado, recientemente el Committee of Sponsoring Organizations
ha difundido una nueva versin del informe COSO I, en la que se incluyen dos nuevos elementos a
tener en cuenta a la hora de evaluar los riesgos; especficamente se incluye el concepto de velocidad
y el de persistencia de los riesgos, como criterios complementarios para evaluar tambin la criticidad
de los mismos, y en donde se considera lo siguiente:
o
o

La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la Organizacin


una vez este se ha materializado, es decir, hace referencia al ritmo con el que se espera que
la entidad experimente el impacto.
Por otro lado, la persistencia de un riesgo hace referencia a la duracin del impacto despus
de que el riesgo se haya materializado.

Es cierto que estos hechos diferenciales podran determinar las caractersticas del riesgo con el que
estemos trabajando, derivndose de ello los controles apropiados para combatirlos; pero esto no es
ninguna novedad pues representa la forma que operamos en forma genrica con los riesgos, ya que
los controles no solo se establecen en funcin del impacto y de la probabilidad de ocurrencia, sino
tambin con base al resto de circunstancias que rodean los distintos factores de riesgo que puedan
afectar a nuestros objetivos. Como ya iremos viendo.
Partiendo de lo anterior, y adicional a la interrelacin entre los dos COSOs, (COSO I y COSO-ERM),
tambin se tienen los conceptos incluidos en el documento Risk Assessment in Practice Thought
Paper del 26 de Octubre del ao 2012, en el que se incluye el elemento de la velocidad de ocurrencia,
as como el de vulnerabilidad, cuyo concepto lo define el diccionario de la legua espaola como la
incapacidad de resistencia cuando se presenta un fenmeno amenazante, o la incapacidad para
reponerse despus de que haya ocurrido un desastre.

Mapas de Riesgos Multidimensionales


De no dejar aparcados los nuevos elementos a considerar en el momento de evaluar los riesgos,
nos encontraramos con la necesidad de ampliar la dimensin de los mapas de riesgo, que pasaran
a ser multidimensionales, de momento 5 (impacto, probabilidad, velocidad, persistencia y
vulnerabilidad).
Por lo que habra que buscar soluciones imaginativas para poder hacer su representacin en un
soporte de dos dimensiones, como en el ejemplo que aparece en el Slide, donde el tamao del punto
refleja la velocidad de aparicin. Pudiendo reservar la forma de los puntos para identificar la
persistencia y el color, por ejemplo, para identificar su grado de vulnerabilidad.

12

www.auditool.org

Autor: Jess Aisa Dez

La enorme complicacin que en el momento de evaluar los riesgos se derivar de los cambios
propuestos, y sobre todo por la dificultad que supondra en la elaboracin de los mapas de riesgos,
nos hacen reconsiderar la conveniencia de aplicarlos en lo que resta del curso, por lo que coincidimos
con nuestra amiga Mafalda y, de momento, los dejaremos aparcados, aunque ms adelante
volveremos a tratarlos y exponer nuestra propia opinin respecto de estos nuevos atributos, pues
hemos de sealar que no sern ignorados
La gama de riesgos que pueden afectar al normal desenvolvimiento de los negocios es muy amplia,
como podemos observar en el Slide, en el que hemos incorporado los que podramos considerar
ms habituales, agrupndolos por caractersticas, tales como: Tcnicas, Operativos, Recursos
humanos, Tecnolgicos, Control Interno, Naturales,

13

www.auditool.org

Autor: Jess Aisa Dez


Ejemplo de Riesgos Empresariales

Debiendo sealar que no hay un modelo nico, ni recomendable a ser aplicado en las
Organizaciones empresariales, pues el ms idneo ser aquel que contenga aquellos que puedan
presentarse habitualmente en el desarrollo de la actividad.
En el ejemplo que estamos describiendo, extraamos, por ejemplo, los riesgos reputacionales, los
medioambientales y los financieros contables.
La identificacin de las posibles amenazas es bsica para una adecuada gestin de las mismas,
debiendo analizar con sumo cuidado cules son estas, pero intentando no desagregar en exceso,
puesto que trabajar con un modelo de riesgos excesivamente pormenorizado complicar su
aplicacin. En nuestra opinin no debiramos trabajar inicialmente con un portafolio que supere los
50 o 60 riesgos.
En cualquier caso, recordemos que los modelos de gestin de riesgos tipo ERM tambin consideran
las oportunidades, es decir aquellas circunstancias que pueden afectar favorablemente al logro de
los objetivos. Sera, por ejemplo el viento en un vuelo transocenico de Europa a Amrica, en cuyo
caso es un riesgo pues disminuye la velocidad del avin, y har que se consuma ms combustible,
pero si el itinerario es el inverso, de Amrica a Europa, es un efecto favorable, pues al incidir sobre
la cola de la aeronave aumentar su velocidad. Siendo esta la razn por los que los vuelos en este
sentido, Amrica- Europa, duran menos que los del sentido contrario.

14

www.auditool.org

Autor: Jess Aisa Dez


Una nueva clasificacin de los riesgos es la que presentamos ahora, con la que tampoco hemos
reseado de forma exhaustiva toda la tipologa de riesgos que pueden existir.
Insistimos, lo que en cada momento habr que esforzarse en identificar aquellos aspectos que
realmente representen amenazas en la consecucin de los objetivos perseguidos.

15

www.auditool.org

Autor: Jess Aisa Dez


Fuentes de Riesgos
En la identificacin de los posibles riesgos que incidan en la gestin de la empresa, quiz lo ms
importante es identificar las fuentes de los riesgos, o lo que es lo mismo la causa por la que se
pueden producir los efectos adversos que afecten a la actividad.

Por ejemplo: en el riesgo de accidente en carretera existen muchas posible causas que los pueden
provocar: mal estado de la carretera o de las ruedas, exceso de velocidad, la falta de pericia del
conductor, etctera. Que son los aspectos sobre los que habr que incidir para controlar el riesgo de
accidente, al menos desde la perspectiva de la probabilidad de ocurrencia.
En la reproduccin de la informacin recogida en la prensa respecto de la cronologa de los hechos
que concurrieron en el accidente de hace unos aos en un vuelo de Air France en el Ocano
Atlntico, podemos leer la sucesin de acontecimientos en la parte izquierda del Slide, mientras que
en la parte derecha podemos ver los factores de riesgos que se pudieron observar, y que no fueron
debidamente gestionados.

16

www.auditool.org

Autor: Jess Aisa Dez

Lo importante es entender que un riesgo, en este caso el de accidente del avin, normalmente tiene
ms de un factor o causa que lo materialice.
Los modelos de gestin de riesgos empresariales manejan una serie de conceptos que ya hemos
enumerado en algunos Slide anteriores, y que, para continuar, nos gustara que recordsemos.

17

Riesgo inherente: El que existe en ausencia de acciones para alterar o reducir su


probabilidad de ocurrencia o impacto.

Apetito al riesgo: Cuanta que se est dispuesto a asumir para realizar la misin, al ser
compatible con los objetivos.

Riesgo residual: Remanente despus de que se hayan llevado a cabo las acciones para
modificar la probabilidad y/o el impacto de un riesgo.

Tolerancia al riesgo: El margen asumido como vlido entre el Riesgo Residual y el


Apetito al Riesgo.

Controles: Medidas adoptadas para mitigar el impacto y/o reducir la probabilidad de


ocurrencia de los riesgos.

Mapa de riesgos: Representacin cartesiana de la importancia de los riesgos.

www.auditool.org

Autor: Jess Aisa Dez


Gestin de Riesgos
La gestin de riesgos debemos entenderla cmo la actividad empresarial, y humana tambin, que
nos permite convivir con las amenazas que puedan afectar a los objetivos establecidos, impidiendo
que estas se materialicen, o de hacerlo se minimicen los impactos que puedan producir. Por ello:
La gestin de riesgos consiste en la identificacin, evaluacin y control de los
acontecimientos que, potencialmente, pueden poner en peligro los objetivos y metas.
Veamos con cierto detenimiento la siguiente fotografa; observamos que dos operarios estn
manejando lo que parece ser material inflamable. El riesgo es evidente, un accidente laboral, la
razn, que entre en ignicin alguno de los bidones, o que uno de los bidones le caiga sobre una
mano o un pie a los operarios. El objetivo a conseguir: mover los bidones sin que existan accidentes.

Si recordamos los riesgos se evalan con base a dos atributos, el impacto (el dao producido) y la
probabilidad de que este ocurra.
En el caso de la foto, no apreciamos nada que pueda conducirnos a una menor probabilidad de una
deflagracin, salvo que ninguno de los dos operarios est fumando, ni se manipulan los bidones
cerca de ninguna fuente de energa, por lo que la posibilidad de que ocurra el accidente no estara
alterada. Pero sin embargo, la dotacin que llevan estos operarios da la impresin de ser ignfuga,
por lo que si algn bidn se incendia, las consecuencias de las quemaduras que pueden sufrir sern
menos importantes que si no llevaran esa proteccin. El control impuesto a la operacin est
incidiendo en el IMPACTO. En el mismo sentido puede apreciarse que ambos llevan guantes y
calzado apropiado, lo que mitigara las consecuencias de una cada del bidn.
Recordemos que COSO II seala respecto a las actividades de control, que son:
Las polticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la
direccin a los riesgos
Las respuestas a los riesgos pueden ser de varios tipos: las que los evitan, las que los mitigan, las
que los comparten, pero tambin la de aceptarlos.

18

www.auditool.org

Autor: Jess Aisa Dez


Evitarlos sera cuando, por ejemplo, el riesgo de sismos que amenaza a una empresa se corrige
trasladando la industria o el almacn a un lugar donde no exista esa amenaza.
Sera mitigndolos, siguiendo con el mismo ejemplo, cuando se refuerza la estructura de la
edificacin, incluyendo elementos antissmicos.
Sera compartirlos, cuando se suscribiese una pliza de seguros que compensase los daos sufridos
por el terremoto.
Y finalmente sera aceptarlos, cuando no se toman medidas para minimizar el riesgo inherente, ya
que en la zona no se estima que se produzcan estos accidentes.
La forma de elegir uno u otro procedimiento depender de varias circunstancias, pero entre ellas que
el costo que suponga la implementacin de las medidas decididas, versus los beneficios obtenidos.
Adicionalmente los controles deben ser elegidos tambin en coherencia con el apetitito al riesgo que
se haya fijado por la Organizacin como el nivel de riesgo compatible con los objetivos perseguidos.
Como podemos ver de forma grfica los controles intervienen en momentos diferentes del proceso,
segn sean estos detectivos, preventivos o correctivos.

19

www.auditool.org

Autor: Jess Aisa Dez


Dado que los controles no son excluyentes, podremos tener en un mismo proceso distintos tipos de
controles. De su eleccin depender en buena medida la eficacia y la eficiencia del proceso de
gestin de riesgos.
Pero tambin podemos clasificarlos por otros tipos de caractersticas, como por ejemplo: la
periodicidad en su aplicacin, o la forma de ejercerse, bien sea manual o automtica.

La forma elegida depender como ya hemos comentado anteriormente, de la relacin costo /


beneficio que se obtenga de su implementacin, por lo que debemos tener siempre presente que:
lo mejor suele ser enemigo de lo bueno, lo que nos recomienda que seamos pragmticos al
momento de elegir los controles que vayamos a utilizar.

20

www.auditool.org

Autor: Jess Aisa Dez


Para relajarnos un poco de los temas tan serios con los que estamos tratando, permitmonos una
pequea licencia: averigemos el tipo de controles que se emplean en la granja avcola que se
presenta en el Slide.

Podramos contestar que son controles manuales y de tipo correctivos, incidiendo sobre el impacto,
no sobre la probabilidad de ocurrencia; lo cual sera correcto, pero lo que de verdad calificara al
control empleado, es la de ser INEFICAZ, pues la rotura de los huevos es prcticamente segura.

Mapas de Riesgos
Los mapas de riesgos son la representacin grfica de la probabilidad e impacto estimada de los
riesgos. Pueden adoptar la forma de mapas de color o diagramas de proceso que trazan
estimaciones cuantitativas o cualitativas de la probabilidad e impacto de cada uno de los riesgos.

21

www.auditool.org

Autor: Jess Aisa Dez


Normalmente los riesgos se representan de manera que los ms significativos, lo que tienen mayor
probabilidad y/o impacto resalten, diferencindolos de los de menor importancia, asignndoles el
color rojo, el color amarillo para los intermedios y el color verde para los no preocupantes, en forma
similar a los colores de un semforo.
Los mapas sirven para poder tener una imagen de las amenazas que afecten a la organizacin, de
su importancia, y de lo cerca o alejados que estn de la situacin deseada, que es la que se deriva
de considerar los apetitos al riesgo en cada una de estas amenazas.
Para poder situar adecuadamente los diferentes riesgos en el correspondiente mapa, se hace
imprescindible la cuantificacin o evaluacin de los dos atributos, su impacto y su probabilidad de
ocurrencia.
Modelacin de las Variables a Considerar:

Esta evaluacin, como ya hemos comentado, puede hacerse a travs de mtodos cuantitativos o
cualitativos; si bien en los momentos iniciales de implementacin de los Sistemas de Gestin de
Riesgos lo habitual es el empleo de mtodos cualitativos, ya que no requieren disponer de
importantes volmenes de datos, y son intuitivos y de fcil estimacin, aunque no disponen de una
gran precisin, lo cual no es ningn inconveniente para recomendar su empleo.

22

www.auditool.org

Autor: Jess Aisa Dez


En el ejemplo que reproducimos, tanto la probabilidad de ocurrencia, como el impacto los hemos
subdividido en cinco clases, de acuerdo con la escala previamente definida.
Resultado

Asignando a cada uno de estos cinco niveles un valor numrico representativo de su grado de
impacto o probabilidad, el valor 5 para los niveles ms significativos, en tanto que el 1 es para los
ms bajos, por lo cual tendramos las siguientes posibilidades:
Probabilidad

Impacto

Casi certeza 5

Catastrficas 5

Probable.. 4

Mayores 4

Moderado 3

Moderadas... 3

23

www.auditool.org

Autor: Jess Aisa Dez


Improbable.. 2

Menores 2

Muy Improbable. 1

Insignificantes.. 1

Multiplicando los valores asignados a cada uno de estos elementos obtendremos la importancia
estimada de cada riesgo en funcin de la estimacin de cada uno de sus elementos.
Obtenida la evaluacin de cada uno de los dos atributos de los distintos riesgos que hayamos
considerado pueden afectar a los procesos que estemos gestionando, la ubicacin de dichos riesgos
en unas coordenadas cartesianas nos permitir visualizar la representacin grfica de los riesgos en
su correspondiente mapa, as:

Pero invitemos a Mafalda a que nos comente su opinin sobre la oportunidad de ampliar los atributos
que debemos evaluar para tener una idea rigurosa del tipo de riesgo que nos pueden amenazar, ya
que algunos expertos se inclinan en incorporar los correspondientes a la velocidad de ocurrencia, la
persistencia y la vulnerabilidad.

Empecemos por la velocidad. Es cierto que la velocidad de ocurrencia influye en la tipologa del
riesgo que estemos analizando. Un incendio, un sismo, una tormenta con granizo, un atraco,
etctera, son ejemplos claros de situaciones que, de producirse, se manifiestan con gran rapidez, y
que es un aspecto independiente a la probabilidad de ocurrencia, pero no del impacto, pues la
capacidad de reaccin de que dispongamos determinar en gran medida el dao finalmente
producido, por ello s consideramos oportuno tener en consideracin esta caracterstica de los
riesgos, pero fundamentalmente para determinar los controles especficos que en cada caso
corresponda. En el ejemplo del incendio, instalando circuitos cortafuegos de actuacin automtica;
en la tormenta por granizo protegiendo las cosechas con toldos y en los atracos protegiendo nuestras
instalaciones con cristales blindados, o con dispositivos de apertura de las cajas fuertes, o alarmas.

24

www.auditool.org

Autor: Jess Aisa Dez


En lo que se refiere a la variable persistencia, creo que aqu la vinculacin de esta caracterstica
con el impacto es evidente, pensemos por ejemplo en una crisis econmica o en una sequa
continuada. Su mayor o menor continuidad determinar los daos que puedan producirse.
Y por ltimo la vulnerabilidad, entendida como la predisposicin para ser afectado por alguna
circunstancia, por ejemplo a los espaoles que visitamos Mxico, lo que suele denominarse la
venganza de Moctezuma, es decir los padecimientos diarreicos causados a los turistas. Lo cual no
es ms que un factor con el que incrementar la probabilidad de ocurrencia, que podremos controlar
evitando comer y beber determinados artculos.
A mayor abundamiento de lo que hemos comentado, creo que puede ser ilustrativo comentar el caso
de una desgracia ocurrida recientemente en un espacio pblico en la noche de Halloween en Madrid,
en donde se concentraron miles de jvenes que se vieron sorprendidos por una gran avalancha
humana en la que perecieron varios jvenes. La rapidez de la avalancha fue tremenda, cuestin de
minutos; pero eso no fue lo determinante de la tragedia, sino que las puertas de desalojo estaban
bloqueadas (los controles previstos no funcionaron), y que en el botiqun habilitado solo estaba un
facultativo de 80 aos con un equipo insuficiente e inadecuado para atender paradas
cardiovasculares (nuevamente los controles fallaron).
En el mismo sentido y respecto a la vulnerabilidad, estamos acostumbrados a escuchar la expresin
de poblaciones de riesgo como aquellas que estn expuestas a determinadas amenazas, virus VIH,
aficionados al tabaco respecto de cncer de pulmn, etctera, que lo que nos estn es identificando
colectivos en los que la probabilidad de que se materialicen las amenazas es muy superior a la de
otros colectivos. Por lo tanto:
VULNERABILIDAD es igual a MAYOR PROBABILIDAD.
Nuestra tesis es que estos nuevos atributos que se entiende conveniente considerar a la hora de
determinar la relevancia de los riesgos, no determinan la importancia o relevancia de los mismos,
sino las caractersticas propias de cada amenaza, las cuales s deben ser consideradas para
seleccionar el tipo de controles que en cada caso corresponda aplicar. La forma de actuar depender
de muchos factores, entre ellos:
a) El medio natural en el que se producen: Maremotos versus terremotos.
b) Los daos producidos: Materiales, personas, hbitat,.
c) El origen de los mismos: Infecciones, virus, bacterias,..
d) El lugar dnde se materialice el riesgo: En el hogar, en la calle, en un aeropuerto, en el
avin,

Todos estos aspectos deben ser tenidos en consideracin al momento de determinar el tipo
de controles que debemos aplicar en cada caso, puesto que estarn determinado el impacto
o la probabilidad, pero sobre todo la empleabilidad del control seleccionado.

