Escolar Documentos
Profissional Documentos
Cultura Documentos
Basado en Riesgos
Gua de Apoyo
Autor: www.auditool.org
2.
Para ello vamos a dividir su desarrollo en dos mdulos, el primero de ellos, que es en el que nos
encontramos, a su vez lo subdividiremos en los siguientes apartados:
www.auditool.org
www.auditool.org
Qu es el Riesgo Empresarial
Todas las empresas estn sometidas a los efectos de diversos eventos, tales como fases de
inflacin, bonanza econmica, aumento de la competencia, agentes meteorolgicos (sequias,
inundaciones,), etctera, los cuales, unas veces tendrn repercusiones positivas, que entonces
denominaremos oportunidades y otras veces efectos negativos respecto a la consecucin de los
objetivos, en cuyo caso denominaremos riesgos.
Estas amenazas normalmente resultan inevitables, pues no dependen, en muchas ocasiones, de la
voluntad de la empresa. Pero, siendo totalmente cierto que estos hechos pueden resultar inevitables,
esto no nos conduce necesariamente a la conclusin de que tambin lo sern sus efectos, pues eso
depender de cmo hayamos decidido gestionarlos.
Pongamos como ejemplo un caso extremo, el riesgo de sismo, el cual resulta inevitable poder
impedirlo, pero s est en nuestra capacidad de decisin el tipo de construccin que apliquemos a
las instalaciones de nuestra empresas a fin de minimizar los daos, como tambin lo sern los
seguros que podamos suscribir con los cuales compensar los perjuicios que finalmente hayamos
sufrido.
Por consiguiente, lo importante sern las medidas que adoptemos para gestionar, administrar o
minorar los riesgos que se puedan presentar.
Como acertadamente seal Suzanne Lagarbe, Jefa de Riesgos del Royal Bank of Canad: El
riesgo en s mismo no es malo; lo que es malo es que el riesgo est mal administrado, mal
interpretado, mal calculado, o lo que es lo mismo, que no est bien comprendido.
En el pasado: El monitoreo de los riesgos era una funcin secundaria adscrita a auditora
interna; ahora es una responsabilidad del mximo responsable ejecutivo, el CEO (Chief
Executive Officer)
Antes la gestin de riesgos solo contemplaba la parte negativa, actualmente tambin
debemos considerar las oportunidades que su presencia nos ofrezca.
Inicialmente el riesgo se trataba de forma aislada, hoy es un proceso integral.
El tratamiento de los riesgos estaba situado en los niveles bajos del organigrama,
actualmente la responsabilidad principal de su gestin corresponde a la alta direccin.
De medir los riesgos de forma subjetiva, hemos pasado incluso a modelos de cuantificacin
sofisticados empleando tcnicas economtricas complejas en algunos casos.
En el pasado, la gestin de los riesgos era intuitiva, y no estaba estructurada y
procedimentada; hoy en da s.
www.auditool.org
Auditora Interna debe identificar reas de alto riesgo inherente, alto riesgo residual y los
sistemas de control claves en los que se sustenta la Organizacin.
Si se identifican reas de riesgo residuales inaceptables, el Director de Auditora Interna
debe notificarlo.
Auditora Interna analizar la adecuacin y eficacia de los sistemas de control y ofrecer
seguridad razonable de que los controles funcionan y que los riesgos son gestionados de
manera efectiva.
En tanto que el Consejo para la Prctica 2120-1 establece la conveniencia de que Auditora Interna
evale la adecuacin de los procesos de Gestin de Riesgos, es decir si la forma en que la empresa
se pronuncia en lo que se refiere al modelo de gestin/administracin de los riesgos empresariales
es el adecuado, o lo est enfocando equivocadamente, aconsejando, a partir de ah, los cambios
que sean pertinentes. Puesto que:
Una adecuada planificacin del trabajo que se estime pertinente deba ser desarrollado por la Unidad
de Auditora Interna, conlleva una serie de importantes ventajas, de las que destacaramos:
www.auditool.org
O lo que es lo mismo, posibilitando conseguir una eficiente labor auditora, pues estaramos
enfocando la actividad exclusivamente en los aspectos significativos, abandonando aquellos otros
que no sean objetivamente susceptibles de anlisis.
Citaremos como ejemplo lo regulado por la Superintendencia de Banca y Seguros Peruana (SBS),
lo cual obviamente slo tendr aplicacin en las entidades del sector financiero que desarrollen su
actividad en ese pas, pero entendemos que lo recogido en su circular n 37 del ao 2008, puede
considerarse como una buena prctica, la cual creemos conveniente compartir. En forma resumida
lo legislado se refiere a:
1) Es objetivo de la Superintendencia que las empresas supervisadas cuenten con una Gestin
Integral de Riesgos adecuada a su tamao y a la complejidad de sus operaciones y servicios.
2) Dichas empresas debern establecer los sistemas apropiados que faciliten la oportuna
denuncia e investigacin de actividades ilcitas o fraudulentas, identificadas por cualquier
trabajador o persona que interacte con ellas (Canal de denuncias).
3) Es responsabilidad del Directorio conocer los principales riesgos afrontados por la entidad,
estableciendo adecuados niveles de tolerancia y apetito al riesgo (Toma de decisin).
4) La Gerencia General tiene la responsabilidad de implementar la Gestin Integral de Riesgos
conforme a las disposiciones del Directorio.
5) Resultar obligatoria la constitucin de un Comit de Auditora y un Comit de Riesgos.
Las responsabilidades que, de acuerdo con lo regulado por la Superintendencia peruana, han de
asumir los distintos rganos de gestin y de control con los que deben contar las instituciones
financieras afectadas. Seran:
Comit de Riesgos (al menos uno de sus miembros ha de provenir del Directorio):
En tanto que el Comit de Auditora (mnimo tres miembros del Directorio, uno de ellos
independiente), debe:
www.auditool.org
Responsabilidades
Directorio: Responsable de definir el proceso de Gestin Integral de Riesgos, as como de propiciar
un ambiente interno adecuado y de aprobar los recursos necesarios para ello.