Roles de Auditora Interna en ERM


Otro aspecto que entendemos imprescindible comentar antes de dar por terminada la fase
conceptual, es la correspondiente al rol que deben y pueden realizar los departamentos de Auditora
Interna en la implantacin y posterior desarrollo de los procesos de gestin de riesgos.
Ya hemos comentado que este Proceso es multiparticipativo, dado que afecta a todos los miembros
de la organizacin, por lo que debe existir una clara asignacin de responsabilidades, ya que, de
otra manera, se diluiran estas y no habra forma de identificar las medidas correctoras que pudieran
en su caso aplicarse.

25

www.auditool.org

Autor: Jess Aisa Dez


Hemos visto como el Directorio debe asumir un papel protagonista, siendo el impulsor de su
implementacin, pero tambin decidiendo cuales son los objetivos estratgicos que deben guiar la
marcha de la organizacin, as como tambin debe decidir sobre la tolerancia al riesgo que se
entienda es compatible con esos objetivos.
A las gerencias operativas les corresponder la identificacin y evaluacin de los riesgos que afecten
a los procesos de los que ellos sean responsables, pero tambin decidiendo qu medidas son las
que deben aplicarse para que los riesgos observados se mantengan dentro del nivel de tolerancia
decidido. Mientras que Auditora Interna le corresponderan dos actividades: la del aseguramiento
del proceso establecido y la de consultor en su diseo e implementacin, pero ajustando su funcin
a determinadas reglas.
En el caso de las unidades de Auditora Interna, dado que estas tiene su principal campo de
actuacin en el elemento de COSO correspondiente a la SUPERVISIN, o lo que es lo mismo
monitorear, con lo cual pueden concluir sobre la eficacia y eficiencia de los procesos evaluados - en
el de gestin de riesgos tambin - el propio Instituto de Auditores Internos defini, dentro de todas
las actuaciones que pueden realizarse en un ERM, las que seran propias de Auditora Interna,
aquellas otras en las que no habra inconveniente en que pudiesen ser realizadas por Auditora y,
en ltimo lugar, las que en modo alguno deben ser asumidas por la Direccin de Auditora Interna.
Su representacin grfica corresponde con el semicrculo que recoge el slide, el cual analizndolo
de izquierda a derecha, refleja las tres situaciones que hemos comentado. Es destacable que el
propio Instituto de Auditores Internos entiende conveniente que la Auditora Interna pueda asumir el
papel de impulsor de este proceso, pero marcando una lnea roja que no debe traspasarse en
ningn momento, como es la toma de decisiones respecto del nivel de riesgo asumible por la
organizacin, ni la de decidir qu acciones deben realizarse para reconducir los riesgos a los
entornos considerados aceptables. En este sentido, si en determinadas situaciones al Director de
Auditora Interna se le asigna la responsabilidad de Gestor de Riesgos, como prolongacin de su rol
de impulsor del proyecto, debemos sealar que esto no resulta del todo aceptable, pues slo basta
recordar en este sentido lo indicado por la Norma. 1130. A2, que seala que Los trabajos de
aseguramiento para funciones en las cuales el Director de Auditora Interna tiene responsabilidades
deben ser supervisadas por alguien fuera de la actividad de auditora interna. Es decir habra
conflicto de intereses.

26

www.auditool.org

Autor: Jess Aisa Dez


Roles de la Auditora Interna

En una encuesta realizada por el Institute of Internal Auditors, se observa que en la actualidad, el
papel prioritario asumido por las Unidades de Auditora Interna en el proceso de la gestin de riesgos
es: el de proveer de orientaciones pertinentes a las organizaciones sobre la forma adecuada de
gestionarlos (77%), seguido de involucrarse en la formacin del proceso de gestin de riesgos (48%),
y en tercer lugar en la participacin en la implementacin del programa de gestin de riesgos (45%).
Pudiendo apreciarse que, entre las expectativas respecto a la actividad que se espera desarrollen
las Unidades de Auditora Interna, se encuentra la de proveer aseguramiento independiente sobre la
gestin de riesgos; que es exactamente el rol que nos debe corresponder, una vez que el proceso
de gestin de riesgos est ya funcionando en la organizacin.
Ya hemos comentado que el proceso de gestin de riesgos es un proceso de mejora continua, pero
tambin de implementacin progresiva, en cuyo caso el rol a desempear por las Unidades de
Auditora Interna depender del grado de desarrollo que tenga dicho proceso, que como se
observar por lo indicado en el slide, en las primeras fases predomina la funcin consultora, en tanto
que en las fases de consolidacin se acta en el mbito del aseguramiento.

27

www.auditool.org

Autor: Jess Aisa Dez


Estado de Madurez ERM en una Organizacin

En resumen, el rol a desempear por Auditora Interna en el proceso de gestin de riesgos


depender del grado de madurez que el mismo tenga en el mbito de la empresa.
Siguiendo la secuencia que el propio COSO desarroll en el Marco Integrado sobre el proceso ERM,
esta se puede representar de forma grfica tal cual la recogemos en el grfico: su inicio debe
efectuarse con una definicin clara, comprometida y decidida por parte del Directorio en la existencia
de un adecuado entorno o ambiente de control dentro de la organizacin, para pasar
inmediatamente, y sin solucin de continuidad, en la definicin de la estrategia de la organizacin,
de la que se derivarn los objetivos a alcanzar por las distintas reas en las que est dividida la
organizacin, identificando para estos los procesos claves en los que se apoyan.

28

www.auditool.org

Autor: Jess Aisa Dez

Despus se han de identificar los acontecimientos que, de una forma positiva o negativa, puedan
afectar a la consecucin de las metas empresariales, evaluando su importancia, definiendo el apetito
al riesgo que en cada caso corresponda, comparndolo con los niveles de los riesgos residuales que
entendamos existen. De la diferencia que nos encontremos con la tolerancia al riesgo que hayamos
establecido, se deben adoptar las medidas correctoras que procedan, concretando los controles que
haya que implantar, para por ltimo, y con una participacin amplia de Auditora Interna, realizar una
supervisin de la eficacia del modelo implantado.

Mdulo 2

Finalizada la fase descriptiva del curso con la que compartir y difundir los aspectos tericos que
definen el Marco COSO sobre gestin de riesgos empresariales, debemos avanzar en el
correspondiente a la forma en la que las Organizaciones debemos actuar para implementarlo, a cuyo
objetivo vamos a dedicar el presente mdulo.
La secuencia que vamos a desarrollar entendemos debe ajustarse a la descripcin de los siguientes
apartados:

29

Cmo conseguir una implementacin eficiente de un proceso ERM?

Qu debemos esperar de Auditora Interna?

Cul sera una hoja de ruta adecuada para aplicar un proceso de ERM en las
organizaciones?

Diversas modalidades para evaluar la importancia de las amenazas.

La relevancia de los factores de riesgo.

www.auditool.org

Autor: Jess Aisa Dez

Ordenacin de los riesgos por su importancia. Mapas de Riesgos.

Auditora del proceso ERM.

Conclusiones.

En forma similar a cuando iniciamos un viaje, que debemos planificarlo adecuadamente, no solo
eligiendo y reservando el hotel donde nos hospedemos, el medio de transporte a emplear etc., sino
tambin los sitios que vayamos a visitar, y sobre todo el equipaje que debamos llevar, ni mucho, ni
poco, lo esencial, lo que nos permita cubrir nuestras necesidades sin agobios de ningn tipo.
Este esquema de funcionamiento es plenamente vlido tambin para el proceso de gestin de
riesgos, ya que debemos estructurarlo con los objetivos que queramos alcanzar de forma muy clara,
incidiendo en lo verdaderamente importante, sin olvidar que estamos ante un proceso de mejora
progresiva, y que no es aconsejable intentar alcanzar resultados muy ambiciosos en las primeras
etapas de su implementacin. Por ello, las fases que debemos planificar previamente al inicio del
proyecto deberan atender a los siguientes principios:
1. Centrarnos en los principales objetivos perseguibles con las actividades y circunstancias
de la empresa.
2. Adoptar un enfoque para el control interno basado en los riesgos relevantes.
3. Racionalizando la documentacin.
4. Contemplando el Control Interno como un proceso integrado.
Si actuamos de esta manera, y si los recursos que hayan sido habilitados son los adecuados,
podremos tener una seguridad razonable de que tendremos una implementacin exitosa. Para ello
no debemos lanzarnos sin haber definido el plan de actuacin, fijando los objetivos a conseguir. Las
improvisaciones deben quedar fuera de nuestra forma de trabajar.
Este consejo viene avalado por las mltiples experiencias que nos aporta la identificacin de las
razones que justifican los fracasos de algunas estrategias y de los proyectos, como veremos a
continuacin.

En resumen siendo selectivos, incidiendo en lo importante.


De acuerdo con diversos estudios, la situacin con la que probablemente nos podemos encontrar en
las organizaciones es que:

El 85% de los equipos directivos dedican menos de una hora mensual a discutir las
estrategias.
El 75% de las empresas no tienen incentivos relacionados con la estrategia.
El 60% de las empresas no vincula los presupuestos a las estrategias.
Solo el 5% de los empleados conoce y comprende la estrategia vigente en cada momento.

Siendo esto as, podemos concluir que las estrategias empresariales pueden fracasar por varios
motivos, pero destacaran los correspondientes a:

30

Falta de compromiso real de los directivos a conocer, desarrollar y ejecutar la estrategia que
se haya definido.
La estrategia no es comunicada adecuadamente a todos los niveles de la organizacin. Los
medios-presupuestos- asociados a las estrategias no son coherentes con las actuaciones
que deban realizarse.
Los ejecutivos no se encuentran vinculados con la consecucin de las metas establecidas
en las nuevas estrategias.

www.auditool.org

Autor: Jess Aisa Dez


Un error frecuente es querer pasar de la definicin de la estrategia a la accin de implementarla de
forma rpida, urgente, prioritaria, sin haber programado las actuaciones precisas de forma coherente
y suficiente. Es decir no habindola expuesto adecuadamente a las personas que deben aplicarla.
Si ello fuese as, lo que exista en la mente de la gerencia, difcilmente se podr conseguir. Este es
un aspecto fundamental si no queremos fallar desde el inicio. Planifiquemos y programemos las
acciones que nos permitan materializar las estrategias definidas, eligiendo adecuadamente a los
participantes.
Pasar de las musas al teatro, lleva su tiempo.
En los momentos en los que se prepara este seminario, prcticamente todos los peridicos hacen
eco frecuentemente de las reuniones de los lderes de la Unin Europea para salvar definitivamente
el euro, y el sistema financiero de la Unin, fundamentalmente por los problemas de la deuda
soberana y los derivados de la falta de solvencia y de liquidez de la banca. Existiendo un diagnstico
comn, la falta de reglas comunes claras, fundamentalmente fiscales (presupuestarias) que obliguen
a todos los miembros de la euro-zona a actuar de una manera colegiada.
Esta falta de regulacin comunitaria, es el origen de las discrepancias que actualmente se han
evidenciado, poniendo en peligro la continuidad del euro, el cual surgi con un objetivo claro de
sustituir a las monedas nacionales, actualmente de 17 pases, pero no se lleg a regular como deban
ser las relaciones entre los socios, y sobre todo como coordinar sus polticas fiscales, los dficits
mximos a permitir, etc. Es decir, el proyecto no estuvo bien estructurado en sus orgenes, fallando
la planificacin de su implantacin, la asignacin de responsabilidades y la evaluacin peridica que
permitiese tomar decisiones antes de llegar a situaciones lmites, como la que atraviesan los
llamados pases perifricos, en la que los recortes a las prestaciones sociales (educacin, sanidad,
pensiones, desempleo,) resultan dramticas.
Evitar que la marcha de los proyectos no sea la adecuada, exige una identificacin suficiente y
detallada de los objetivos, del diseo de la hoja de ruta que debamos seguir, de la asignacin de
responsabilidades claras sobre a quin corresponde realizar las distintas fases del proceso, y por
ltimo supervisar su adecuado progreso.
Acabamos de ver que un aspecto bsico a la hora de iniciar el desarrollo de cualquier proyecto es la
identificacin clara de los objetivos. En este sentido: Lo primero que debemos recomendar es que
seamos realistas. No nos dejemos deslumbrar sobre las posibilidades de poder alcanzar muchas
metas.
Permtanme un pequeo ejemplo, y recordemos como nos comportamos cuando hacemos uso de
un Buffet libre, no poniendo en nuestro plato grandes cantidades de todas las ofertas, sino que
elegimos, ajustando lo que cogemos a lo que nos apetezca y al apetito que en ese momento
tengamos. En forma similar deberemos actuar con un proyecto de gestin de Riesgos Corporativos,
identificando lo que entendemos ms significativo y ajustemos las actuaciones centrndonos en esos
aspectos, para lo cual hemos de disponer de los recursos y apoyos necesarios.
Por todo ello:

Identifiquemos y seleccionemos lo importante.


Apliquemos modelos evolutivos, empezando por lo bsico.
Familiaricmonos con las herramientas a emplear.
No seamos excesivamente ambiciosos, vayamos paso a paso.
Propongamos presupuestos que sean asumibles.

Si consideramos estas recomendaciones en la implantacin un proyecto ERM, posiblemente


dispongamos del apoyo de TODA la Organizacin.

31

www.auditool.org

Autor: Jess Aisa Dez


Otro aspecto significativo a la hora de planificar el proyecto, como ya hemos visto, es la asignacin
de responsabilidades claras sobre a quin corresponde realizar las distintas fases del proceso. En
este sentido cul sera el rol a desempear por las Unidades de Auditora Interna.
La pregunta tiene una respuesta bastante clara: Que efecte su rol de consultor, apoyando a la
organizacin en la definicin e implantacin de un modelo de gestin de riesgos que resulte eficiente.
Tal y como se reflejaba en el extinto CP 2100-4 al sealar que:
La gestin de riesgos es una responsabilidad clave de la direccin. Para alcanzar sus objetivos de
negocio, la direccin debe asegurar que existan y funcionen procesos de gestin de riesgos slidos.
Los Directorios/Comits de Auditora cumplen una funcin de vigilancia para determinar que existan
procesos de gestin de riesgos apropiados y que esos procesos sean adecuados y eficaces.
Los auditores internos deben colaborar con la direccin y el Comit de Auditora mediante el examen,
evaluacin, informe, y recomendacin de mejoras sobre la adecuacin y eficacia de los procesos de
gestin de riesgos.
La direccin y el Directorio son los responsables de los procesos de gestin de riesgos y controles
de su organizacin. Sin embargo, los auditores internos, cumpliendo un rol de consultores, pueden
ayudar a la organizacin a identificar, evaluar e implantar metodologas de gestin de riesgos y
controles para tratar aquellos riesgos.
Esta participacin de auditora en el proceso de gestin de riesgos, comporta, como no podra ser
de otra manera, oportunidades para resaltar la labor de auditora, pero tambin riesgos por estas
actuaciones si es que no se adoptan determinados controles. Vemoslos en el siguiente slide.
Una duda que posiblemente nos surgir en el inicio de la definicin del proyecto, es si el Director de
Auditora Interna debe asumir un papel importante en su planificacin y ejecucin.
La respuesta no ofrece dudas, un rotundo S; pero con una reserva: S, pero hasta donde no
comprometamos nuestra independencia de criterio.
Aspecto que se podra producir si fusemos nosotros los encargados de analizar y/o valorar nuestras
propias decisiones, ya que en esa situacin la opinin de auditora estara contaminada. En este
sentido se debe recordar que Auditora Interna desarrolla plenamente su actividad en el 8 elemento
de COSO, la Supervisin, de manera que, a travs de ella, podamos concluir sobre la bondad del
proceso en su conjunto, aportando las recomendaciones que se consideren oportunas con la
finalidad de reconducir aquellos aspectos del proceso que no funcionen adecuadamente.
Por lo tanto, nuestra participacin debe limitarse exclusivamente hasta dnde no comprometamos
nuestra independencia.
No debemos ser jueces y parte!
Ya que:

La Norma. 1130 A 2, seala que:Las funciones de aseguramiento para funciones por las
cuales el Director de Auditora Interna tiene responsabilidades deben ser supervisadas por
alguien fuera de la actividad de auditora interna
Distanciarnos por tanto de la determinacin del apetito al riesgo y de cualquier decisin
gerencial.