Gerencia General: Encargada de implementar la Gestin Integral de Riesgos conforme a las
disposiciones del Directorio. Podr constituir Comits para el cumplimiento de sus
responsabilidades.
www.auditool.org
De todos ellos, quizs, el que tiene un mayor reconocimiento es el denominado COSO II (ERM por
sus siglas en ingls), siendo por ello en el que nos vamos a apoyar, dado que, por otra parte, las
diferencias metodolgicas no son tan importantes como para que lo dicho con base a COSO, sea
invalidado por los otros protocolos.
Por nuestra parte destacaramos, aparte de Basilea, Solvencia, SOX, los siguientes:
COSO II
www.auditool.org
La principal es que todas las entidades, con o sin fines de lucro, existen para crear valor a
sus grupos de inters.
Todas ellas enfrentan incertidumbres.
Las incertidumbres provienen de fuentes internas y externas, y stas se pueden presentar
como un riesgo o una oportunidad, con el potencial de destruir o generar valor,
respectivamente.
La gestin de riesgos corporativos permite manejar esas incertidumbres, su riesgo u
oportunidad asociada y, en consecuencia, incrementar la capacidad de crear valor.
La INCERTIDUMBRE equivale a DUDA o INSEGURIDAD.
El problema es saber cunta incertidumbre estamos dispuestos a aceptar?
Un proceso continuo. Un medio para alcanzar un fin (los objetivos empresariales), no un fin
en s mismo.
Efectuado por todo el personal de la empresa en todos sus niveles.
Aplicado a partir de la definicin de la estrategia.
Desarrollado a lo largo de toda la organizacin (en cada nivel y unidad).
Diseado para identificar eventos potenciales y gestionar riesgos dentro del entorno del
apetito al riesgo.
Proveedor de seguridad razonable del logro de los objetivos: Estratgicos, Operacionales,
Reporte y Cumplimiento.
Y lo que quizs sea lo ms importante: ES UN TRABAJO DE EQUIPO
En este slide exponemos las dos representaciones de COSO, la denominada COSO I y COSO II, no
para desarrollar los conceptos que subyacen en ellas, sino solo para dejar constancia de que cuando
estemos refirindonos al modelo de gestin de riesgos empresariales, tambin estamos hablando
del Marco relativo al Control Interno, ya que este est inmerso en el anterior.
www.auditool.org
Incrementa la capacidad objetiva para asumir los riesgos necesarios para ayudar a crear
valor.
Aporta claridad a la toma de decisiones y solvencia a las operaciones.
Mejora el seguimiento del desempeo.
Apoya el establecimiento de procedimientos de gobierno consistentes.
Refuerza la reputacin.
Pudiendo concluir: Que lo complicado es hacer las cosas sencillas, por lo que se convierte en nuestro
objetivo.
www.auditool.org
10
www.auditool.org
Posteriormente para poder cuantificar la importancia del riesgo debemos multiplicar el valor asignado
a la probabilidad por el valor asignado al impacto estimado.
En el ejemplo expuesto, los valores obtenidos seran: 9, 6, 4, 3, 2, 1. Pudiendo establecer que el
resultado 1 y 2 corresponde con un riesgo tolerable, los valores 3 y 4 con un riesgo moderado, el
valor 6 representara una alta amenaza, mientras que la combinacin que conduzca al 9 sera un
riesgo crtico.
11
www.auditool.org
Es cierto que estos hechos diferenciales podran determinar las caractersticas del riesgo con el que
estemos trabajando, derivndose de ello los controles apropiados para combatirlos; pero esto no es
ninguna novedad pues representa la forma que operamos en forma genrica con los riesgos, ya que
los controles no solo se establecen en funcin del impacto y de la probabilidad de ocurrencia, sino
tambin con base al resto de circunstancias que rodean los distintos factores de riesgo que puedan
afectar a nuestros objetivos. Como ya iremos viendo.
Partiendo de lo anterior, y adicional a la interrelacin entre los dos COSOs, (COSO I y COSO-ERM),
tambin se tienen los conceptos incluidos en el documento Risk Assessment in Practice Thought
Paper del 26 de Octubre del ao 2012, en el que se incluye el elemento de la velocidad de ocurrencia,
as como el de vulnerabilidad, cuyo concepto lo define el diccionario de la legua espaola como la
incapacidad de resistencia cuando se presenta un fenmeno amenazante, o la incapacidad para
reponerse despus de que haya ocurrido un desastre.
12
www.auditool.org
La enorme complicacin que en el momento de evaluar los riesgos se derivar de los cambios
propuestos, y sobre todo por la dificultad que supondra en la elaboracin de los mapas de riesgos,
nos hacen reconsiderar la conveniencia de aplicarlos en lo que resta del curso, por lo que coincidimos
con nuestra amiga Mafalda y, de momento, los dejaremos aparcados, aunque ms adelante
volveremos a tratarlos y exponer nuestra propia opinin respecto de estos nuevos atributos, pues
hemos de sealar que no sern ignorados
La gama de riesgos que pueden afectar al normal desenvolvimiento de los negocios es muy amplia,
como podemos observar en el Slide, en el que hemos incorporado los que podramos considerar
ms habituales, agrupndolos por caractersticas, tales como: Tcnicas, Operativos, Recursos
humanos, Tecnolgicos, Control Interno, Naturales,
13
www.auditool.org
Debiendo sealar que no hay un modelo nico, ni recomendable a ser aplicado en las
Organizaciones empresariales, pues el ms idneo ser aquel que contenga aquellos que puedan
presentarse habitualmente en el desarrollo de la actividad.
En el ejemplo que estamos describiendo, extraamos, por ejemplo, los riesgos reputacionales, los
medioambientales y los financieros contables.