Pero esta exigencia para no entrar en contradiccin con la regulacin de la actividad auditora
recogida en el Marco Internacional para la Para la Prctica Profesional de la Auditora Interna, no es
bice para que podamos asesorar a la Organizacin en los momentos iniciales en los que se est
analizando y decidiendo el modelo a aplicar, e incluso en la implantacin del mismo, pero siendo
conscientes de que, una vez puesto en marcha el proceso, debemos dar un paso atrs y asumir
exclusivamente las funciones que no comprometan la funcin de auditora.

32

www.auditool.org

Autor: Jess Aisa Dez


Salvado el punto anterior, Auditora Interna puede y debe ser un impulsor en la implementacin del
proceso, ayudando a la Organizacin a familiarizarse con las tcnicas con las que desarrollar un
proceso de gestin de riesgos corporativos eficaz y eficiente. Facilitando, hasta donde le sea posible,
la formacin precisa.
Recordemos que solo hay una restriccin: No traspasar la lnea roja que le separa de las acciones
que les corresponde a los Gestores de Riesgos. Auditora Interna solo debe supervisar y asesorar,
no asumir decisiones gerenciales.
Hasta ahora estamos refirindonos continuamente a la gestin de los riesgos que amenacen a los
resultados de los procesos con los que se desarrollen las actividades de las organizaciones; para
ello es preciso que correlacionemos los riesgos con los procesos en los que las actividades
empresariales son desarrolladas. Es decir, asociar riesgos y procesos, o viceversa.
Surge entonces una duda, parecida a la del acertijo sobre qu fue primero: el huevo o la gallina?,
que en nuestro caso se transformara en: por donde empezamos, identificando los riesgos
importantes o los procesos significativos de la actividad empresarial?

Esta duda no tendra mayor importancia si la correlacin entre los riesgos y los procesos fuese
biunvoca, es decir cuando la correspondencia matemtica que asocia cada elemento de un conjunto
con uno, y solo uno, de los elementos de otro conjunto, y cada elemento de este ltimo con uno, y
solo uno, de los elementos de aquel. Es decir, a cada riesgo le correspondera un solo proceso, y a
cada proceso solo el mismo riesgo, lo cual es obvio que no refleja la situacin en la que nos
encontramos, ya que en un proceso puede haber varias amenazas, y las distintas amenazas pueden
materializarse en mltiples procesos.
Basndonos en la teora de conjuntos, podremos sealar que la relacin entre riesgos y procesos es
unvoca, es decir que a cada riesgo o proceso le corresponden varios procesos o riesgos,
respectivamente.

33

www.auditool.org

Autor: Jess Aisa Dez

De acuerdo con esta realidad, cuando levantamos los mapas de riesgos inherentes, es decir aquellos
que se pueden presentar sin haber adoptado ninguna medida de control, la posicin de estos riesgos
en el mapa nos permitir observar la importancia de los diferentes riesgos potenciales en la
actividad empresarial globalmente considerada.
Sin embargo, cuando pasemos de los riesgos inherentes a los residuales, es decir aquellos que
resultan despus de haber aplicado las medidas de control, ya no es posible referirse a ellos de
forma abstracta, pues debemos considerar los controles que en cada caso (en cada proceso
operativo), hayamos establecido. Los riesgos residuales seguirn siendo significativos segn sean
los controles que hayamos aplicado, es decir son una variable cuya importancia depender de las
medidas de correccin establecidas, mientras que si miramos a los procesos su importancia relativa
nos encontramos con que es una magnitud que permanece estable.

Por ello, y desde nuestro punto de vista, sugerimos empezar a trabajar con la jerarquizacin de los
procesos, y despus identificar los riesgos que en cada uno de ellos puedan amenazarlos.
De acuerdo con nuestra experiencia, una forma con altas posibilidades de conseguir la implantacin
en un perodo de tiempo razonable, y con unos costos asociados no excesivos, podra ajustarse a
los pasos que describimos tanto en este slide y en los posteriores, y que iremos analizando caso a
caso. Todos ellos relacionados con la siguiente hoja de ruta, de la que citamos sus ocho primeros
pasos:

1) Disear el plan de implantacin a desarrollar: Alcance, objetivos, recursos necesarios,


participantes, facultades, etc.
2) Compartirlo con el CEO, solicitando su preceptiva aprobacin.
3) Ratificacin de la aprobacin por parte del Consejo/ Directorio.

34

www.auditool.org

Autor: Jess Aisa Dez


4) Difusin de la existencia del proyecto a TODA la Organizacin.
5) Solicitar informacin sobre el Plan Estratgico del negocio: Objetivos, Presupuesto, Poltica
de inversin, de financiacin.
6) Diseo del modelo de riesgos y procesos a emplear.
7) Identificacin de los procesos del negocio ms influyentes en la consecucin de los
objetivos del Plan Estratgico.
8) Ordenacin de los procesos por su importancia para alcanzar los objetivos estratgicos.
Se han marcado en color rojo el paso 2 y 3, ya que entendemos son condicin sine qua non para
el xito de la implantacin del proceso.
Ampliando los pasos descritos en el Slide anterior, podemos sealar que para completar toda la
hoja de ruta hacen falta an 10 fases adicionales:
9) Seleccionar los procesos con los que empezaremos a trabajar.
10) Identificacin riesgos inherentes que conviven con los procesos elegidos.
11) Determinacin de los factores que pueden generar los riesgos identificados (nivel de
corrupcin, mantenimientos, estado de las infraestructuras.)
12) Concretar rangos de evaluacin de los atributos de los riesgos. Impacto y Probabilidad.
13) Evaluar la importancia de riesgos residuales existentes.
14) Establecer el apetito al riesgo. Aqu Auditora da un paso atrs.
15) Establecer las medidas correctoras para ajustar el riesgo residual.
16) Evaluar gap entre la tolerancia al riesgo y el riesgo residual.
17) Decidir, si proceden, nuevas acciones correctoras, y,
18) Supervisin de la calidad del Sistema de Gestin Implantado.
Las cinco primeras fases del proceso podemos identificarlas con aquellas que son necesarias para
poder iniciarlo. De no haberlas cubierto convenientemente estaramos ante una situacin que no
nos permitir progresar sobre bases slidas.
Estas 5 fases pueden resumirse en tres grandes objetivos:
1. Conocer cules son los objetivos de la Organizacin, sobre los cuales vamos a desarrollar
una frmula de conseguirlos, incidiendo en las amenazas que puedan interferir
especficamente en su consecucin;
2. Obtener el compromiso del Directorio y de la alta direccin en la oportunidad de
implementar este proceso y,
3. Difundirlo a toda la Organizacin con el detalle necesario sobre la asignacin de las
responsabilidades inherentes al mismo.
Estas son condiciones necesarias, pero no suficientes, pues an estamos en el inicio; pero si fallan
estos condicionantes lo tendremos muy complicado para progresar con xito, por tanto, antes de
continuar deberemos asegurarnos que estas 5 fases se han cubierto satisfactoriamente; con solo
una de ellas que no est bien atendida, el proceso de gestin de riesgos nace con carencias
importantes.
Una vez dispongamos de las exigencias descritas en el Slide anterior, deberemos centrarnos en la
definicin del modelo de procesos que vamos a emplear, as como en el de riesgos que queramos
aplicar. Aqu entendemos procede hacer algunas observaciones:
En primer lugar que no empleemos modelos excesivamente atomizados, pues si descendemos
mucho en los procesos empresariales a considerar, as como en los riesgos a evaluar, se nos puede
complicar en exceso la mecnica de identificacin de los tipos de riesgos que inciden sobre los
procesos a muy bajo nivel. Debiendo huir, al menos en las primeras etapas de implantacin del
proceso, de modelos con una gran desagregacin.

35

www.auditool.org

Autor: Jess Aisa Dez


En segundo lugar, y complementando lo anterior, si bien los procesos deben ser lo suficientemente
amplios como para no complicar la aplicacin de la metodologa, sin embargo, simultneamente han
de ser lo suficientemente desagregados como para que exista un claro responsable de su gestin.
Las responsabilidades compartidas dificultarn la toma de decisiones.
Como ejemplo de lo que acabamos de sealar, reproducimos en este slide un modelo de riesgos
real, mientras que en los dos siguientes el modelo de procesos empleado por la misma Organizacin.

En el modelo de riesgos observaremos que estos estn divididos en tres grandes grupos: los
operacionales, los de informacin para la toma de las decisiones y los del entorno; los cuales, a su
vez, se identifican con la especialidad de auditora interna que debe asumir su supervisin, aclarando
que denominamos INSPECCIN, a lo que actualmente se identifica con la Auditora Forense.
En lnea con lo expresado anteriormente de no inundarnos de procesos, la multinacional que nos
sirve de ejemplo, emple en su modelo a un dgito solo 10 procesos, desarrollndose posteriormente
a dos dgitos, obtenindose la relacin que recoge el siguiente Slide.

36

www.auditool.org

Autor: Jess Aisa Dez

El modelo, ahora a dos dgitos, se abre en 35 subprocesos, los cuales podran, cuando se precisara,
desarrollar incluso a tres dgitos, con la finalidad de identificar con claridad al responsable de
gestionarlo/administrarlo.

Pero recordemos que no es recomendable desagregar en exceso, hagmoslo solo hasta que
podamos identificar a un nico responsable en el desarrollo o funcionamiento de las distintas
actividades evaluadas.

37

www.auditool.org

Autor: Jess Aisa Dez


Habindonos decidido ya sobre los distintos tipos de riesgos que puedan incidir sobre los objetivos
de la Organizacin, as como identificados los distintos procesos aplicados en la misma, lo que habr
que conseguir es el encaje entre los riesgos y los procesos, es decir, identificar que riesgos son los
inherentes a los distintos procesos de la organizacin. En nuestro caso lo que habra que conocer
son aquellas amenazas que pudieran afectar el normal desenvolvimiento de los 35 subprocesos
considerados.

Pero surge aqu una primera pregunta, este ejercicio hay que hacerlo sobre la totalidad de los
procesos, o solo sobre una seleccin de ellos?. La respuesta es clara, solo sobre los ms
trascendentes en el logro de las metas de la Organizacin. Recurdese que en su momento
habamos comentado la conveniencia de no actuar ms que 10 o 15 procesos o subprocesos.
Pongamos un ejemplo para aclarar lo razonable de esta forma de proceder: Pensemos en el riesgo
de fraude interno, amenaza que obviamente se puede presentar en muchos de los subprocesos
establecidos, entre ellos, como resulta evidente, en los de gestin de comisiones y en el de cuentas
a pagar.
En ambos casos el riesgo existe, pero si las comisiones anualmente alcanzan normalmente los 0,7
millones de euros, y las cuentas a cobrar, pongamos por ejemplo, 65 millones de euros, es obvio
pensar que ser mucho ms crtico el proceso de cuentas a cobrar en la consecucin de los objetivos
estratgicos, que el proceso de comisiones, por lo que, si hemos de decantarnos por su criticidad,
nos deberamos inclinar por el de cuentas por cobrar, ya que el de comisiones no tendr una
incidencia similar en los objetivos de la Organizacin.
La secuencia del trabajo realizado se puede resumir de la siguiente manera:
Primero: identificar los procesos/subprocesos ms significativos.
Segundo: determinar las amenazas que puedan incidir en el normal desarrollo de estos procesos.

38

www.auditool.org

Autor: Jess Aisa Dez


Tercero: evaluar la importancia de estas amenazas estimando la probabilidad y el impacto de cada
uno de estos riesgos.
Cuarto: construccin del mapa de riesgos de la Organizacin. Veamos a continuacin como
debemos actuar en cada caso.
La priorizacin de los procesos puede hacerse de varias formas, pero la realizacin de talleres de
trabajo tipo workshops es una de las modalidades ms frecuentes; en ellos, todos los directivos,
en una sesin conjunta opinan sobre los procesos que consideran ms crticos para alcanzar o
alejarse de los objetivos empresariales.
El proceso exige un moderador y tener establecidas las normas para la evaluacin de la significacin
e importancia de las diversas formas en que pueda materializarse una amenaza: econmicas,
reputacionales, medioambientales, etc.
El mtodo es bsicamente subjetivo, pero consecuente con la opinin razonada de los
intervinientes y de manera totalmente independiente.
Aunque estas opiniones tambin se podran obtener con base a encuestas dirigidas a los gestores
intervinientes, en nuestra opinin, esa modalidad no es la ms adecuada, por varios motivos:
1) Al enviarlo como en una encuesta, no estaramos dando la imagen de importancia que su
opinin tiene para el buen fin de la informacin requerida,
2) Se estara impidiendo el que existan intercambios de criterios y opiniones,
3) No resultara tan operativo como una reunin ya que se demorara la recepcin de las
respuestas, y
4) El rigor en las respuestas podra verse afectado.
Una vez que ya tengamos identificados aquellos procesos que sean los ms determinantes para el
logro de los objetivos empresariales, as como los riesgos inherentes que los podran afectar,
deberemos reconocer los caractersticas de estos riesgos, es decir su impacto y probabilidad, que
es lo que nos permitir establecer su importancia.
En este punto debemos pararnos y pensar cuales son las causas que pueden generar dichos riesgos.
Si hablamos, por ejemplo, como otras veces de un accidente de trfico, los factores podran ser:
estado de la carretera, climatologa, averas mecnicas, condiciones fsicas del conductor
(cansancio, ebriedad,), etctera.
En el mismo sentido, los riesgos que pueden afectar al proceso de logstica de la empresa, podran
ser: Duracin del proceso productivo, Continuidad del negocio, Subcontratacin, Fraudes,
Calidad del servicio, Facturacin, Prdida de ingresos, etc.
Centrmonos, por ejemplo, en la duracin del proceso, los factores de riesgo pueden ser tambin
variados: Averas mecnicas, Inclemencias del tiempo, Huelgas, retenciones en la
carretera, Siendo una ponderacin de todos estos factores, como ms adelante veremos, lo que
nos permitir evaluar el riesgo total de duracin del proceso, mediante la agregacin de la
estimacin individualizada de su probabilidad e impacto.
Una vez acabado de analizar el riesgo de duracin del proceso, debemos realizar un ejercicio
similar con los dems: continuidad del negocio, subcontratacin,, as hasta acabar con el anlisis
de todos los factores de riesgo que hayamos identificado como posibles causas de dichos riesgos.

39

www.auditool.org

Autor: Jess Aisa Dez

Es evidente que el xito del proceso estar condicionado a la bondad de la identificacin de los
riesgos que incidan sobre los procesos de la Organizacin, pudiendo sealar que existen diversas
formas de hacerlo. Lo ms adecuado no es decantarnos solo por una de ellas, sino por una
combinacin de las ms significativas.
En el Slide hemos recogido una serie de las ms habituales, aparte del anlisis individualizado de
los procesos

40

Brainstorming
Entrevistas con los gestores
Workshops
Comparacin con otras Organizaciones
Encuestas y cuestionarios.

www.auditool.org

Autor: Jess Aisa Dez


Pudiendo observar que todas ellas no dependen de la opinin de una sola persona o responsable,
sino del colectivo empresarial en su conjunto.
Por lo que sabemos de estadstica, la probabilidad viene definida como: el cociente entre los casos
favorables entre los casos posibles. Pero esta forma de medir la probabilidad de ocurrencia de los
riesgos, o de sus factores, no es sencilla de aplicar, puesto que, para ello, haran falta datos que
muchas veces no estn a nuestra disposicin; por este motivo, muchos modelos de evaluacin de
riesgos aplican tcnicas cualitativas, como la que se reproduce en la pantalla, en la que la estimacin
de la probabilidad se efecta intuitivamente con base al conocimiento del hecho que queremos
evaluar.
En este sentido, por ejemplo, habitualmente no sabremos que probabilidad estadstica existe sobre
si va a llover en el da de hoy, pero si nos preguntan, s que podremos sealar que la probabilidad
es alta, baja, remota,
Si bien, aunque usemos tcnicas cualitativas, lo que resulta imprescindible es que fijemos las
caractersticas de cada uno de los niveles, tal y como hemos recogido en el ejemplo:
Estimacin de la frecuencia de aparicin del evento. Por ejemplo:

Probabilidad REMOTA. Menor que una vez cada 2 aos.

Probabilidad MUY BAJA. Ocurrencia menor a 2 aos, pero mayor a uno.

Probabilidad BAJA. Ocurrencia situada entre un intervalo menor de 1 ao y mayor que


semestral.

Probabilidad MEDIA. Menos que semestral, pero ms que trimestral.

Probabilidad ALTA. Menos que trimestral, pero mayor que mensual.

Probabilidad MUY ALTA. Menos que mensual.

Tambin puede resultar muy til medir la frecuencia de la aparicin de los FACTORES, ya que estos
son, individualmente considerados, los desencadenantes de los riesgos y los que deben determinar
los controles a aplicar.
Con anterioridad ya hemos reproducido la secuencia de los hechos ocurridos en el accidente de Air
France. Permtasenos que volvamos a emplearla, puesto que entendemos que es un ejemplo
paradigmtico que nos sirve para ilustrar lo que ocurre cuando un riesgo se materializa, y es que
este nunca es consecuencia de un solo factor, sino por acumulacin de factores. En este caso los
que aparecen en la parte derecha del Slide.

41

www.auditool.org

Autor: Jess Aisa Dez

Posiblemente de haberse roto la cadena secuencial que se seala, el accidente muy probablemente
se habra evitado.
En cuanto al impacto, al igual que anteriormente hemos descendido hasta conocer todos los factores
que pueden ocasionar los riesgos, evaluando la probabilidad de ocurrencia de cada uno de esos
eventos, en el caso de la evaluacin de los impactos, hemos de tener claro tambin cules sern las
repercusiones negativas de todo tipo que puedan originarse como consecuencia de la
materializacin del riesgo.
Sirva de ejemplo el crack de BANKIA, una de las cajas de ahorro ms importantes del sistema
financiero espaol, cuyo agujero requiri un respaldo del Estado que asciende ya a ms de 33.000
millones de euros desde el inicio de la crisis financiera en el ao 2008. Cantidad que es solo una
parte del impacto del riesgo de su mala gestin, pues a esos millones habra que aadir la perdida
de reputacin, la cada en la Bolsa de la accin, cuyo valor nominal ha pasado de 2 euros a la
estimacin realizada por el Fondo de Reestructuracin Ordenada Bancaria (FROB) que ha valorado
cada accin de Bankia en 0,01 euros de cara a establecer el precio de canje de sus preferentes y
bonos convertibles en nuevas acciones, dentro del plan de saneamiento y recapitalizacin aprobado
por las autoridades de Espaa y la Unin Europea.
Por todo ello, cuando estemos ante la evaluacin de los impactos deberemos:

Identificar y cuantificar los diferentes daos y/o consecuencias que pudieran producirse de
materializarse los distintos riesgos, en los diferentes aspectos afectados:
a) Econmicos.
b) Reputacionales.

42

www.auditool.org

Autor: Jess Aisa Dez


c) Laborales.
d) Medioambientales.
e) Informativos, penales, etc.

Cuantificar uno a uno estos perjuicios segn el consenso establecido.

Agregar y ponderar la cuantificacin individualizada.

La secuencia entendemos que ha podido quedar clara: las amenazas son consecuencia de los
factores de riesgo, en tanto que los impactos son el resultado de los efectos negativos producidos al
materializarse los riesgos. Actuar sobre ambos dos, probabilidad de ocurrencia e impacto, es la forma
adecuada de administrar dichas amenazas, y ello se consigue a travs de los controles, que son las
medidas adoptadas por las organizaciones para incidir sobre estos dos atributos de los riesgos.

Los factores de riesgo son el posible origen de los mismos, los cuales una vez materializados,
producen determinadas consecuencias, que son los efectos derivados de los riesgos, que es el
aspecto que debemos cuantificar.
Tanto los factores de riesgos, como las consecuencias suelen ser mltiples y variadas.
Veamos cmo cuantificar los impactos de los riesgos. Recordemos que en un principio
recomendamos trabajar con tcnicas cualitativas, empleando el modelo de medicin por ratios. La
misma escala, 0 a 10, segn el nivel de importancia del dao.
Una vez identificadas las distintas repercusiones de todo tipo que pudieran producirse:
Econmicas, reputacionales, laborales, medioambientales, y fijada la escala de ponderacin de la
importancia de los efectos negativos, en el ejemplo que vamos a desarrollar es de 0 a 10, debemos
establecer el ranking del nivel en el que pueden situarse cada uno de distintos efectos negativos
previstos (leves, moderados, importantes, crticos o extremos, por ejemplo), asignndole a cada
nivel, segn el convenio establecido un peso entre el 1 (el mnimo) y el 10 (el mximo) de acuerdo
con la severidad que estimamos pueda ocasionarse.

43

www.auditool.org

Autor: Jess Aisa Dez


Todo ello de forma similar a como describimos a continuacin:
Efectos Econmicos
Leves. Hasta 100.000 Euros. Valor de la ponderacin 1
Bajos. De 100.000 a 1.000.000 Euros. Valor de la ponderacin 3
Intermedios. De 1 a 5 millones de Euros Valor de la ponderacin 6
Elevados. De 5 a 10 millones Euros Valor de la ponderacin 8
Extremos. Superiores a 10 millones Valor de la ponderacin 10
Efectos Reputacionales
Leves. El evento afecta poco a la imagen o reputacin.. Valor 0
Moderados. El evento la afecta apreciablemente Valor 1
Importantes. El dao puede considerarse importante Valor 3
Crticos. El dao es grave pero recuperable Valor 6
Extremos. Daos graves y de difcil recuperacin.. Valor 10
Si adems los riesgos pudieran tener repercusiones de ndole de accidentes laborales y
medioambientales, la escala a emplear podra ser:
Efectos accidentes laborales.
Leves. Lesiones poco importantes sin hospitalizacin.. Valor 1
Moderados. Lesiones menores con hospitalizacin . Valor 5
Elevados. Lesiones incapacitantes con hospitalizacin Valor 8
Crticos. Lesiones con muertes. Valor 10
Efectos Medioambientales.
Leves. Reversibles inmediato Valor 0
Moderados. Reversible en el corto plazo. Valor 1
Elevados. Reversible en el medio plazo.. Valor 3
Extremos. Mitigable-compensable Valor 5
Crticos. Irreversible de pequea magnitud. Valor 8
Catastrficos. Irreversible de eleva magnitud Valor 10
Supongamos que el ltimo efecto previsto fuese el que afectase a la informacin, pudiendo calificar
sus consecuencias en:
Leve. No afecta datos confidenciales y puede ser recuperada. Valor 1
Moderado. dem, pero no puede ser recuperada Valor 2
Crtico. Afecta datos confidenciales pero es recuperable.. Valor 3
Muy crtico. dem, con posibilidad de recuperacin compleja.. Valor 7

44

www.auditool.org

Autor: Jess Aisa Dez


La severidad de cada Riesgo ser la suma de los valores asignados a cada uno de los Efectos de
todo tipo estimados (Econmicos + Reputacionales + Laborales + Medioambientales + los
Informativos, etctera, considerados).
Dado que estamos sumando elementos diferentes, con efectos tambin distintos, el valor de la
escala debe definirse convenientemente para conseguir una adecuada ponderacin de las diferentes
perturbaciones. Resulta evidente que el nivel mximo de un efecto que incida en la informacin (con
posibilidades de recuperacin compleja), no debe ser equivalente a los efectos laborales con
vctimas.
Si en el anlisis efectuado, los efectos esperados de la materializacin del riesgo evaluado
arrojasen los siguientes resultados:
Efectos econmicos. Nivel elevado.... Valor 8
Efectos Reputacionales. Nivel Importante. Valor 3
Efectos Laborales. Nivel Leve. Valor 1
Efectos Medioambientales. Irreversible de elevada magnitud... Valor 10
Efectos Informativos. Nivel Crtico.. Valor 3
Entre todos ellos sumaran 25 puntos, que sera la evaluacin de la severidad de este riesgo, y la
que lo situar en el ranking de los riesgos segn su impacto.
Un ejercicio similar a este debera repetirse con todos los riesgos inherentes identificados,
ordenndoles convenientemente segn el impacto estimado para cada uno de ellos.
Una vez que hayamos acabado de evaluar cada uno de los riesgos, medidos segn su impacto y su
probabilidad, ya estaramos en condiciones de ordenarlos en funcin de su importancia, tal y como
lo recoge la estadstica del slide, que al ser real, demuestra cules son los riesgos que los espaoles
en su conjunto han identificado que ms afectan a su da a da, pudiendo observar que la principal
amenaza es el paro, seguido de la vivienda, despus vendra la inmigracin, posiblemente por su
incidencia con el paro, y ya en cuarto lugar, en ese momento el terrorismo de ETA.

45

www.auditool.org

Autor: Jess Aisa Dez


Cul es, a su juicio, el principal problema que existe actualmente en
Espaa? CIS. Septiembre 2012

Si el Gobierno espaol gestionara sus polticas con base a riesgos, sera lgico pensar que este
ranking se tuviera en consideracin, pero hay algo que no cuadra, cmo es que siendo la vivienda
el 2 problema de los espaoles, esa situacin coexista con un stock de viviendas sin ocupar en
estos momentos de ms de 3.000.000 de unidades? Mejor no buscar la respuesta, limitndonos a
concluir que el Gobierno no acta de acuerdo a un sistema de gestin de riesgos.
Hasta ahora nos hemos estado moviendo en el ambiente de los riesgos inherentes, pero ya hemos
dicho que esa es una posicin poco realista, pues es la que nos encontraramos sin haber tomado
medidas, debiendo por tanto avanzar y situarnos en el entorno de los riesgos residuales, para lo cual
hemos de considerar el efecto que, tanto en la probabilidad de ocurrencia como en la severidad
tendrn los controles existentes, con lo que ya podremos elaborar nuestro mapa de riesgos
residuales, debiendo a partir de ah comparar si los riesgos resultantes de nuestra evaluacin se
encuentran dentro de la tolerancia al riesgo que para cada uno de ellos se hubiese establecido, ya
que si existiese alguno que an estuviera fuera del entorno de aceptacin, esa situacin amerita un
posterior anlisis para determinar de qu nueva forma podemos reconducir dicho riesgo para situarlo
dentro de la zona de tolerancia.

46

www.auditool.org

Autor: Jess Aisa Dez


Recordemos:
El apetito al riesgo es el mximo riesgo que la Organizacin est en condiciones de aceptar para
no interferir en la consecucin de los objetivos.
Del riesgo inherente pasamos al riesgo residual, y de ah a compararlo con el apetito al riesgo.
Adoptando una serie de medidas, todas ellas encaminadas a igualarlos, dentro de las siguientes
posibilidades: Aceptarlos, Compartirlos, Reducirlos o Rechazarlos.
La eleccin de alguna de estas cuatro alternativas depender del costo - beneficio esperado de ellas.
De aquellos riesgos que se encuentren fuera de la zona de tolerancia, es decir aquella en la que los
riesgos siguen siendo compatibles con los objetivos de la Organizacin, es evidente que debemos
reconducir su posicin a otra que se encuentre dentro de la misma, lo que exigir adoptar diversas
medidas correctoras, o lo que es lo mismo implantar nuevas medidas de control, para ello debemos
centrarnos en los factores de dicho riesgo, identificando aquellas medidas con las que reducir su
impacto y/o probabilidad de ocurrencia.
Por ejemplo cmo actuar con el riesgo de continuidad del negocio del caso expuesto con
anterioridad.
Factores que lo pueden genera versus Medidas correctoras posibles:

Huelgas versus coexistencia de varias subcontrataciones alternativas.


Dificultad de aprovisionamiento de materias primas versus aumentos de stocks.
Fallos de suministro de energa elctrica versus instalacin de grupos electrgenos (SAI)
Restriccin del crdito versus aumento de capital.

Todas estas medidas tienen lgicamente un costo, que debe ser evaluado y comparado con los
riesgos que eliminan, que es lo que debemos evaluar.
Dependiendo de cul sea la efectividad de los controles que incorporemos en los procesos que
hayamos seleccionados como importantes, el resultado final ser diferente.
Situmonos en los dos extremos de la tabla de riesgos inherentes que aparecen en el slide, el ms
bajo arroja una puntuacin de 1, la ms reducida, mientras que el superior tiene una importancia de
25 (columna 5 por la izquierda).

47

www.auditool.org

Autor: Jess Aisa Dez


Supongamos ahora que los posibles controles pueden tener un grado de eficacia entre 5 y 1, es decir
que en cada caso los riesgos se veran reducidos a un 20%, 25%, 33%, 50%, hasta el 100%, del
valor inicial.
Si la situacin elegida fuese la de la mxima eficacia en ambos riesgos, el ms alto habra reducido
su importancia, en el ranking que se est manejando, a solo 5 puntos, reduciendo sta 20 puntos,
mientras que el ms bajo solo habra mejorado 0,8 puntos, pues pasa de 1 a 0,2.
Este resultado viene a incidir en la necesidad de tener muy en cuenta el costo- beneficio derivado
de la implantacin de los controles, ya que es lo que puede avalar y justificar determinadas
decisiones, pues como vemos en el ejemplo: un control ptimo solo consigue una mejora muy
reducida en un riesgo bajo, lo que nos da idea del elevado costo asociado a incrementos marginales
del grado de satisfaccin cuando nos encontramos en situaciones ya prximas al ptimo.
Como acabamos de ver, pasar de una probabilidad a otra del tipo Muy Baja, as como de un impacto
de X horas de retraso a otra en la que solo haya Y horas, habr mejorado la exposicin al riesgo al
que est sometido este proceso, pero esa mejora obviamente debe ser comparada con los costos
que supone actuar segn el plan decidido, ponderando las mejoras y los costos para conseguirlos,
pues no deberamos descartar que existan situaciones en las que el coste de las mejoras superen
el valor conseguido en las mismas.

Si esto ltimo nos sucediese cuando estemos gestionando riesgos podramos decir que el Remedio
cuesta ms que la enfermedad, por lo que debiramos pensarlo muy mucho antes de actuar de esa
manera, pues no debemos olvidar, como ya en otra ocasin hemos comentado, lo mejor siempre
es enemigo de lo bueno.

48

www.auditool.org

Autor: Jess Aisa Dez


Si las tcnicas empleadas para estimar la probabilidad han sido cualitativas, esto podra dificultar la
concrecin del clculo costo-beneficio. Una solucin sencilla para pasar de una evaluacin de
riesgos cualitativa a otra cuantitativa, sin que le exijamos al proceso un gran nivel de tecnicismo, en
principio no debera ser muy complicada, pues bastara con asociar los niveles cualitativos con otros
numricos, tal y como lo representamos en el slide.

Las tcnicas economtricas miden la probabilidad y el impacto basndose en premisas del


comportamiento de los eventos en forma de distribucin estadstica, con base a modelos en riesgos
(VaR), pero requieren disponer de informacin estadstica abundante. Eso es un estadio posterior.
Resulta evidente que los objetivos a alcanzar son que los riegos residuales se siten en el entorno
de la tolerancia al riesgo, siendo este resultado el que pretende conseguir una adecuada gestin
de riesgos desde el primer intento, pero eso se suele conseguir en algunas veces, y en otras no. En
cuyo caso habra que volver a considerar que actuaciones son las que deberamos realizar para
situar el riesgo residual en el lugar deseado.

El gap entre lo esperado y lo conseguido debe medirse para actuar!

49

www.auditool.org

Autor: Jess Aisa Dez


Tomar nuevas medidas para resituar el riego residual dentro de la zona deseada e identificada como
tolerancia al riesgo, depender, como ya hemos comentado de si los costes que debemos asumir
para ello son menores que los beneficios que se esperan obtener de esa nueva situacin, si no fuese
as, est claro que no deberamos seguir incidiendo sobre estos riesgos, pero para ello debemos
contemplar las distintas medidas que podamos aplicar, pues normalmente estaremos ante un
abanico de alternativas sobre las que debemos decantarnos.
Volvamos a retomar el ejemplo del Riesgo de Continuidad del Negocio ya comentado, y observemos
que las formas de actuar con los factores de riesgo no son nicas. Por cul debemos decantarnos?
Veamos, por ejemplo, el factor de riesgo fallos de energa. Posibles formas de reducirlo seran:

Instalacin de un grupo electrgeno. Incide sobre el impacto y probabilidad


Contratacin con una segunda compaa elctrica. Sobre los 2 atributos
Suscribir una pliza de seguros por los posibles daos. Solo sobre el impacto
Trasladar la fbrica a otro mbito. Incide sobre la probabilidad y el impacto

Cul de ellas apliquemos, depender de su costo y de su eficacia.


De acuerdo con la hoja de ruta que nos habamos marcado, ya tenemos el proceso diseado, e
incluso implementado, pero quin nos garantiza que lo hemos realizado adecuadamente, y que los
beneficios de su aplicacin nos permitirn garantizar razonablemente el logro de los objetivos
empresariales.
La respuesta es sencilla, Auditora Interna, a cuya actuacin en el mbito del desarrollo de los
Sistemas de Gestin de Riesgos dedicaremos el siguiente mdulo, ya que siendo este proceso uno
de los ms relevantes en las Organizaciones, debe ser necesariamente susceptible de supervisin,
midiendo su eficacia y opinando sobre el nivel alcanzado, proponiendo recomendaciones, cuando
proceda.
Los diagramas tipo pajarita proporcionan una representacin grfica de gran alcance del proceso
de evaluacin de riesgos que resultan fcilmente comprensibles para el "no especializado". Usando
este tipo de representaciones conseguiremos que los diagramas se puedan crear rpidamente y el
anlisis del proceso de la gestin de cada riesgo se realice de forma sencilla e integra, ya que en
ellos aparecen todos los elementos significativos del mismo. Tal y como aparece en el presente slide.

50

www.auditool.org

Autor: Jess Aisa Dez


Para aquellos que no dominamos el ingls, y evitar tener que ir al diccionario, los trminos recogidos
en el slide quieren decir lo siguiente.
2. Factores de riesgo.
3. Impactos.
4. Controles de la probabilidad.
5. Controles de las consecuencias.
Existing likelihood effecting controls = Efectuar los controles sobre la probabilidad existentes.
Controls Owner = Propietario del control.
Existing likelihood consequence effecting controls = Efectuar los controles de impacto
existentes.