La identificacin de las posibles amenazas es bsica para una adecuada gestin de las mismas,
debiendo analizar con sumo cuidado cules son estas, pero intentando no desagregar en exceso,
puesto que trabajar con un modelo de riesgos excesivamente pormenorizado complicar su
aplicacin. En nuestra opinin no debiramos trabajar inicialmente con un portafolio que supere los
50 o 60 riesgos.
En cualquier caso, recordemos que los modelos de gestin de riesgos tipo ERM tambin consideran
las oportunidades, es decir aquellas circunstancias que pueden afectar favorablemente al logro de
los objetivos. Sera, por ejemplo el viento en un vuelo transocenico de Europa a Amrica, en cuyo
caso es un riesgo pues disminuye la velocidad del avin, y har que se consuma ms combustible,
pero si el itinerario es el inverso, de Amrica a Europa, es un efecto favorable, pues al incidir sobre
la cola de la aeronave aumentar su velocidad. Siendo esta la razn por los que los vuelos en este
sentido, Amrica- Europa, duran menos que los del sentido contrario.
14
www.auditool.org
15
www.auditool.org
Por ejemplo: en el riesgo de accidente en carretera existen muchas posible causas que los pueden
provocar: mal estado de la carretera o de las ruedas, exceso de velocidad, la falta de pericia del
conductor, etctera. Que son los aspectos sobre los que habr que incidir para controlar el riesgo de
accidente, al menos desde la perspectiva de la probabilidad de ocurrencia.
En la reproduccin de la informacin recogida en la prensa respecto de la cronologa de los hechos
que concurrieron en el accidente de hace unos aos en un vuelo de Air France en el Ocano
Atlntico, podemos leer la sucesin de acontecimientos en la parte izquierda del Slide, mientras que
en la parte derecha podemos ver los factores de riesgos que se pudieron observar, y que no fueron
debidamente gestionados.
16
www.auditool.org
Lo importante es entender que un riesgo, en este caso el de accidente del avin, normalmente tiene
ms de un factor o causa que lo materialice.
Los modelos de gestin de riesgos empresariales manejan una serie de conceptos que ya hemos
enumerado en algunos Slide anteriores, y que, para continuar, nos gustara que recordsemos.
17
Apetito al riesgo: Cuanta que se est dispuesto a asumir para realizar la misin, al ser
compatible con los objetivos.
Riesgo residual: Remanente despus de que se hayan llevado a cabo las acciones para
modificar la probabilidad y/o el impacto de un riesgo.
www.auditool.org
Si recordamos los riesgos se evalan con base a dos atributos, el impacto (el dao producido) y la
probabilidad de que este ocurra.
En el caso de la foto, no apreciamos nada que pueda conducirnos a una menor probabilidad de una
deflagracin, salvo que ninguno de los dos operarios est fumando, ni se manipulan los bidones
cerca de ninguna fuente de energa, por lo que la posibilidad de que ocurra el accidente no estara
alterada. Pero sin embargo, la dotacin que llevan estos operarios da la impresin de ser ignfuga,
por lo que si algn bidn se incendia, las consecuencias de las quemaduras que pueden sufrir sern
menos importantes que si no llevaran esa proteccin. El control impuesto a la operacin est
incidiendo en el IMPACTO. En el mismo sentido puede apreciarse que ambos llevan guantes y
calzado apropiado, lo que mitigara las consecuencias de una cada del bidn.
Recordemos que COSO II seala respecto a las actividades de control, que son:
Las polticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la
direccin a los riesgos
Las respuestas a los riesgos pueden ser de varios tipos: las que los evitan, las que los mitigan, las
que los comparten, pero tambin la de aceptarlos.
18
www.auditool.org
19
www.auditool.org
20
www.auditool.org
Podramos contestar que son controles manuales y de tipo correctivos, incidiendo sobre el impacto,
no sobre la probabilidad de ocurrencia; lo cual sera correcto, pero lo que de verdad calificara al
control empleado, es la de ser INEFICAZ, pues la rotura de los huevos es prcticamente segura.
Mapas de Riesgos
Los mapas de riesgos son la representacin grfica de la probabilidad e impacto estimada de los
riesgos. Pueden adoptar la forma de mapas de color o diagramas de proceso que trazan
estimaciones cuantitativas o cualitativas de la probabilidad e impacto de cada uno de los riesgos.
21
www.auditool.org
Esta evaluacin, como ya hemos comentado, puede hacerse a travs de mtodos cuantitativos o
cualitativos; si bien en los momentos iniciales de implementacin de los Sistemas de Gestin de
Riesgos lo habitual es el empleo de mtodos cualitativos, ya que no requieren disponer de
importantes volmenes de datos, y son intuitivos y de fcil estimacin, aunque no disponen de una
gran precisin, lo cual no es ningn inconveniente para recomendar su empleo.
22
www.auditool.org
Asignando a cada uno de estos cinco niveles un valor numrico representativo de su grado de
impacto o probabilidad, el valor 5 para los niveles ms significativos, en tanto que el 1 es para los
ms bajos, por lo cual tendramos las siguientes posibilidades:
Probabilidad
Impacto
Casi certeza 5
Catastrficas 5
Probable.. 4
Mayores 4
Moderado 3
Moderadas... 3
23
www.auditool.org
Menores 2
Muy Improbable. 1
Insignificantes.. 1
Multiplicando los valores asignados a cada uno de estos elementos obtendremos la importancia
estimada de cada riesgo en funcin de la estimacin de cada uno de sus elementos.
Obtenida la evaluacin de cada uno de los dos atributos de los distintos riesgos que hayamos
considerado pueden afectar a los procesos que estemos gestionando, la ubicacin de dichos riesgos
en unas coordenadas cartesianas nos permitir visualizar la representacin grfica de los riesgos en
su correspondiente mapa, as:
Pero invitemos a Mafalda a que nos comente su opinin sobre la oportunidad de ampliar los atributos
que debemos evaluar para tener una idea rigurosa del tipo de riesgo que nos pueden amenazar, ya
que algunos expertos se inclinan en incorporar los correspondientes a la velocidad de ocurrencia, la
persistencia y la vulnerabilidad.
Empecemos por la velocidad. Es cierto que la velocidad de ocurrencia influye en la tipologa del
riesgo que estemos analizando. Un incendio, un sismo, una tormenta con granizo, un atraco,
etctera, son ejemplos claros de situaciones que, de producirse, se manifiestan con gran rapidez, y
que es un aspecto independiente a la probabilidad de ocurrencia, pero no del impacto, pues la
capacidad de reaccin de que dispongamos determinar en gran medida el dao finalmente
producido, por ello s consideramos oportuno tener en consideracin esta caracterstica de los
riesgos, pero fundamentalmente para determinar los controles especficos que en cada caso
corresponda. En el ejemplo del incendio, instalando circuitos cortafuegos de actuacin automtica;
en la tormenta por granizo protegiendo las cosechas con toldos y en los atracos protegiendo nuestras
instalaciones con cristales blindados, o con dispositivos de apertura de las cajas fuertes, o alarmas.
24
www.auditool.org
Todos estos aspectos deben ser tenidos en consideracin al momento de determinar el tipo
de controles que debemos aplicar en cada caso, puesto que estarn determinado el impacto
o la probabilidad, pero sobre todo la empleabilidad del control seleccionado.
25
www.auditool.org
26
www.auditool.org
En una encuesta realizada por el Institute of Internal Auditors, se observa que en la actualidad, el
papel prioritario asumido por las Unidades de Auditora Interna en el proceso de la gestin de riesgos
es: el de proveer de orientaciones pertinentes a las organizaciones sobre la forma adecuada de
gestionarlos (77%), seguido de involucrarse en la formacin del proceso de gestin de riesgos (48%),
y en tercer lugar en la participacin en la implementacin del programa de gestin de riesgos (45%).
Pudiendo apreciarse que, entre las expectativas respecto a la actividad que se espera desarrollen
las Unidades de Auditora Interna, se encuentra la de proveer aseguramiento independiente sobre la
gestin de riesgos; que es exactamente el rol que nos debe corresponder, una vez que el proceso
de gestin de riesgos est ya funcionando en la organizacin.
Ya hemos comentado que el proceso de gestin de riesgos es un proceso de mejora continua, pero
tambin de implementacin progresiva, en cuyo caso el rol a desempear por las Unidades de
Auditora Interna depender del grado de desarrollo que tenga dicho proceso, que como se
observar por lo indicado en el slide, en las primeras fases predomina la funcin consultora, en tanto
que en las fases de consolidacin se acta en el mbito del aseguramiento.
27
www.auditool.org
28
www.auditool.org
Despus se han de identificar los acontecimientos que, de una forma positiva o negativa, puedan
afectar a la consecucin de las metas empresariales, evaluando su importancia, definiendo el apetito
al riesgo que en cada caso corresponda, comparndolo con los niveles de los riesgos residuales que
entendamos existen. De la diferencia que nos encontremos con la tolerancia al riesgo que hayamos
establecido, se deben adoptar las medidas correctoras que procedan, concretando los controles que
haya que implantar, para por ltimo, y con una participacin amplia de Auditora Interna, realizar una
supervisin de la eficacia del modelo implantado.
Mdulo 2
Finalizada la fase descriptiva del curso con la que compartir y difundir los aspectos tericos que
definen el Marco COSO sobre gestin de riesgos empresariales, debemos avanzar en el
correspondiente a la forma en la que las Organizaciones debemos actuar para implementarlo, a cuyo
objetivo vamos a dedicar el presente mdulo.
La secuencia que vamos a desarrollar entendemos debe ajustarse a la descripcin de los siguientes
apartados:
29
Cul sera una hoja de ruta adecuada para aplicar un proceso de ERM en las
organizaciones?
www.auditool.org
Conclusiones.
En forma similar a cuando iniciamos un viaje, que debemos planificarlo adecuadamente, no solo
eligiendo y reservando el hotel donde nos hospedemos, el medio de transporte a emplear etc., sino
tambin los sitios que vayamos a visitar, y sobre todo el equipaje que debamos llevar, ni mucho, ni
poco, lo esencial, lo que nos permita cubrir nuestras necesidades sin agobios de ningn tipo.
Este esquema de funcionamiento es plenamente vlido tambin para el proceso de gestin de
riesgos, ya que debemos estructurarlo con los objetivos que queramos alcanzar de forma muy clara,
incidiendo en lo verdaderamente importante, sin olvidar que estamos ante un proceso de mejora
progresiva, y que no es aconsejable intentar alcanzar resultados muy ambiciosos en las primeras
etapas de su implementacin. Por ello, las fases que debemos planificar previamente al inicio del
proyecto deberan atender a los siguientes principios:
1. Centrarnos en los principales objetivos perseguibles con las actividades y circunstancias
de la empresa.
2. Adoptar un enfoque para el control interno basado en los riesgos relevantes.
3. Racionalizando la documentacin.
4. Contemplando el Control Interno como un proceso integrado.
Si actuamos de esta manera, y si los recursos que hayan sido habilitados son los adecuados,
podremos tener una seguridad razonable de que tendremos una implementacin exitosa. Para ello
no debemos lanzarnos sin haber definido el plan de actuacin, fijando los objetivos a conseguir. Las
improvisaciones deben quedar fuera de nuestra forma de trabajar.
Este consejo viene avalado por las mltiples experiencias que nos aporta la identificacin de las
razones que justifican los fracasos de algunas estrategias y de los proyectos, como veremos a
continuacin.
El 85% de los equipos directivos dedican menos de una hora mensual a discutir las
estrategias.