Tasks (future controls) =Tareas (control futuro) Tasks owner = Responsable de las tareas.
Due date = Fecha comprometida.
6. Efectividad de los controles de los riesgos.
7. Efecto sobre las consecuencias.
8. Efecto sobre la probabilidad.
9. Prioridad del riesgo.
10. Exposicin potencial.
11. Propietario del riesgo.
A riesgo de resultar reiterativos, no nos cansaremos de repetir que implantar un proceso de Gestin
de Riesgos Empresariales no es algo fcil de conseguir, que requiere un esfuerzo de coordinacin
importante y, adems, tiempo y pericia. Algo parecido a lo que sucede con la subida a una cima de
8.000 metros, que debe planificarse hasta sus ltimas consecuencias, debe desarrollarse por fases,
precisa de tiempo para alcanzar las metas y aprovechar el momento adecuado para intentarlo.
Quizs solo hay un punto de discrepancia, al comparar ambos proyectos, y es que al llegar a los
8.000 metros, el tiempo de permanencia en esa meta es el estrictamente necesario para hacerse las
fotos y bajar a la estacin base. Sin embargo, y puesto que en el ERM no hay prisas, disfrutemos de
los objetivos conseguidos y meditemos que hacemos a continuacin.

51

www.auditool.org

Autor: Jess Aisa Dez


Un aspecto que deberemos tener en cuenta a la hora de verificar los riesgos y los controles que
puedan coexistir en los procesos que estemos analizando, es que dichos procesos no estn
debidamente formalizados, lo cual puede resultar bastante frecuente y ello nos obligar, en el
desarrollo de nuestras responsabilidades, a hacer el levantamiento de los mismos.
Lo cual no es una buena noticia, pero tampoco una tragedia, puesto que, lo nico que representa,
es que nos toca a nosotros hacer el levantamiento de los mismos, e identificando los riesgos
que estimemos existen, as como los controles que evidenciemos se emplean realmente. Lo normal
en un proceso de auditora.
El levantamiento de los procesos corresponde con el dibujo del diagrama de flujo que representa las
distintas operaciones que se efectan para llevar adelante por parte de la Organizacin la operativa
que estemos analizando, teniendo presente que:
Un diagrama de flujo es una representacin grfica que desglosa un proceso en cualquier tipo de
actividad a desarrollarse tanto en empresas industriales o de servicios y en sus departamentos,
secciones u reas de su estructura organizativa.
Y que su objetivo es: Representar grficamente las distintas etapas de un proceso y sus
interacciones, para facilitar la comprensin de su funcionamiento. Son tiles para analizar el proceso
actual, proponer mejoras, conocer los clientes y proveedores de cada fase, identificar los riesgos,
representar los controles, etc.
La simbologa a emplear estar estandarizada, de forma que todos aquellos que tengan acceso al
proceso interpreten lo mismo respecto de los smbolos que en l aparecen.
Dichos smbolos son los que se representan en el slide.

Los pasos a seguir para hacer un levantamiento de un proceso previamente seleccionado son:

52

Seleccionar el proceso y concretar su alcance (su inicio y final )


Representar las etapas intermedias y su relacin ( proceso actual)
Documentar cada una de las etapas: Responsable, Proveedor y Cliente
Analizar el proceso actual desde el punto de vista deseado ( En nuestro caso, riesgos y
controles)

www.auditool.org

Autor: Jess Aisa Dez

Concluir sobre la suficiencia y oportunidad de los controles aplicados


Comprobar la aplicacin real de los controles enunciados por los responsables
Proponer alternativas y definir las nuevas etapas y sus relaciones
Representar el diagrama del nuevo proceso.

Para una mejor capacitacin en la forma en la que deberemos actuar cuando estemos levantando e
interpretando las circunstancias que concurren en un proceso, respecto de los riesgos y los controles
que en l pueden presentarse, a la simbologa que antes hemos descrito para poder identificar cada
una de las actividades que se desarrollan en ellos, debemos aadir otros smbolos complementarios
que nos permitan identificar la existencia de riesgos y ,en su caso, los correspondientes controles.
Esta simbologa sera:
Tringulos amarillos: Identificativo de los riesgos. El nmero dentro del tringulo, ser
el nmero del riesgo asignado por la Organizacin a esa amenaza.
Crculos verdes: Identificacin de los controles que operan adecuadamente. El nmero
dentro del crculo, identifica al control especfico analizado
Crculos rojos con numeracin: Identificacin de controles que se consideran
insuficientes, o que no se estn aplicando correctamente. El nmero dentro del crculo,
identifica al control especfico analizado
Crculos rojos sin numeracin: Refleja una situacin a corregir, ya que debe
interpretarse como que no existe control implementado.
A ttulo de ejemplo, en el Slide hemos reproducido un subproceso de cuentas a pagar, en la que se
han situado los riesgos, los controles existentes y los no existentes.

53

www.auditool.org

Autor: Jess Aisa Dez


Informacin que, una vez completada, permitir a los Auditores Internos emitir sus conclusiones
sobre el grado de suficiencia de los controles existentes, y sus recomendaciones, con las que
mejorar la administracin de las riesgos que podran impedir la consecucin de los objetivos del
proceso en cuestin.
Como bien sabemos, la organizacin (el orden) es la madre del xito.
Siguiendo este consejo, y como parte integrante de los papeles de trabajo de la auditora en la que
se incluyan las conclusiones y recomendaciones de la supervisin del proceso cuyo ejemplo hemos
visto en el slide anterior, se hace recomendable que los distintos aspectos, tanto favorables, como
desfavorables, deben ser recogidos en su correspondiente soporte documental, como el que se
observa con lo indicado en esta pantalla y completada en las cuatro posteriores.

54

www.auditool.org

Autor: Jess Aisa Dez

55

www.auditool.org

Autor: Jess Aisa Dez

Ya hemos escalado nuestro ejemplo particular de 8.000 metros o Himalaya, que era implementar un
proceso/Sistema de Gestin de Riesgos Empresariales ajustado a las caractersticas de nuestra
Organizacin, lo que nos permitir ir adoptando las decisiones empresariales que en cada caso se
requieran, gestionando adecuadamente los riesgos que se nos vayan presentando y que pudieran
impedir la consecucin de nuestro objetivos.
Si nos centramos en el Proceso de Auditora Interna, el riesgo que debemos evitar es el que nuestra
actividad no rena los requisitos precisos para alcanzar el nivel de calidad que nos ser requerida,
como podra suceder si la actividad a desarrollar no se circunscribiera sobre los aspectos relevantes
y significativos de la Organizacin, restando eficacia a los resultados obtenidos.
Para evitar este riesgo, lo que tenemos es que controlar adecuadamente el proceso de seleccin del
Plan de Auditora, haciendo que este sea el resultado de un proceso sistemtico y objetivo.

Mdulo 3

Para una adecuada exposicin de los aspectos a desarrollar en este mdulo, desglosaremos su
contenido en los siguientes apartados:
El Instituto de Auditores Internos y el Plan de Auditora. Integrantes.
Cmo disearlo. Aplicacin prctica.
Distintas forma de actuar segn exista, o no, un proceso ERM en la empresa.
Distinta ponderacin de sus componentes.
Trmite a seguir para su aprobacin.
Auditoras con base a riesgos.
Ejercicios prcticos y autoevaluacin.

56

www.auditool.org

Autor: Jess Aisa Dez


Los planes de auditora, bien sean estos anuales o plurianuales, son la manifestacin de los temas
que pretenden ser atendidos por la funcin auditora en el perodo considerado. Es el documento que
debe ser sometido a aprobacin de la alta direccin y del Consejo de Administracin antes de su
desarrollo, y debe contener, aparte de los trabajos y actividades que se prevn realizar, la estimacin
de los recursos precisos para su desarrollo, lo que permitir concluir sobre la suficiencia de los
recursos disponibles para acometerlo.
Resulta evidente que si el Plan de Auditora recopila las actuaciones que se pretenden acometer en
el perodo considerado, su contenido debe responder a criterios de prioridad, si es queremos incidir
en lo trascedente.
Esta prioridad puede estar justificada por el origen de las solicitudes de inclusin, por ejemplo:
primero las que procedan del Consejo de Administracin, pero tambin por la oportunidad de la
supervisin de los procesos previstos a auditar, dadas las circunstancias que concurran en ellos,
fundamentalmente por la criticidad de los riesgos que les puedan afectar.
En este sentido, el Instituto de Auditores Internos en su Marco Internacional para la Prctica
Profesional para la Profesin de Auditora Interna, ha incidido en la forma en que se debe establecer
la planificacin de la funcin, tanto en sus Normas como en sus Consejos para la Prctica, como
vamos a recordar.
La Norma. 2010 nos seala que:
El Director de Auditora Interna debe establecer planes basados en los riesgos a fin de determinar
las prioridades de la actividad de auditora interna. Dichos planes han de ser consistentes con la
metas de la organizacin.
Mientras que el Consejo para la Prctica 2010-2, nos indica que:
La planificacin necesita usar el proceso de gestin de riesgos, si este ha sido desarrollado en la
Organizacin. Al planificar un trabajo, el auditor interno ha de tener en consideracin los riesgos
significativos de la actividad y los medios mediante los cuales la direccin puede aminorar el riesgo
hasta un nivel aceptable. El auditor interno utilizar tcnicas de evaluacin de riesgos en el desarrollo
del plan de la actividad de auditora interna, as como para determinar prioridades a la hora de asignar
recursos.
La evaluacin de riesgos se utiliza para examinar las unidades auditables y seleccionar las reas
sujetas a anlisis que deben incluirse en el plan de auditora interna y que son las que tienen mayor
exposicin al riesgo
Ante la situacin descrita anteriormente, el auditor interno debe ser capaz de seleccionar
oportunamente los diferentes tipos de actividades que sern incluidas en el plan de auditora interna.
Entre otras:
Actividades de anlisis o aseguramiento del control: En esta actividad se analiza la adecuacin
y eficacia de los sistemas de control existente, ofreciendo una seguridad razonable de que los
controles funcionan y los riesgos son gestionados de manera efectiva.
Actividades de investigacin: Permiten determinar si la gestin organizacional tiene un nivel
inaceptable de incertidumbre sobre los controles relacionados con la actividad del negocio o rea
de riesgo identificada, en cuyo caso el auditor interno llevar a cabo procedimientos para obtener un
mejor entendimiento de los riesgos residuales.

57

www.auditool.org

Autor: Jess Aisa Dez


Actividades de consulta: Permiten aconsejar a los gestores de la Organizacin en el desarrollo de
los sistemas de control adecuados para mitigar riesgos inaceptables.
Tambin deben identificarse controles innecesarios, redundantes, excesivos o complejos que
reduzcan el riesgo de manera ineficiente.
Sabemos que Auditora Interna no tiene el monopolio de la supervisin del control interno en las
Organizaciones, pues existen diferentes tipos de proveedores de aseguramiento que podramos
agrupar en funcin de a quien dirigen o informan de sus resultados, tales como:
La Auditora Interna. Que trabaja para informar de sus conclusiones a la alta direccin y al Consejo
de Administracin.
Los otros proveedores de aseguramiento (LOPD - Ley Orgnica de Proteccin de Datos, Calidad,
Seguridad e Higiene en el trabajo, medioambiente, etc.). Destinan los resultados de sus actuaciones
a las gerencias responsables de la actividad supervisada. Complementan la supervisin que ellos
como responsables operativos deben realizar.
Los Auditores Externos. Buscan poder opinar sobre la bondad de los Estados Financieros, en el
sentido de que estos representen una imagen fiel de la realidad patrimonial. Su destino son los
accionistas de la Compaa.
Esta situacin, sin embargo, no debe entenderse como que son actuaciones sin relacin entre ellas,
sino todo lo contrario; una actuacin eficiente de los recursos exige que haya una adecuada
coordinacin de actuaciones, sin que se dupliquen esfuerzos para atender los mismos temas, ni que
existan huecos en los puntos de inters que no sean cubiertos por nadie. Es decir sin solapamientos
y sin vacos.
En esta lnea el Consejo para la Prctica 2050-3, nos indica que: El auditor interno puede hacer uso
del trabajo de otros proveedores internos o externos de servicios de aseguramiento sobre el
gobierno, gestin de riesgos y control.

Sumemos y aprovechemos esfuerzos

58

www.auditool.org

Autor: Jess Aisa Dez


Lo que acabamos de comentar en el Slide anterior, en el sentido de que debemos coordinarnos y
aprovechar el esfuerzo y los resultados de los otros proveedores de aseguramiento que tambin
estn trabajando en la verificacin de determinados aspectos de la gestin empresarial, debe tener
un condicionante, y es que el trabajo realizado, as como los diagnsticos aportados sean fiables; lo
cual en algunas ocasiones exigir que Auditora Interna profundice en la forma en que trabajan estos
otros proveedores, no el sentido de auditar sus formas de trabajar, pero s en la de poder opinar
sobre la solvencia profesional de los mismos, asegurndonos de que sus conclusiones son
adecuadas y merecedoras de confianza.
No siempre todas las opiniones son certeras, y deben ser cuestionadas antes de emplearlas.
Como ejemplo de ello podemos citar los diagnsticos iniciales sobre la evolucin de la crisis espaola
que an padecemos, los cuales nos aportan un buen nmero de dudosas opiniones, incluso las
provenientes del propio Presidente del Gobierno.

Como resumen de la necesidad de que hemos de trabajar empleando un planteamiento holstico con
el que hacer ms eficiente nuestra actividad, me gustara reproducir las palabras de Rod Winters,
ex-Presidente del Instituto de Auditores Internos Global, el cual lleg a la conclusin de que Auditora
Interna debe hacer menos, lo ms importante, con menos recursos. Centrarnos en lo que sea
significativo y apoyndonos en la tecnologa como herramienta de trabajo, pues si bien sta comporta
riesgos, es incuestionable que tambin es una oportunidad con la que mejorar la eficiencia, la eficacia
y la calidad de nuestros trabajos.
Este planteamiento creo que lo podramos enunciar como la regla de los signos, aquella que nos
deca que menos por menos arroja un ms; es decir, si queremos ser eficientes, no solo eficaces,
debemos ser muy selectivos a la hora de decidir dnde aplicamos los recursos escasos de los que
vamos a disponer. No demos palos de ciego, vayamos a revisar lo que entendamos est con
dificultades.
Si somos capaces de actuar de esta manera, nuestros esfuerzos, los imprescindibles, deben
centrarse en lo verdaderamente significativo para la consecucin de los objetivos que preveamos no
estn en un nivel de aseguramiento ptimo.

59

www.auditool.org

Autor: Jess Aisa Dez

Hacer ms cosas, no es sinnimo de hacerlo mejor.


La volatilidad y el dinamismo de los entornos profesionales requieren que las organizaciones
avancen en sus prcticas y modelos de evaluacin y gestin de riesgos, pero teniendo en
consideracin algunos aspectos importantes:
Hemos de reforzar el plan de auditora interna poniendo tambin el foco en los riesgos
emergentes (Seguridad laboral, medioambiente,)
Debemos flexibilizar nuestra actividad, reevaluando los riesgos y el plan de auditora con la
mayor frecuencia posible.
Hay que proporcionar aseguramiento sobre la funcin del ERM de la compaa.
Atender las recomendaciones que hemos ido sealando, requiere que esta forma de proceder debe
estar reflejada en el Plan de Auditora, el cual se disear teniendo en cuenta varios inputs, obtenidos
a travs de fuentes diversas, como son: las propias percepciones de los auditores, pero tambin la
de aquellos otros agentes internos y externos con intereses en la Organizacin.
Todo ello sin olvidarnos que los medios de los que dispondremos para desarrollarlo, tanto desde el
punto de vista cuantitativo, como cualitativo, no sern ilimitados, sino escasos, y sin olvidar tampoco
que es el Plan el que debe determinar los medios y no al contrario.
En forma resumida un esquema de actuacin para concretar la propuesta del Plan Anual de
Auditora, es el que se recoge en el esquema reproducido en el presente Slide.

60

www.auditool.org

Autor: Jess Aisa Dez

Si observamos el desglose efectuado sobre los diferentes inputs que deben considerarse para
determinar la composicin del Plan de Auditora, veremos que el que ms se repite es el
correspondiente a la evaluacin de riesgos, bien la realizada por la propia Unidad de Auditora
Interna, como la que se reflejara, en su caso, en el Proyecto Corporativo de Gestin de Riesgos.
Con esta forma de actuar en la definicin de los contenidos y el alcance de los Planes de Auditora,
es evidente que no se incluirn en ellos la revisin de todos los procesos que intervengan en
desarrollo de la actividad empresarial, sino solo aquellos que, segn la criticidad o relevancia
derivada de la matriz riesgos/procesos se consideren, de acuerdo con su importancia en la
consecucin de los objetivos empresariales, estn en una situacin que aconseje su supervisin; as
como aquellas otras actividades que sean requeridas por la alta direccin y el Comit de Auditora.
As como tambin los trabajos de consultora que pudieran habrsenos solicitado por parte de las
distintas gerencias; los planes de formacin que entendamos oportuno desarrollar por los auditores
en el perodo considerado; el seguimiento de los planes de mejora y/o accin derivados de anteriores
trabajos de auditora; los programas de aseguramiento y mejora de la calidad a efectuar; etctera,
etctera, as hasta enumerar detalladamente TODAS las actuaciones que entendamos oportunas
para conseguir la seguridad razonable de la eficacia del modelo de control interno empleado en la
Organizacin.