El 75% de las empresas no tienen incentivos relacionados con la estrategia.
El 60% de las empresas no vincula los presupuestos a las estrategias.
Solo el 5% de los empleados conoce y comprende la estrategia vigente en cada momento.
Siendo esto as, podemos concluir que las estrategias empresariales pueden fracasar por varios
motivos, pero destacaran los correspondientes a:
30
Falta de compromiso real de los directivos a conocer, desarrollar y ejecutar la estrategia que
se haya definido.
La estrategia no es comunicada adecuadamente a todos los niveles de la organizacin. Los
medios-presupuestos- asociados a las estrategias no son coherentes con las actuaciones
que deban realizarse.
Los ejecutivos no se encuentran vinculados con la consecucin de las metas establecidas
en las nuevas estrategias.
www.auditool.org
31
www.auditool.org
La Norma. 1130 A 2, seala que:Las funciones de aseguramiento para funciones por las
cuales el Director de Auditora Interna tiene responsabilidades deben ser supervisadas por
alguien fuera de la actividad de auditora interna
Distanciarnos por tanto de la determinacin del apetito al riesgo y de cualquier decisin
gerencial.
Pero esta exigencia para no entrar en contradiccin con la regulacin de la actividad auditora
recogida en el Marco Internacional para la Para la Prctica Profesional de la Auditora Interna, no es
bice para que podamos asesorar a la Organizacin en los momentos iniciales en los que se est
analizando y decidiendo el modelo a aplicar, e incluso en la implantacin del mismo, pero siendo
conscientes de que, una vez puesto en marcha el proceso, debemos dar un paso atrs y asumir
exclusivamente las funciones que no comprometan la funcin de auditora.
32
www.auditool.org
Esta duda no tendra mayor importancia si la correlacin entre los riesgos y los procesos fuese
biunvoca, es decir cuando la correspondencia matemtica que asocia cada elemento de un conjunto
con uno, y solo uno, de los elementos de otro conjunto, y cada elemento de este ltimo con uno, y
solo uno, de los elementos de aquel. Es decir, a cada riesgo le correspondera un solo proceso, y a
cada proceso solo el mismo riesgo, lo cual es obvio que no refleja la situacin en la que nos
encontramos, ya que en un proceso puede haber varias amenazas, y las distintas amenazas pueden
materializarse en mltiples procesos.
Basndonos en la teora de conjuntos, podremos sealar que la relacin entre riesgos y procesos es
unvoca, es decir que a cada riesgo o proceso le corresponden varios procesos o riesgos,
respectivamente.
33
www.auditool.org
De acuerdo con esta realidad, cuando levantamos los mapas de riesgos inherentes, es decir aquellos
que se pueden presentar sin haber adoptado ninguna medida de control, la posicin de estos riesgos
en el mapa nos permitir observar la importancia de los diferentes riesgos potenciales en la
actividad empresarial globalmente considerada.
Sin embargo, cuando pasemos de los riesgos inherentes a los residuales, es decir aquellos que
resultan despus de haber aplicado las medidas de control, ya no es posible referirse a ellos de
forma abstracta, pues debemos considerar los controles que en cada caso (en cada proceso
operativo), hayamos establecido. Los riesgos residuales seguirn siendo significativos segn sean
los controles que hayamos aplicado, es decir son una variable cuya importancia depender de las
medidas de correccin establecidas, mientras que si miramos a los procesos su importancia relativa
nos encontramos con que es una magnitud que permanece estable.
Por ello, y desde nuestro punto de vista, sugerimos empezar a trabajar con la jerarquizacin de los
procesos, y despus identificar los riesgos que en cada uno de ellos puedan amenazarlos.
De acuerdo con nuestra experiencia, una forma con altas posibilidades de conseguir la implantacin
en un perodo de tiempo razonable, y con unos costos asociados no excesivos, podra ajustarse a
los pasos que describimos tanto en este slide y en los posteriores, y que iremos analizando caso a
caso. Todos ellos relacionados con la siguiente hoja de ruta, de la que citamos sus ocho primeros
pasos:
34
www.auditool.org
35
www.auditool.org
En el modelo de riesgos observaremos que estos estn divididos en tres grandes grupos: los
operacionales, los de informacin para la toma de las decisiones y los del entorno; los cuales, a su
vez, se identifican con la especialidad de auditora interna que debe asumir su supervisin, aclarando
que denominamos INSPECCIN, a lo que actualmente se identifica con la Auditora Forense.
En lnea con lo expresado anteriormente de no inundarnos de procesos, la multinacional que nos
sirve de ejemplo, emple en su modelo a un dgito solo 10 procesos, desarrollndose posteriormente
a dos dgitos, obtenindose la relacin que recoge el siguiente Slide.
36
www.auditool.org
El modelo, ahora a dos dgitos, se abre en 35 subprocesos, los cuales podran, cuando se precisara,
desarrollar incluso a tres dgitos, con la finalidad de identificar con claridad al responsable de
gestionarlo/administrarlo.
Pero recordemos que no es recomendable desagregar en exceso, hagmoslo solo hasta que
podamos identificar a un nico responsable en el desarrollo o funcionamiento de las distintas
actividades evaluadas.
37
www.auditool.org
Pero surge aqu una primera pregunta, este ejercicio hay que hacerlo sobre la totalidad de los
procesos, o solo sobre una seleccin de ellos?. La respuesta es clara, solo sobre los ms
trascendentes en el logro de las metas de la Organizacin. Recurdese que en su momento
habamos comentado la conveniencia de no actuar ms que 10 o 15 procesos o subprocesos.
Pongamos un ejemplo para aclarar lo razonable de esta forma de proceder: Pensemos en el riesgo
de fraude interno, amenaza que obviamente se puede presentar en muchos de los subprocesos
establecidos, entre ellos, como resulta evidente, en los de gestin de comisiones y en el de cuentas
a pagar.
En ambos casos el riesgo existe, pero si las comisiones anualmente alcanzan normalmente los 0,7
millones de euros, y las cuentas a cobrar, pongamos por ejemplo, 65 millones de euros, es obvio
pensar que ser mucho ms crtico el proceso de cuentas a cobrar en la consecucin de los objetivos
estratgicos, que el proceso de comisiones, por lo que, si hemos de decantarnos por su criticidad,
nos deberamos inclinar por el de cuentas por cobrar, ya que el de comisiones no tendr una
incidencia similar en los objetivos de la Organizacin.
La secuencia del trabajo realizado se puede resumir de la siguiente manera:
Primero: identificar los procesos/subprocesos ms significativos.
Segundo: determinar las amenazas que puedan incidir en el normal desarrollo de estos procesos.
38
www.auditool.org
39
www.auditool.org
Es evidente que el xito del proceso estar condicionado a la bondad de la identificacin de los
riesgos que incidan sobre los procesos de la Organizacin, pudiendo sealar que existen diversas
formas de hacerlo. Lo ms adecuado no es decantarnos solo por una de ellas, sino por una
combinacin de las ms significativas.
En el Slide hemos recogido una serie de las ms habituales, aparte del anlisis individualizado de
los procesos
40
Brainstorming
Entrevistas con los gestores
Workshops
Comparacin con otras Organizaciones
Encuestas y cuestionarios.
www.auditool.org
Tambin puede resultar muy til medir la frecuencia de la aparicin de los FACTORES, ya que estos
son, individualmente considerados, los desencadenantes de los riesgos y los que deben determinar
los controles a aplicar.
Con anterioridad ya hemos reproducido la secuencia de los hechos ocurridos en el accidente de Air
France. Permtasenos que volvamos a emplearla, puesto que entendemos que es un ejemplo
paradigmtico que nos sirve para ilustrar lo que ocurre cuando un riesgo se materializa, y es que
este nunca es consecuencia de un solo factor, sino por acumulacin de factores. En este caso los
que aparecen en la parte derecha del Slide.
41
www.auditool.org
Posiblemente de haberse roto la cadena secuencial que se seala, el accidente muy probablemente
se habra evitado.
En cuanto al impacto, al igual que anteriormente hemos descendido hasta conocer todos los factores
que pueden ocasionar los riesgos, evaluando la probabilidad de ocurrencia de cada uno de esos
eventos, en el caso de la evaluacin de los impactos, hemos de tener claro tambin cules sern las
repercusiones negativas de todo tipo que puedan originarse como consecuencia de la
materializacin del riesgo.
Sirva de ejemplo el crack de BANKIA, una de las cajas de ahorro ms importantes del sistema
financiero espaol, cuyo agujero requiri un respaldo del Estado que asciende ya a ms de 33.000
millones de euros desde el inicio de la crisis financiera en el ao 2008. Cantidad que es solo una
parte del impacto del riesgo de su mala gestin, pues a esos millones habra que aadir la perdida
de reputacin, la cada en la Bolsa de la accin, cuyo valor nominal ha pasado de 2 euros a la
estimacin realizada por el Fondo de Reestructuracin Ordenada Bancaria (FROB) que ha valorado
cada accin de Bankia en 0,01 euros de cara a establecer el precio de canje de sus preferentes y
bonos convertibles en nuevas acciones, dentro del plan de saneamiento y recapitalizacin aprobado
por las autoridades de Espaa y la Unin Europea.
Por todo ello, cuando estemos ante la evaluacin de los impactos deberemos:
Identificar y cuantificar los diferentes daos y/o consecuencias que pudieran producirse de
materializarse los distintos riesgos, en los diferentes aspectos afectados:
a) Econmicos.
b) Reputacionales.
42
www.auditool.org
La secuencia entendemos que ha podido quedar clara: las amenazas son consecuencia de los
factores de riesgo, en tanto que los impactos son el resultado de los efectos negativos producidos al
materializarse los riesgos. Actuar sobre ambos dos, probabilidad de ocurrencia e impacto, es la forma
adecuada de administrar dichas amenazas, y ello se consigue a travs de los controles, que son las
medidas adoptadas por las organizaciones para incidir sobre estos dos atributos de los riesgos.
Los factores de riesgo son el posible origen de los mismos, los cuales una vez materializados,
producen determinadas consecuencias, que son los efectos derivados de los riesgos, que es el
aspecto que debemos cuantificar.
Tanto los factores de riesgos, como las consecuencias suelen ser mltiples y variadas.
Veamos cmo cuantificar los impactos de los riesgos. Recordemos que en un principio
recomendamos trabajar con tcnicas cualitativas, empleando el modelo de medicin por ratios. La
misma escala, 0 a 10, segn el nivel de importancia del dao.
Una vez identificadas las distintas repercusiones de todo tipo que pudieran producirse:
Econmicas, reputacionales, laborales, medioambientales, y fijada la escala de ponderacin de la
importancia de los efectos negativos, en el ejemplo que vamos a desarrollar es de 0 a 10, debemos
establecer el ranking del nivel en el que pueden situarse cada uno de distintos efectos negativos
previstos (leves, moderados, importantes, crticos o extremos, por ejemplo), asignndole a cada
nivel, segn el convenio establecido un peso entre el 1 (el mnimo) y el 10 (el mximo) de acuerdo
con la severidad que estimamos pueda ocasionarse.
43
www.auditool.org
44
www.auditool.org
45
www.auditool.org
Si el Gobierno espaol gestionara sus polticas con base a riesgos, sera lgico pensar que este
ranking se tuviera en consideracin, pero hay algo que no cuadra, cmo es que siendo la vivienda
el 2 problema de los espaoles, esa situacin coexista con un stock de viviendas sin ocupar en
estos momentos de ms de 3.000.000 de unidades? Mejor no buscar la respuesta, limitndonos a
concluir que el Gobierno no acta de acuerdo a un sistema de gestin de riesgos.