61

www.auditool.org

Autor: Jess Aisa Dez

Llegado a este punto creemos que ya podemos incidir en las dos premisas que han de regir la
actividad auditora:
(i)

Supervisar lo trascendente, es decir aquello que pueda afectar a los objetivos bsicos de la
organizacin y
(ii) Hacerlo de la manera ms eficiente posible.
Aspectos ambos que no debemos olvidar si pretendemos que la actividad aporte autntico valor a la
organizacin en la que trabajemos. Para ello.
Planifiquemos la actividad con base a:
Los objetivos estratgicos y los riesgos del negocio.
Los requerimientos y exigencias de los reguladores o supervisores.
Las exigencias normativas aplicables.
Todo lo anterior, procurando obtener la mxima eficacia de la funcin.
Tampoco debemos olvidar que, dado que las condiciones del entorno son cambiantes, los Planes de
Auditora que presentemos a aprobacin de la Comisin de Auditora deben ser flexibles, permitiendo
su actualizacin cuando las circunstancias lo requieran, lo que obligar a tener que reevaluar su
contenido con la mayor frecuencia posible, lo que, entendemos, desaconseja preparar Planes
plurianuales con el que cubrir todo el universo de auditora en un determinado espacio temporal,
pues difcilmente se podrn ejecutar, sobre todo en la parte que hayamos postergado para dentro
de uno o dos aos, ya que la actualizacin de lo que deberamos hacer, segn los datos de cada
momento, se ver modificado cuando volvamos a repetir el ejercicio de priorizar las actuaciones.
En este sentido,definir un Universo de Auditora que deba ser analizado ntegramente a lo largo de
un perodo plurianual (tres o cuatro aos), pensamos que es desaprovechar recursos, pues la
escasez de los mismos nos debera exigir focalizarnos, ao tras ao, en la revisin de los puntos
trascendentes, obviando aquellos que estn un nivel ms bajo.

62

www.auditool.org

Autor: Jess Aisa Dez


Por ello:
a) Actualicemos los inputs con la mxima frecuencia posible.
b) Si un ente auditable entendemos que no comporta riesgos significativos o apreciables, no
debera incluirse en el Plan.
c) Olvidmonos de Planes plurianuales.
d) Partir del mapa de riesgos existente en cada momento
Pero sobre todo: Que no debemos jugar a acertar, sino a no equivocarnos!
Es evidente que la postura que representa este slide nosotros no la defendemos, pues aunque
nuestra profesin nos exige que seamos escpticos, ello no nos debe conducir a situaciones tan
extremas, ya que para actuar de esta manera precisaramos de un volumen de recursos que bajo
ningn concepto nos seran habilitados, pero lo que es an peor, estaramos revisando procesos
perfectamente gestionados, sobre los que no podramos aportar ninguna recomendacin de mejora,
y en donde no olvidemos es dnde radica una de las formas de aportacin de valor.
Otra forma de exponer lo que acabamos de sealar, es nuestro rechazo a una teora hasta hace
poco tiempo defendida por algunos especialistas en la actividad auditora, cul era la de desglosar el
universo de Auditora en entes auditables, de forma que, debidamente jerarquizados los mismos,
todos ellos fuesen auditados en un perodo de tres o cuatro aos.
Reiteremos: Los planes no deberan ser tan rgidos. Las circunstancias cambian, adaptmonos a
ellas
Si de la teora pasamos a la accin, siguiendo las recomendaciones ya expuestas con anterioridad,
lo primero que deberamos hacer es planificar las actuaciones que nos permitan definir el Plan de
Auditora con base a Riesgos, por lo que definir su hoja de ruta lo consideramos prioritaria.
Observemos que en el slide que ahora comentamos aparece una lnea de puntos rojos, con ella lo
que queremos marcar es la diferencia entre las actuaciones que Auditora Interna puede aprovechar
del proceso ERM aplicado en la Organizacin, y lo que debemos hacer, exista o no ese proceso. Los
apartados debajo de la lnea de puntos son de obligada realizacin por parte de Auditora, tenga la
Organizacin un sistema de Gestin de Riesgos Empresariales funcionando, o no.
Puesto que nuestro objetivo es decidir el Plan de Auditora con base a los riesgos a los que debe
enfrentarse la empresa, si hay un modelo de gestin basado en riesgos, aprovechmoslo, pero si
este no existe, no importa, nuestra obligacin es tomar las decisiones basadas en las amenazas que
directamente percibamos y que deben ser debidamente administradas. Obviamente el actuar en uno
u otro escenario no es similar ni tampoco balad, pues si la empresa ya ha avanzado en el desarrollo
de un proceso tipo ERM, a Auditora Interna le resultar ms sencillo desenvolverse en ese ambiente.
Pero si no existe, no es excusa para no abordarlo, nicamente que esa circunstancia exigir un
mayor esfuerzo por nuestra parte.
Las fases sobre las que tendremos que trabajar entendemos que seran:
1) Analizar el Proceso de Gestin de Riesgos de la organizacin.
2) Opinar sobre su efectividad (madurez y fiabilidad).
3) Acceder al Mapa de Riesgos de la Organizacin.

63

www.auditool.org

Autor: Jess Aisa Dez


4) Conocer los apetitos a los riesgos de las principales amenazas.
5) Identificar las acciones correctoras definidas por los gestores para reconducir riesgos
residuales hacia la zona de tolerancia.
6) Identificar de los procesos con mayor relacin con los objetivos estratgicos de la
organizacin.
7) Ordenar los procesos crticos segn la visin de Auditora Interna.
La hoja de ruta que exponamos en el anterior Slide, se vera complementada con los siguientes
otros seis pasos:
8) Valoracin del grado y eficacia del control existente en estos procesos.
9) Priorizacin de los procesos segn Auditora.
10) Definir ponderaciones y pesos de los distintos tems a considerar.
11) Ordenar los posibles trabajos por su grado de relevancia deducida.
12) Cuantificar los recursos y trabajos a incluir en el plan Auditor.
13) Gestionar la aprobacin del Plan de Auditora elaborado.

Ya lo hemos comentado que si la empresa no tuviese desarrollado un proceso de Gestin Integral


de Riesgos en el que apoyarse, nos tocara actuar en forma decidida en ese ambiente, obviando las
ayudas que pudisemos obtener del anlisis corporativo realizado al respecto, pero, como bien
sealbamos al principio del curso, siempre que hay una situacin desfavorable, un riesgo, existir
una oportunidad. En este caso sera la de promover al ms alto nivel la necesidad de mejorar los

64

www.auditool.org

Autor: Jess Aisa Dez


procesos de gestin con base a riesgos, acomodando la funcin de la corporacin a las tcnicas de
administracin consideradas una mejor prctica.
Recordemos: Si no existe el proceso de Gestin Integral de Riesgos o ERM en la empresa. TODO
NUESTRO! Manos a la obra, pero sin olvidar:
Defender el establecimiento del Proceso de Gestin Integral de Riesgos y
Desarrollarlo con base a Modelos tipo ERM.
Resulta evidente que si nuestra actuacin al comenzar el proceso de planificacin de las actividades
depende de la experiencia acumulada por la Organizacin en la gestin de riesgos, deberemos
averiguar cul es el nivel que este ha alcanzado en la empresa. Este conocimiento es lo que
pretenden los cinco primeros pasos que se recogen en la hoja de ruta expuesta.
Para hacer ms completo el desarrollo conceptual sobre la forma de gestionar el proceso,
supongamos que s existen precedentes en la Organizacin sobre la gestin empresarial con base
a riesgos, y veamos como pensamos que debera ser en ese supuesto, que es lo que resultar ms
normal, el comportamiento del Director de Auditora Interna.
Dicho de otra manera posicionmonos respecto de lo que ya haya avanzado en la Gestin de
Riesgos la Organizacin
Si la situacin con la que nos encontramos fuese que ya se est trabajando en el Sistema de Gestin
de Riesgos, entonces Auditora Interna ya debera disponer de una valoracin preliminar respecto
del grado de bondad del Proceso de Gestin de Riesgos empleado por la empresa, del que se
deducira la confianza que debe darse a las conclusiones que de l se derivasen, pues no debemos
olvidar que:
El proceso de Gestin Integral de Riesgos es una actividad corporativa, en la que Auditora Interna
no debe ser ajena, debiendo tener opinin formulada respecto a su grado de utilidad para la
Organizacin y, sobre todo, de su bondad.
En este contexto, habr que tener presente si Auditora hubiese trasladado a los responsables de la
gestin de riesgos diversas recomendaciones, dependiendo de cmo estos hubiesen actuado con
las mismas, pues si hicieron caso omiso de ellas, la situacin, a los efectos que nos ocupa, no diferira
de aquella otra en la que no dispusisemos de antecedentes en los que apoyarnos. Pero de
momento sigamos describiendo el proceso ya iniciado.
Lo que resultar determinante es el anlisis del mapa de riesgos existente en la Organizacin, en el
que deben estar ubicados, de acuerdo con su importancia, los riesgos residuales que existan en el
entorno de los procesos empresariales crticos.

65

www.auditool.org

Autor: Jess Aisa Dez

De acuerdo con esta informacin, Auditora Interna debe hacer su propio anlisis sobre estas
estimaciones, identificando aquellas con las que pudiera estar de acuerdo, segn su conocimiento
del negocio y su experiencia, y con cules no.
Con las que comparta la opinin de los gestores, solo en los casos que resulte oportuno y
conveniente, deber analizar si las decisiones empresariales adoptadas en la administracin de los
distintos riesgos residuales son aplicadas y resultan lo eficaces que se estim en principio. Mientras
que para los casos en los que no se comparta la opinin de los gestores, o existan dudas respecto
de su eficacia, debera procederse a una verificacin de su verdadera utilidad y coherencia con los
objetivos perseguidos, incluyendo, en su caso, los procesos o subprocesos afectados en el borrador
del Plan.
En resumen, la actuacin de Auditora Interna debe centrase en las posibles discrepancias que
pudieran existir respecto de la estimacin de la importancia de los riesgos identificados dentro el
mapa global, es decir su verdadera posicin respecto del entorno de la tolerancia al riesgo,
analizando en detalle las razones que puedan existir para proponer modificaciones de la posicin del
riesgo, incluyendo tambin estas verificaciones en el borrador del plan de auditora, ya que seran
trabajos a efectuar supervisando si la eficacia de los controles permiten mantener el riesgo en la
posicin definida por los gestores o si deben adoptarse medidas correctoras complementarias.
Prosiguiendo con el proceso de gestin por parte de Auditora, y con independencia de las
verificaciones que debamos realizar referente a la adecuada evaluacin de los riesgos residuales, a
lo que ya nos hemos referido, lo que s debemos tener claro es que las tres zonas en las que
podemos dividir el mapa de riesgos demandarn a la organizacin de las respuestas adecuadas, tal
y como se describen en el slide, actuaciones que deben ser comprobadas y validadas por Auditora
Interna, ya que es la nica forma de supervisar adecuadamente si el proceso de gestin de riesgos
empleado es el correcto.

66

www.auditool.org

Autor: Jess Aisa Dez

La primera pregunta que debe hacerse Auditora es si, para aquellos riesgos evaluados en la zona
de alto riesgo, las del cuadrante superior derecho, se han tomado las decisiones oportunas para
reconducirlos en forma conveniente, acercndolos hacia la zona prxima al apetito al riesgo
que en cada caso se hubiese definido.

67

www.auditool.org

Autor: Jess Aisa Dez


Si la conclusin es que no es as, deberan ser los procesos afectados por dichos riesgos los primeros
a incluir en el Plan de Auditora. Asimismo Auditora debera opinar sobre el apetito al riesgo que
haya sido adoptado por la organizacin, aportando su opinin a la alta direccin y al Consejo de
Administracin. Ver Norma
2600.
Ms adelante vendran las opiniones sobre los riesgos menos importantes segn el criterio de los
gestores, ah Auditora debe preguntarse si comparte y asume esa posicin de los riesgos, ya que,
en caso contrario, como ya hemos comentado, debe efectuar sus propias valoraciones con la
finalidad de poder aportar las necesarias conclusiones que corrijan y mejoren la opinin de los
gestores.
Una forma til de poder opinar de manera objetiva sobre la situacin real de los riesgos residuales,
es que Auditora, para los riesgos crticos para los que tenga dudas sobre la situacin asignada por
los gestores a los mismos, que analice y/o prepare unas fichas de trabajo en las que se relacionen
los riesgos que se pretendan analizar y los controles que se apliquen en el proceso con los que
mitigarlos. Una vez disponible esta informacin, lo que corresponde es la valoracin de la eficacia y
suficiencia de dichos controles.
Al igual que sucede con otros aspectos del proceso ERM, estas fichas debieran estar previstas para
complementar por el Gestor de Riesgos Corporativo, en cuyo caso Auditora accedera a ellas, las
analizara y sacara sus propias conclusiones. Si las fichas no existieran como prctica habitual de
la organizacin, Auditora s debiera elaborarlas, pues permiten sacar conclusiones sobre la situacin
real que rodean a los riesgos crticos.

68

www.auditool.org

Autor: Jess Aisa Dez


Entrando ya en la fase especfica que le corresponde a Auditora Interna, como actor independiente
en la supervisin del proceso de gestin de riesgos, he de volver a reproducir la secuencia que
estamos comentando:
(i)
(ii)
(iii)

Conocer la estrategia de la organizacin,


Concluir en cuales en su opinin son los procesos ms vinculados a la consecucin de
esos objetivos y
Identificar los riesgos inherentes que Auditora Interna asocie a estos procesos.

Los procesos identificados como ms crticos, desde la perspectiva de Auditora Interna, podrn, o
no, coincidir con las conclusiones previas disponibles, radicando en su posible discrepancia la
utilidad de este ejercicio, pues permitir comparar las dos posiciones y actuar en consecuencia.
Este objetivo obligar a Auditora Interna a replicar el mismo modelo que podra haberse realizado
con anterioridad por los gestores, pero ahora dependiendo exclusivamente de su propia opinin, ya
que lo que se trata es de poder comparar las conclusiones obtenidas segn ambos modelos. Por
ello, partiendo de las perspectivas del negocio que determinen sus objetivos estratgicos, tanto
cualitativos como cuantitativos, deben relacionarse con los procesos operativos con los que se
desarrollen estas estrategias. Tal y como recoge el presente slide, en la que partiendo de los
objetivos estratgicos y de sus respectivas metas, se han asociado con los procesos en los que
descansarn dichas estrategias.

Progresando en la hoja de ruta que nos hemos marcado, ahora correspondera pasar a conocer los
factores que pueden afectar a los riesgos que hayamos observado y que se pueden producir al
desarrollar los procesos crticos.
La figura que recogemos en el slide, entendemos que es un ejemplo evidente de lo que debemos
buscar, pues en este caso el riesgo de accidente depender fundamentalmente de la agresividad del
conductor, que sera el factor ms determinante. En este caso el control de llevar los cinturones
puestos poco puede contrarrestar el peligro. Atendiendo a las 4 formas de combatir los riesgos, solo
habra una vlida, la de rechazarlo, bajndonos del coche.

69

www.auditool.org

Autor: Jess Aisa Dez


Llegar a concluir sobre los factores de riesgo que pueden afectar a los procesos, exige un anlisis
profundo de los mismos, as como un elevado conocimiento sobre su operativa, para ello, si fuese
necesario, Auditora Interna debera apoyarse en el conocimiento que los propios gestores tienen de
los mismos.
Veamos un ejemplo: Reducirlos. En este caso el objetivo perseguido es la reduccin de los costos
operativos de la empresa. La va elegida: la mecanizacin de las actividades y su deslocalizacin
buscando mercados de trabajo con mano de obra ms competitiva.
Pero analizando las dificultades con las que nos podemos encontrar para llevar adelante este forma
de actuar, nos encontramos con los siguientes condicionantes (o lo que es lo mismo los siguientes
factores de riesgo para alcanzar los objetivos perseguidos): la falta de conocimientos informticos
de los nuevos empleados, la falta de un software que se adapte a nuestras necesidades, la rigidez
del mercado nacional de origen que nos impida una fcil y econmica resolucin de los contratos
laborales existentes, etc.
Lo que nos conducira a identificar tres riesgos inherentes: TI, Recursos Humanos y Fallos en los
servicios.
Siendo este el panorama, lo que la organizacin debe localizar son las soluciones a estas amenazas.
Supongamos que los mecanismos de gestin de riesgos empleados por la empresa hayan sido los
siguientes:
Factores de riesgo:

Controles a implementar:

Falta de conocimientos informticos de la


plantilla

Cursos de formacin rpida

Inexistencia de aplicaciones estndar que


sean de uso para la empresa
Dificultades
existente

para

desvincular

al

personal

Formacin del personal deslocalizado con el


proceso
Traslado de los
cumpliendo plazos

productos

terminados

Contratacin para el desarrollo de Software.