Hasta ahora nos hemos estado moviendo en el ambiente de los riesgos inherentes, pero ya hemos
dicho que esa es una posicin poco realista, pues es la que nos encontraramos sin haber tomado
medidas, debiendo por tanto avanzar y situarnos en el entorno de los riesgos residuales, para lo cual
hemos de considerar el efecto que, tanto en la probabilidad de ocurrencia como en la severidad
tendrn los controles existentes, con lo que ya podremos elaborar nuestro mapa de riesgos
residuales, debiendo a partir de ah comparar si los riesgos resultantes de nuestra evaluacin se
encuentran dentro de la tolerancia al riesgo que para cada uno de ellos se hubiese establecido, ya
que si existiese alguno que an estuviera fuera del entorno de aceptacin, esa situacin amerita un
posterior anlisis para determinar de qu nueva forma podemos reconducir dicho riesgo para situarlo
dentro de la zona de tolerancia.
46
www.auditool.org
Todas estas medidas tienen lgicamente un costo, que debe ser evaluado y comparado con los
riesgos que eliminan, que es lo que debemos evaluar.
Dependiendo de cul sea la efectividad de los controles que incorporemos en los procesos que
hayamos seleccionados como importantes, el resultado final ser diferente.
Situmonos en los dos extremos de la tabla de riesgos inherentes que aparecen en el slide, el ms
bajo arroja una puntuacin de 1, la ms reducida, mientras que el superior tiene una importancia de
25 (columna 5 por la izquierda).
47
www.auditool.org
Si esto ltimo nos sucediese cuando estemos gestionando riesgos podramos decir que el Remedio
cuesta ms que la enfermedad, por lo que debiramos pensarlo muy mucho antes de actuar de esa
manera, pues no debemos olvidar, como ya en otra ocasin hemos comentado, lo mejor siempre
es enemigo de lo bueno.
48
www.auditool.org
49
www.auditool.org
50
www.auditool.org
Tasks (future controls) =Tareas (control futuro) Tasks owner = Responsable de las tareas.
Due date = Fecha comprometida.
6. Efectividad de los controles de los riesgos.
7. Efecto sobre las consecuencias.
8. Efecto sobre la probabilidad.
9. Prioridad del riesgo.
10. Exposicin potencial.
11. Propietario del riesgo.
A riesgo de resultar reiterativos, no nos cansaremos de repetir que implantar un proceso de Gestin
de Riesgos Empresariales no es algo fcil de conseguir, que requiere un esfuerzo de coordinacin
importante y, adems, tiempo y pericia. Algo parecido a lo que sucede con la subida a una cima de
8.000 metros, que debe planificarse hasta sus ltimas consecuencias, debe desarrollarse por fases,
precisa de tiempo para alcanzar las metas y aprovechar el momento adecuado para intentarlo.
Quizs solo hay un punto de discrepancia, al comparar ambos proyectos, y es que al llegar a los
8.000 metros, el tiempo de permanencia en esa meta es el estrictamente necesario para hacerse las
fotos y bajar a la estacin base. Sin embargo, y puesto que en el ERM no hay prisas, disfrutemos de
los objetivos conseguidos y meditemos que hacemos a continuacin.
51
www.auditool.org
Los pasos a seguir para hacer un levantamiento de un proceso previamente seleccionado son:
52
www.auditool.org
Para una mejor capacitacin en la forma en la que deberemos actuar cuando estemos levantando e
interpretando las circunstancias que concurren en un proceso, respecto de los riesgos y los controles
que en l pueden presentarse, a la simbologa que antes hemos descrito para poder identificar cada
una de las actividades que se desarrollan en ellos, debemos aadir otros smbolos complementarios
que nos permitan identificar la existencia de riesgos y ,en su caso, los correspondientes controles.
Esta simbologa sera:
Tringulos amarillos: Identificativo de los riesgos. El nmero dentro del tringulo, ser
el nmero del riesgo asignado por la Organizacin a esa amenaza.
Crculos verdes: Identificacin de los controles que operan adecuadamente. El nmero
dentro del crculo, identifica al control especfico analizado
Crculos rojos con numeracin: Identificacin de controles que se consideran
insuficientes, o que no se estn aplicando correctamente. El nmero dentro del crculo,
identifica al control especfico analizado
Crculos rojos sin numeracin: Refleja una situacin a corregir, ya que debe
interpretarse como que no existe control implementado.
A ttulo de ejemplo, en el Slide hemos reproducido un subproceso de cuentas a pagar, en la que se
han situado los riesgos, los controles existentes y los no existentes.
53
www.auditool.org
54
www.auditool.org
55
www.auditool.org
Ya hemos escalado nuestro ejemplo particular de 8.000 metros o Himalaya, que era implementar un
proceso/Sistema de Gestin de Riesgos Empresariales ajustado a las caractersticas de nuestra
Organizacin, lo que nos permitir ir adoptando las decisiones empresariales que en cada caso se
requieran, gestionando adecuadamente los riesgos que se nos vayan presentando y que pudieran
impedir la consecucin de nuestro objetivos.
Si nos centramos en el Proceso de Auditora Interna, el riesgo que debemos evitar es el que nuestra
actividad no rena los requisitos precisos para alcanzar el nivel de calidad que nos ser requerida,
como podra suceder si la actividad a desarrollar no se circunscribiera sobre los aspectos relevantes
y significativos de la Organizacin, restando eficacia a los resultados obtenidos.
Para evitar este riesgo, lo que tenemos es que controlar adecuadamente el proceso de seleccin del
Plan de Auditora, haciendo que este sea el resultado de un proceso sistemtico y objetivo.
Mdulo 3
Para una adecuada exposicin de los aspectos a desarrollar en este mdulo, desglosaremos su
contenido en los siguientes apartados:
El Instituto de Auditores Internos y el Plan de Auditora. Integrantes.