Negociacin con sindicatos.
Cursos de formacin in situ
Acuerdo agencias transporte

Auditora Interna debe concluir es si est o no conforme con la nueva evaluacin de la criticidad del
proceso segn las medidas adoptadas, y, en cualquier caso, an faltara validar la eficacia de los
controles implementados, por lo que no debemos descartar incluir este proceso entre los que
deberamos supervisar en un futuro prximo.
Supongamos que la experiencia profesional de los auditores les hace concluir que la eficacia de los
controles es la que se indica seguidamente:
Cursos de formacin rpida Dudosa
Contratacin desarrollo de software..Eficaz
Negociacin con sindicatos Nula
Cursos de formacin in situ..........................Dudosa
Acuerdo agencias de transporte Razonable

70

www.auditool.org

Autor: Jess Aisa Dez


De ser as, el proceso, que sigue siendo crtico, pero los riesgos que le afectan han pasado a ser:
TI. Moderados; Recursos Humanos. Graves; Fallos en los servicios. Aceptable.
Pudiendo sealar que sera un Candidato a ser un ente auditable.
Despus de realizado el ejercicio de evaluacin por parte, tanto de los gestores, como de la Unidad
de Auditora Interna, nos podemos encontrar con dos mapas de riesgos, el que han elaborado los
responsables gerenciales, y el que ha elaborado Auditora. Con base a este ltimo es con el que
debemos definir el borrador del Plan Auditor, identificando los procesos a revisar, con base a la
presencia en ellos de riesgos crticos en la consecucin de los objetivos.
Mapa riesgos s/Auditora Inter.

Mapa riesgos s/gestores

Por ello, los procesos que den cabida a los riesgos: 4, 8 y 23, deben incluirse en el Plan de Auditora
para su revisin inmediata, pero tambin un porcentaje a determinar de los que se sitan en la franja
azul.
Ahora bien, cuando nos referimos a que debemos concebir el Plan de Auditora con base a riesgos,
no debe entenderse que sea solo la evaluacin de los riesgos la informacin que hemos de
considerar, puesto que existen tambin otros elementos que pueden aportarnos informacin muy
valiosa. Por este motivo, y de acuerdo con el ejemplo del presente slide, el Plan no solo incluir los
procesos correspondientes a los 3 riesgos extremos y a los 22 altos, sino tambin otros trabajos de
acuerdo con la ponderacin que finalmente asignemos a todos los datos que debemos considerar.

71

www.auditool.org

Autor: Jess Aisa Dez

Hemos de sealar que no existe una nica mejor prctica que nos oriente definitivamente sobre los
inputs que deberamos emplear para determinar el contenido de los Planes de Auditora, pues eso
depender de muchas circunstancias, pero los que seguidamente citamos pueden perfectamente
formar parte de los aspectos que podran influir en la definicin de un Plan Auditor:
Ambiente general de control del proceso o del rea
Alteraciones del equipo de gestin o estructura
Redefinicin de los procesos o alteraciones/reconversin de los sistemas informacin
Resultados obtenidos en anteriores trabajos de auditora
Resultados del proceso de Gestin de Riesgos
Recomendaciones crticas pendientes
Existencia de procedimientos escritos
Juicio del auditor
Su ponderacin o peso, as como el nmero de tems a considerar, pueden variar y ajustarse a la
realidad de cada Organizacin. Lo que s entendemos conveniente que sea cual sea el modelo que
vayamos a emplear, que se exponga con claridad al Consejo de Administracin y a la alta direccin,
puesto que si ambos deben aprobar el Plan a acometer por Auditora, deben saber qu es lo que
estn aprobando, y cmo se ha concluido en l.
Si bien el ejemplo que se recoge en el slide anterior es totalmente didctico y diseado para poder
aclarar los conceptos que subyacen detrs de estas ponderaciones, el que aparece en la actual
pantalla por el contrario es real, y se ajusta al modelo empleado por una importante multinacional
espaola.

72

www.auditool.org

Autor: Jess Aisa Dez


Si observamos con detalle los pesos que se han asignado a cada uno de los componentes, se puede
concluir que:
Siendo cierto que el Plan de Auditora se basa en riesgos, se podra pensar que su peso relativo es
bastante reducido, puesto que, incluyendo el mapa de control, sera solo del 10%.
No obstante, si observamos cmo est estructurado el modelo, veremos que la importancia
estratgica de los procesos, ms la importancia econmica de los mismos agregaran un 30%
adicional en la ponderacin, con lo que ya se alcanzara un 40% debido a la gestin de riesgos,
mientras que el 60% restante se distribuye un 50% por los antecedentes existentes en Auditora
(antigedad auditoras anteriores, valoracin final de los informes, recomendaciones crticas
pendientes) y un 10% adicional asignado al juicio subjetivo del Director de Auditora Interna. En
resumen: un 40% para la gestin de riesgos y el 60% debido a los antecedentes/opinin de Auditora
Interna, lo que nos hace pensar que el modelo no est an muy rodado, y que es muy conservador,
habiendo migrando de un modelo en el que el 100% del Plan de Auditora se determinaba por el
conocimiento que tuviese Auditora, a otro en el que esta caracterstica se reduce, de momento, a
un 60%.

Identificados los trabajos que estimemos necesario realizar, hay que cuantificar: las horas necesarias
para realizarlos, as como las horas de formacin previstas, las de atencin a las consultoras
solicitadas, las precisas para la supervisin de los planes de accin asumidos, etc., comparndolas
con las disponibles. Situacin que debe sancionar el Directorio y la alta direccin.
Pero sin olvidar incluir, e identificar, las acciones que sern realizadas por los otros proveedores de
aseguramiento que vayamos a aprovechar.

73

www.auditool.org

Autor: Jess Aisa Dez


Incluir todo este detalle en la informacin que se reporta a quienes deben aprobar el Plan resulta
imprescindible, ya que la propuesta realizada no ser efectiva, ni aplicable, hasta que no est
sancionada en todos sus trminos, fundamentalmente en lo que respecta a los recursos asignados
para desarrollarla. En este sentido, si los medios autorizados no fuesen suficientes para abordar todo
el Plan en su integridad, debe quedar claro en el acto de aprobacin que existir escasez de recursos
para acometerlo, y que se dejarn sin hacer determinados trabajos considerados necesarios, cuya
responsabilidad derivada no es aplicable exclusivamente a Auditora Interna, ya que ser compartida
con quienes no asignaron los recursos en la dimensin precisa.
Un formato cuatrimestral del Plan de Auditora adoptar un esquema similar al que recogemos en la
pantalla; pero si observamos hemos entrecomillado el calificativo final, con la intencin de remarcar
que lo que se haya aprobado en el momento de la autorizacin por parte de la alta direccin y del
Directorio, puede ser modificado a lo largo del ejercicio, pues siempre habr situaciones
sobrevenidas que harn necesario introducir cambios, bien por nuevas demandas de las partes
interesadas, bien porque la revisin y actualizacin, al menos semestral, de los mapas de riesgo,
aconsejen hacer modificaciones, ya que las prioridades han podido cambiar.
De estas situaciones habr que dar cuenta al informar del cumplimiento del Plan aprobado en la
correspondiente Memoria de actividades.

Existen dos conceptos que no debemos confundir, disear el Plan de Auditora con base a riesgos
(Instituto de Auditores Internos), no es lo mismo que auditar con base a riesgos.
En el primer caso el objetivo es determinar qu es lo que debemos hacer.
En el segundo lo que se nos pide es que desarrollemos la actividad auditora supervisando
el control interno de la Organizacin a travs de la eficacia del Sistema de Gestin de
Riesgos existente.
Es la misma situacin con la que se suelen enfrentar los entrenadores de los equipos de futbol que
compiten con el Real Madrid, ganarle obliga a contrarrestar a Ronaldo (el qu hacer), el problema
est en cmo hacerlo.

74

www.auditool.org

Autor: Jess Aisa Dez


El Paper Position Statement Risk Based Internal Auditing del Institute of Internal Auditors UK and
Ireland. define la auditora interna basada en riesgos (ABR), como:
La metodologa que une las auditoras internas con el marco general de la gestin de riesgo de una
organizacin, permitiendo a la auditora interna ofrecer garantas al Directorio de que los procesos
de gestin de riesgos son efectivamente aplicados en relacin con el apetito al riesgo.
Existen otras muchas definiciones, pero todas ellas inciden en afirmar que son aquellas metodologas
con las que elaborar un programa de auditora que permita focalizar las pruebas de auditora en los
controles crticos puestos en marcha por la organizacin. Para ello resultar bsico:
Centrndonos en lo importante.
Ofrecer opinin independiente sobre la bondad del Sistema de Gestin de Riesgos.
Las auditoras con base a riesgos, consisten en: Evaluar la adecuacin de los procesos de Gestin
de Riesgos, verificando:
Que los objetivos de la organizacin estn alineados con la estrategia de la empresa.
Que los riesgos significativos estn identificados y bien evaluados.
Que se han seleccionado respuestas apropiadas a los riesgos de forma que estn en un
entorno de aceptacin.
Obtener oportuna informacin significativa sobre los riesgos crticos.
En resumen: Conjunto de procesos mediante los cuales las auditoras proveen aseguramiento
independiente al Directorio acerca de:
1) Si los procesos y medidas de gestin del riesgo que se encuentran implementadas estn
funcionando de acuerdo a lo esperado;
2) Si los procesos de gestin de riesgos son apropiados y estn bien diseados, y
3) Si las medidas de control de riesgos que la Gerencia ha implementado son adecuadas y
efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el Directorio.
Las auditoras con base a riesgos dependern del nivel de desarrollo que la propia empresa ha
alcanzado en la gestin de riesgos en el rea objeto de examen, y el grado en que han sido definidos
objetivos apropiados por la Gerencia contra los cuales pueden medirse los riesgos asociados.
La Norma. 2600. Comunicacin de la aceptacin de los riesgos, es muy clara:
Cuando el Director de Auditora Interna concluya que la direccin ha aceptado un nivel de riesgo que
pueda ser inaceptable para la organizacin, debe tratar este asunto con la alta direccin.
Si el asunto no se resuelve debe comunicarse la situacin al Directorio.

Mdulo 4

Todo proceso empresarial es susceptible de perfeccionamiento, al ir incorporando en ellos las


mejores prcticas que podamos ir conociendo. En el caso de las auditoras con base a riesgos esta
situacin tambin se produce, lo que ha permitido la evolucin de las tcnicas que empleamos para
desarrollar la actividad auditora, buscando dos objetivos bsicos: (i) fijar nuestra atencin en los
riesgos antes de que estos se hayan materializado y (ii) haciendo un uso eficiente de los recursos
de los que dispongamos.
Identificar las tcnicas que nos permitan esos objetivos, es lo que buscamos con el presente mdulo.

75

www.auditool.org

Autor: Jess Aisa Dez


Para empezar diremos que, de una forma grfica, la profesin de auditora interna se encuentra ante
dos caminos: el de satisfacer los requerimientos/expectativas de la organizaciones en las que
desarrollamos nuestra actividad, y por el lado negativo, el de defraudarlas.
Avanzar por una senda o por la otra, no creemos que resulte difcil de identificar, pues depender
del grado de eficiencia que seamos capaces de conseguir.
A lo largo de los mdulos anteriores hemos visto la forma en que ha ido evolucionando la auditora
interna en lo que se refiere a los objetivos a cubrir por dicha funcin dentro de las organizaciones,
pero estos cambios podemos tambin observarlos a travs de la forma de enfocar la propia actividad,
considerando adicionalmente la manera de analizar los datos a tratar.
En el modelo tradicional. La evaluacin se lleva a cabo segn un modelo retrospectivo y cclico:

Desarrollndose tiempo despus de que hayan tenido lugar las actividades auditadas.
Los procedimientos de evaluacin suelen basarse en un enfoque de muestreo e incluyen
actividades como la revisin de polticas, procedimientos, aprobaciones y conciliaciones.
Este enfoque puede limitar el beneficio del trabajo para ser de utilidad verdadera en el
rendimiento comercial o el cumplimiento de la normativa.

Es decir la supervisin se desarrollaba de forma retrospectiva, no en tiempo real, y sobre hechos


consumados, ya producidos, por lo que las conclusiones que pudieran obtenerse no podran impedir
los daos ya generados, pues solo eran tiles para los que pudieran producirse en un futuro.
Adicionalmente la revisin se realizaba sobre una muestra, ms o menos representativa de la
poblacin auditable, lo cual introduca una cierta duda sobre la bondad de las conclusiones generales
con base a la extrapolacin de una muestra.
En resumen, la forma convencional de abordar las auditoras est condicionada por una serie de
circunstancias, que al igual que nos comentaron que sucede con Los Mandamientos, que se reducen
a dos, tambin las caractersticas de las auditoras tradicionales pueden resumirse en otros dos
aspectos:

Son descripciones peridicas basadas en hechos pasados, y


Exigen el desplazamiento del equipo auditor al rea auditada

Aspectos que pueden ser superados a su vez a travs de dos diferentes modalidades de auditora,
las que se identifican como a distancia y/o la continua.
Cambiemos el espejo retrovisor por los prismticos !!
Si bien en algn contexto pueden confundirse los conceptos de auditora continua y el de auditora
a distancia, hemos de sealar que son dos conceptos distintos, pero complementarios, la auditora
a distancia es aquella que se realiza con base a un acceso a los datos sin necesidad de desplazarse
el auditor al lugar donde estos fsicamente se encuentran, mientras que la auditora continua es la
que supervisa los datos de forma permanente, sin que exista una periodicidad determinada para
hacerlo, pues podemos estar situados en perodos temporales de trimestres, bimestres, mensuales,
quincenales, semanales, diarios, ..
Si bien desde el punto de vista terico tanto una como otra no requieren inexcusablemente de apoyo
informtico para realizarlas, pues siempre habra la posibilidad de hacer llegar los datos va e-mail o
correo ordinario al puesto del trabajo del auditor, en la realidad estas modalidades, para ser
eficientes, e incluso eficaces, precisan de una adecuada informtica en el tratamiento y acceso a los
datos.

76

www.auditool.org

Autor: Jess Aisa Dez


La complementariedad comentada debe entenderse como que una vez dispuesta de una auditora
a distancia, ser ms sencillo acceder a una auditora continua.
Auditora a distancia, las comprobaciones asociadas al registro de la actividad o los resultados de la
gestin se efectan a partir de la informacin disponible en los sistemas, con la caracterstica
fundamental de que el tiempo de permanencia del auditor en la entidad se reduce de manera
considerable.
Un paso adicional sera la auditora continua, que es la realizacin automtica de las evaluaciones
de control y de los riesgos sobre bases de seguimiento continuado.
La 1 se focaliza en el acceso a la informacin, la 2 incide adems en la frecuencia de la supervisin.
No son sinnimos!!
Un problema, o una circunstancia con el que habitualmente tenemos que convivir los auditores, es
con la de los acrnimos de origen anglosajn, valga como ejemplo COSO, SOX, que nos resultan
muy familiares, pero si hablamos de KRI, salvo los iniciados en la materia, es difcil de entender de
lo que estamos hablando, por lo que podramos pensar que su uso encierra formas de actuar algo
compleja. Pero nada ms lejos de la realidad, pues su empleo est incorporada en nuestra vida
diaria, pues permanente estamos actuamos analizando los indicadores de riesgos clave (KRI en sus
siglas en ingls) de nuestro entorno.
Veamos un ejemplo cotidiano, en invierno/otoo es frecuente que antes de abrir la puerta de nuestro
domicilio para ir a trabajar, echemos una mirada al cielo, y si este est encapotado, amenazando
lluvia, como el del slide, tomemos un paraguas.

En este habitual comportamiento se refleja el proceso a seguir con las nuevas tcnicas de auditora,
pues hemos utilizado indicadores, la situacin observada en el cielo, hemos prevenido o estimado
con anticipacin el tiempo a lo largo del da y nos hemos recomendado incluir en el proceso de ir al
trabajo un control especfico, el paraguas, con el que minimizaremos el impacto de la lluvia, pudiendo
entrar en la oficina sin el traje empapado, que era el objetivo pretendido.

77

Para la Real Academia de la lengua espaola: indicador significa: dar a entender una cosa
con seales, gestos o palabras.
Segn la ISO 11620 es una expresin utilizada para describir actividades en trminos
cuantitativos y cualitativos con el fin de evaluarlas de acuerdo con un mtodo.

www.auditool.org

Autor: Jess Aisa Dez


De todas las acepciones que tiene el trmino indicador, el que nos debe fijar nuestra atencin es
aquel que permite interpretar o anticipar una amenaza, es decir el que tiene una cualidad de
pronstico. En ese sentido indicador ser el cielo nublado que amenaza lluvia, un fuerte aguacero
medido en litros/metro cuadrado que nos site en un riego de inundacin, una temperatura corporal
elevada, o una seal de trfico que nos alerte de un paso de nivel sin barrera. Por el contrario no es
un indicador, a los efectos que nos interesa, la seal de pasear perros sueltos, o la que en carretera
nos indica la distancia que hay a determinada poblacin.
Los KRIs son indicadores de riesgos claves, de cuya descripcin debemos quedarnos con sus
aspectos ms significativos, que es lo que ahora queremos destacar:
a) Son indicios que nos pueden alertar sobre la existencia de algn aspecto de la actividad que
nos interese.
b) Deben anunciarnos la existencia de riesgos que afecten a la actividad empresarial.
c) Estas amenazas deben ser significativas.
Es obvio que a los conductores de los vehculos que se han quedado atascados en la carretera como
consecuencia de la nevada que recoge la fotografa, algo les ha fallado, pues el riesgo de quedarse
bloqueados se ha materializado con toda su intensidad. Es posible que habiendo tenido conocimiento
del pronstico no lo hayan considerado certero, o bien que no hayan tenido la precaucin de
actualizar las previsiones meteorolgicas existentes antes de iniciar el viaje o tambin que nadie
alertase con antelacin suficiente de lo que se avecinaba. En cualquier caso estas tres circunstancias
son las que se deben evitar con el empleo de KRI elegidos, puesto que: Deben ser fiables, es decir
con una clara correlacin con el riesgo a medir, debemos hacer un seguimiento continuado de su
evolucin y disearse con afn preventivo.
Los KRIs no son un fin en s mismo, son un medio para alcanzar un fin.
Por su importancia y rabiosa actualidad, tomemos como ejemplo de un indicador que cumple los
requisitos de los que estamos hablando, en este caso la evolucin de la distribucin de las personas
segn sus edad, ya que puede servir de anticipo (alerta) de los problemas que se nos puedan
presentar en los servicios sociales que deban prestarse dentro de unos aos, como por ejemplo
geritricos, guarderas infantiles,.., o el importe de las pensiones que deban atenderse. En este
sentido, si se observan las dos pirmides de edad de los espaoles de 1950 y 2010, se pueden
apreciar cambios importantes, como por ejemplo el que la grfica de 1950 representaba
prcticamente un tringulo issceles, si excluimos los efectos de la guerra civil en el perodo 1936 a
1939, pudiendo decir que los mayores de 65 aos, los jubilados, no representaban un volumen
importante, sobre todo si tenemos en consideracin que la presencia de las mujeres en el mercado
laboral era muy poco representativa.

78

www.auditool.org

Autor: Jess Aisa Dez

Sin embargo la pirmide de edad del ao 2010 se aleja mucho de una representacin similar a la
anterior, pero adems el porcentaje de los mayores de 65 aos duplica al existente en el 1950, con
la circunstancia aadida que la presencia de las mujeres de en el mercado laboral, si no igual a la
de varones, si algo mucho ms prxima.
Solo estos dos cambios, obviamente puede relacionarse con la viabilidad de las polticas de las
pensiones con cargo a la Seguridad Social, la que se nutre de las contribuciones de los trabajadores
activos.
Por ello:

Los indicadores sern tiles si posibilitan la adopcin de


medidas que eviten, o
minimicen, los riesgos detectados.
Las decisiones que se adopten deben ser proporcionadas con la entidad de las amenazas
observadas.
Se deben buscar indicadores que aporten datos cualitativos y cuantitativos sobre la
existencia de los riesgo

Poco a poco nos estamos acercando al foco de nuestro objetivo, gestionar las auditoras mediante
KRIs, que sern los elementos en los que nos apoyaremos para monitorear o monitorizar los
procesos, en el sentido de observar el curso de uno o varios parmetros para detectar posibles
anomalas.
El propio Instituto de Auditores Internos ha dedicado su atencin a esta herramienta, habiendo
editado una Gua con la que expone sus conclusiones al respecto
Esta Gua lo que viene a aclarar es la relacin de la auditora permanente, la vigilancia continua y el
aseguramiento continuo, aclarando que es el monitoreo continuado, describindole como:
Proceso realizado por los responsables de la gestin para asegurar que las polticas y los procesos
operativos resultan eficaces y para evaluar la adecuacin y la eficacia de los controles.

79

www.auditool.org

Autor: Jess Aisa Dez


Es realizado por los responsables de gestin financiera u operativa; auditora evala la adecuacin
de estas actividades de gestin
Es por tanto una actividad que, desde el punto de vista de Instituto Internacional de Auditora, le
corresponde a los gestores o responsables de los negocios como parte fundamental del control
interno.
No obstante lo que acabamos de sealar en el slide anterior, el propio Instituto de Auditores Internos,
entiende tambin que si queremos que el proceso de control interno en su conjunto tenga una
seguridad razonable en alcanzar los objetivos definidos por COSO, la supervisin que no realicen
los gestores, monitoreando la eficacia de los controles, deber ser complementada por auditora, de
forma que si el gestor hace una buena labor de supervisin, sta no debe ser replicada por la
auditora, pero que, en sentido inverso, a una mala o deficiente supervisin, sta deber ser realizada
por auditora en forma suficiente para obtener la seguridad razonable sobre la situacin real
existente.

Consideracin que es lo que pretenden representar los dos tringulos puestos en situacin invertida,
en el que diversas lneas transversales paralelas a la base del tringulo verde siempre tendrn la
misma magnitud, pero el segmento que est en el tringulo azul, el que corresponde al monitoreo
de los gestores, siempre determinar el segmento del rea auditora.
El Objetivo perseguido es el de: Mejorar la eficiencia de auditora interna.
Mediante la:

Priorizacin de las actividades del Plan Anual, orientndolas a los puntos de riesgo.
Aumentar el control efectivo y su percepcin por la organizacin.
Adelantar el momento de conocimiento de los hechos (oportunidad de las actuaciones).
Especializacin y normalizacin de actuaciones (best practices).
Reducir el costo de las actuaciones, liberando recursos para aportarlos a la mejora de los
procesos de las empresas y la cobertura por auditora de nuevos riesgos (estratgicos,
emergentes, etc.).

Salvo en el sistema bancario, las auditoras a distancia son un tema que est ms en la intencin
que en el quehacer habitual de las unidades de Auditora Interna.
Las entidades que han progresado, lo han hecho una vez homogeneizados sus procesos y sistemas.

80

www.auditool.org

Autor: Jess Aisa Dez


Este tipo de proyectos se aborda con el objetivo de liberar recursos, para aumentar el alcance y
cobertura de riesgos (p.e: estratgicos y emergentes).
La actual crisis financiera no ayuda al desarrollo de esta materia, con presupuestos de auditora en
descenso; pero s la demanda.
Ya sabemos a dnde queremos y debemos llegar, pero sabemos cmo iniciar el proceso?
Antes de dar una respuesta a esta pregunta hay un aspecto en el que nos gustara enfatizar,
recordando para ello lo que nos deca el poeta Machado: Caminante no hay camino, se hace camino
al andar; es decir que en este, como en otros muchos proyectos o procesos empresariales, las
prisas y el exceso de ambicin no son buenas consejeras, que hay que ir paso a paso, avanzando
de forma decidida hacia el objetivo, pero sin precipitaciones. Al igual que sucede al caminar sobre
un terreno inestable, no deberamos dar un siguiente paso si no est consolidado el anterior.
En nuestro proyecto empecemos por asegurarnos que las aplicaciones informticas disponen de los
requisitos mnimos para decidirnos a dar el paso, si esto no fuese as, entendemos que no es el
momento adecuado para iniciar el proyecto, ya que disponer de una infraestructura informtica con
unas caractersticas mnimas, es condicin necesaria; verificado este aspecto elijamos despus unos
cuantos procesos, no demasiados, pero s trascendentes y bien conocidos por el departamento de
auditora (compras, cuentas a pagar, cuentas a cobrar, nminas, etc.) en los que ensayar estas
nuevas tcnicas, eligiendo un nmero no elevado de KRIs para cada uno de ellos. Establecer
posteriormente el rango de normalidad de variacin de los indicadores en sintona con el responsable
del proceso y, ahora s, a caminar, seguro que los resultados sern muy favorables.
El propio COSO considera que las oportunidades que nos ofrecen los indicadores son evidentes y
deben aprovecharse, comentando que El diseo y la puesta en marcha de un conjunto de KRIs es
un elemento importante de las organizaciones en el proceso gestin de los riesgos empresariales.
(Para acceder al documento original clickear en:
http://www.coso.org/documents/COSOKRIPaperFull-FINALforWebPostingDec110_000.pdf

En este ejemplo la gestin tiene como objetivo el lograr la mayor rentabilidad mediante el aumento
de los ingresos y disminuyendo los costos.
Se han identificado cuatro iniciativas estratgicas que son crticas para el cumplimiento de los
objetivos. Varios riesgos potenciales que han sido identificados pueden tener un impacto en uno o
ms de las cuatro iniciativas estratgicas claves.
La interrelacin de los principales riesgos a las principales iniciativas estratgicas pone a la gestin
en condiciones de comenzar a identificar los indicadores crticos que pueden servir como indicadores
clave de riesgo para ayudarles a supervisar la ejecucin del ncleo estratgico
Como se muestra en la slide, los KRIS se han definido para cada riesgo crtico. La asignacin de
KRIS a los riesgos crticos y bsicos con influencia a las estrategias reduce la probabilidad de que
la gestin se distraiga con otra informacin que puede ser menos relevante para el logro de los
objetivos de la empresa.

81

www.auditool.org

Autor: Jess Aisa Dez

Como ejemplo de leading indicators, supongamos que la Organizacin en la que trabajamos se


halla inmersa en un problema de disminucin de ingresos, que analizadas las causas que lo
producen estas se encuentran en la prdida de clientes, lo cual es consecuencia, a su vez, de que
los precios de nuestros productos no resultan competitivos, y ello como consecuencia de los costos
elevados que tenemos que soportar.

Analizando las causas que producen esta situacin, se observa que ello es debido a que las compras
de los productos que son necesarios para el proceso productivo, son habitualmente adquiridos a los
Proveedores de toda la vida, sin efectuar concursos para seleccionar las compras ms ventajosas.

82

www.auditool.org

Autor: Jess Aisa Dez


En este contexto, probablemente, un KRI adecuado que podramos analizar es el nmero de los
oferentes en cada adjudicacin resuelta por la Organizacin.

Los Indicadores de riesgo clave, pueden clasificarse de varias maneras, pero una de las ms
significativas es si son ex-ante o expost.

Siendo ex-ante aquellos que se evidencian sin haberse producido an los eventos perjudiciales.
En tanto que ser ex-post los que se observan despus de haberse materializado.
El grfico que aparece en el Slide, nos permite seguir el proceso a emplear.

83

www.auditool.org

Autor: Jess Aisa Dez

En primer lugar las reas debern identificar los riesgos que puedan afectar a los objetivos
perseguidos. Una vez conocidos estos, debemos emparejar estos riesgos con los indicadores
apropiados para cada uno de ellos.
Los KRI establecidos permitirn dos cosas, en primer lugar evidenciar si los controles estn
funcionando adecuadamente, y tambin si los eventos o causas que generan los riesgos se
estuviesen presentando.
En ambos casos los valores de los indicadores permitirn establecer los planes de accin con los
que reconducir la situacin.
Aunque ya lo hemos comentado, debemos insistir en que los KRI no estn auditando datos, solo lo
que hacen es aflorar situaciones que necesitan un anlisis posterior para determinar si nos
enfrentamos a una situacin anmala, que requiere una investigacin, o ante una situacin tpica del
proceso segn la estacionalidad del mismo.
Veamos lo que se aprecia en la Slide, como se puede observar en los meses de inicio y finales del
ejercicio, los das de baja del personal tiene sus mximas expresiones, lo que, en primer lugar, nos
permitir adoptar las medidas necesarias para requerir los apoyos coyunturales de recursos de esos
meses para que la produccin no se vea afectada. Es decir el KRI adopta una visin ex-ante.

84

www.auditool.org

Autor: Jess Aisa Dez

Adicionalmente el KRI elegido, das de baja de los empleados, nos indica que en el mes de Julio ha
habido unas bajas por encima del nivel mximo de aos anteriores, lo que nos debera conducir al
anlisis de las causas, justificadas o no, que lo hayan producido.
Las nuevas tecnologas nos han permitido simplificar y optimizar nuestro trabajo, accediendo a los
datos sin tener que desplazarnos de nuestros puestos de trabajo, y adems en tiempo real, por lo
que hemos ganado en eficacia y en eficiencia. Metodologa de trabajo en la que los KRI ocupan un
lugar determnate.
El esquema bsico que debe guiar la actuacin es la siguiente:
1. De los procesos/riesgos seleccionados determinar sus indicadores.
2. Identificar datos disponibles en las aplicaciones. Programar su captura.
3. Para los que no estn en las aplicaciones, definir cuestionarios y fechas de recepcin;
estableciendo mtodos de comprobacin.
4. Definir pistas de auditora (rango de admisin de valores).
5. Analizar resultados y consultar causas de desviaciones ilgicas
6. Abrir auditora para los casos no justificados razonablemente.
7. Concluir sobre las causas reales que Justifican las desviaciones.
8. Proponer recomendaciones
Como consecuencia de la Ley Sarbanes-Oxley, que como sabemos es de aplicacin a las
sociedades cotizadas que gestionan sus acciones en la Bolsa de Nueva York, les es requerido que
deben aplicar un sistema de control interno de la informacin financiera, que permita garantizar que
la informacin que se distribuye a los mercados es la adecuada, estando exenta de errores
materiales, lo cual ha obligado a dichas sociedades a tener que supervisar el control interno aplicable
a este tipo de informacin, siendo frecuente el empleo de indicadores de riesgo que permitan opinar
sobre la coherencia, o no, de la evolucin de determinados indicadores previamente seleccionados.
Entre ellos los que se refieren a los siguientes epgrafes:
Fondos de Comercio
Cartera de Valores
Provisiones

85

www.auditool.org

Autor: Jess Aisa Dez

Gastos
Ingresos
Insolvencias
Amortizacin y otras depreciaciones
Prstamos a filiales y asociadas
Operaciones intragrupo
Avales y Garantas
Derivados
Litigios y Otras Contingencias
Crditos Fiscales
Gastos e Ingresos Extraordinarios

La forma de aplicarse los indicadores, en este proceso o epgrafes, es muy similar a la que
describimos en el slide:

Actualizar las tablas en las que se recogen los datos de las magnitudes analizadas.
Determinar posibles situaciones que no son normales y que deban ser analizadas en detalle
para concluir si es una incidencia real o una situacin debida a alguna circunstancia atpica
que no comporta mayores complicaciones.
Analizar en detalle las causas que han producido la situacin irregular, identificando los
motivos que la han producido, aportndolas recomendaciones que permitan corregirla

Para poder actuar de la manera que hemos sealado anteriormente, debemos tener claro es el
margen de oscilacin tpico del indicador, el cual una vez superado debe ser analizado para
determinar las causas que lo han producido.
En el slide reproducimos las oscilaciones razonables de determinados epgrafes contables de una
multinacional espaola.

86

www.auditool.org

Autor: Jess Aisa Dez

El modo de proceder con procesos operativos es similar a lo que hemos descrito para el proceso
contable, como podemos observar en el proceso de cuentas a pagar que refleja el ejemplo del Slide,
en el que se pretende supervisar el fraude que pudiera existir en el pago de facturas a los
proveedores.

87

www.auditool.org

Autor: Jess Aisa Dez


O el caso de la auditora de un Proceso de Compras considerando tres riesgos a cubrir: Trato a favor
de determinados Proveedores; Incumplimiento de la Normativa mediante el fraccionamiento de los
Pedidos/Contratos; o el correspondiente a la eficacia del Proceso de Compras.

Establecidos para cada uno de estos riesgos los indicadores que se consideren adecuados, la labor
de Auditora sera la de ver la evolucin de estos indicadores, identificando las situaciones
anmalas que pudieran presentarse, analizndolas y adoptando las medidas que en cada caso
correspondan.
Con independencia de los Indicadores de Riesgo de tipo cuantitativo, no debemos descartar el
empleo de indicadores de tipo cualitativos, como pueden ser los canales de denuncia o las banderas
rojas sobre el fraude, que nos permiten posicionarnos y actuar cuando existan indicios razonables
de situaciones dignas de anlisis. Por ello:

La ley Sarbanes Oxley obliga a las empresas de la SEC a establecer canales de


comunicacin para sus empleados, con la caracterstica de annimo.
El Cdigo Unificado espaol lo incluye dentro de sus recomendaciones, requiriendo, al
menos su confidencialidad.
La SBS los incluye en su resolucin 37 del ao 2008.
Su destino son los Comits de Auditora y
Una reciente estadstica de BDO, el 40,2% de las detecciones de fraudes se debe a los
avisos recibidos, fundamentalmente de los empleados.

No los despreciemos
En este ltimo aspecto, las denominadas banderas rojas sobre el fraude pretenden alertarnos,
fundamentalmente, sobre comportamientos atpicos de los empleados que pueden encubrir actos
desleales, como podra suceder cuando concurran aspectos tales como:

88

Inexistencia de lneas claras de responsabilidad y autoridad.


Implantacin de objetivos operativos poco realistas.

www.auditool.org

Autor: Jess Aisa Dez

89

Carencia de polticas y procedimientos de personal claros y concretos sobre: Conducta


laboral, tica y conflicto de intereses.
Polticas retributivas por debajo del mercado.
Comportamientos benvolos en el castigo a los infractores.
Problemas de comunicacin sobre los procesos antifraudes.
Estructuras del negocio complejas.
Transacciones entre partes relacionadas inusuales.
Entorno de control interno dbil
Contenciosos con los Organismos Reguladores
Existencia de documentos manipulados
Ausencia de documentos soportes de operaciones del negocio.
Uso frecuente de documentos duplicados por ausencia del original.
Documentos soportes con enmiendas o tachaduras
Uso de un nmero elevado de cuentas corrientes.

www.auditool.org