Cmo disearlo. Aplicacin prctica.
Distintas forma de actuar segn exista, o no, un proceso ERM en la empresa.
Distinta ponderacin de sus componentes.
Trmite a seguir para su aprobacin.
Auditoras con base a riesgos.
Ejercicios prcticos y autoevaluacin.
56
www.auditool.org
57
www.auditool.org
58
www.auditool.org
Como resumen de la necesidad de que hemos de trabajar empleando un planteamiento holstico con
el que hacer ms eficiente nuestra actividad, me gustara reproducir las palabras de Rod Winters,
ex-Presidente del Instituto de Auditores Internos Global, el cual lleg a la conclusin de que Auditora
Interna debe hacer menos, lo ms importante, con menos recursos. Centrarnos en lo que sea
significativo y apoyndonos en la tecnologa como herramienta de trabajo, pues si bien sta comporta
riesgos, es incuestionable que tambin es una oportunidad con la que mejorar la eficiencia, la eficacia
y la calidad de nuestros trabajos.
Este planteamiento creo que lo podramos enunciar como la regla de los signos, aquella que nos
deca que menos por menos arroja un ms; es decir, si queremos ser eficientes, no solo eficaces,
debemos ser muy selectivos a la hora de decidir dnde aplicamos los recursos escasos de los que
vamos a disponer. No demos palos de ciego, vayamos a revisar lo que entendamos est con
dificultades.
Si somos capaces de actuar de esta manera, nuestros esfuerzos, los imprescindibles, deben
centrarse en lo verdaderamente significativo para la consecucin de los objetivos que preveamos no
estn en un nivel de aseguramiento ptimo.
59
www.auditool.org
60
www.auditool.org
Si observamos el desglose efectuado sobre los diferentes inputs que deben considerarse para
determinar la composicin del Plan de Auditora, veremos que el que ms se repite es el
correspondiente a la evaluacin de riesgos, bien la realizada por la propia Unidad de Auditora
Interna, como la que se reflejara, en su caso, en el Proyecto Corporativo de Gestin de Riesgos.
Con esta forma de actuar en la definicin de los contenidos y el alcance de los Planes de Auditora,
es evidente que no se incluirn en ellos la revisin de todos los procesos que intervengan en
desarrollo de la actividad empresarial, sino solo aquellos que, segn la criticidad o relevancia
derivada de la matriz riesgos/procesos se consideren, de acuerdo con su importancia en la
consecucin de los objetivos empresariales, estn en una situacin que aconseje su supervisin; as
como aquellas otras actividades que sean requeridas por la alta direccin y el Comit de Auditora.
As como tambin los trabajos de consultora que pudieran habrsenos solicitado por parte de las
distintas gerencias; los planes de formacin que entendamos oportuno desarrollar por los auditores
en el perodo considerado; el seguimiento de los planes de mejora y/o accin derivados de anteriores
trabajos de auditora; los programas de aseguramiento y mejora de la calidad a efectuar; etctera,
etctera, as hasta enumerar detalladamente TODAS las actuaciones que entendamos oportunas
para conseguir la seguridad razonable de la eficacia del modelo de control interno empleado en la
Organizacin.
61
www.auditool.org
Llegado a este punto creemos que ya podemos incidir en las dos premisas que han de regir la
actividad auditora:
(i)
Supervisar lo trascendente, es decir aquello que pueda afectar a los objetivos bsicos de la
organizacin y
(ii) Hacerlo de la manera ms eficiente posible.
Aspectos ambos que no debemos olvidar si pretendemos que la actividad aporte autntico valor a la
organizacin en la que trabajemos. Para ello.
Planifiquemos la actividad con base a:
Los objetivos estratgicos y los riesgos del negocio.
Los requerimientos y exigencias de los reguladores o supervisores.
Las exigencias normativas aplicables.
Todo lo anterior, procurando obtener la mxima eficacia de la funcin.
Tampoco debemos olvidar que, dado que las condiciones del entorno son cambiantes, los Planes de
Auditora que presentemos a aprobacin de la Comisin de Auditora deben ser flexibles, permitiendo
su actualizacin cuando las circunstancias lo requieran, lo que obligar a tener que reevaluar su
contenido con la mayor frecuencia posible, lo que, entendemos, desaconseja preparar Planes
plurianuales con el que cubrir todo el universo de auditora en un determinado espacio temporal,
pues difcilmente se podrn ejecutar, sobre todo en la parte que hayamos postergado para dentro
de uno o dos aos, ya que la actualizacin de lo que deberamos hacer, segn los datos de cada
momento, se ver modificado cuando volvamos a repetir el ejercicio de priorizar las actuaciones.
En este sentido,definir un Universo de Auditora que deba ser analizado ntegramente a lo largo de
un perodo plurianual (tres o cuatro aos), pensamos que es desaprovechar recursos, pues la
escasez de los mismos nos debera exigir focalizarnos, ao tras ao, en la revisin de los puntos
trascendentes, obviando aquellos que estn un nivel ms bajo.
62
www.auditool.org
63
www.auditool.org
64
www.auditool.org
65
www.auditool.org
De acuerdo con esta informacin, Auditora Interna debe hacer su propio anlisis sobre estas
estimaciones, identificando aquellas con las que pudiera estar de acuerdo, segn su conocimiento
del negocio y su experiencia, y con cules no.
Con las que comparta la opinin de los gestores, solo en los casos que resulte oportuno y
conveniente, deber analizar si las decisiones empresariales adoptadas en la administracin de los
distintos riesgos residuales son aplicadas y resultan lo eficaces que se estim en principio. Mientras
que para los casos en los que no se comparta la opinin de los gestores, o existan dudas respecto
de su eficacia, debera procederse a una verificacin de su verdadera utilidad y coherencia con los
objetivos perseguidos, incluyendo, en su caso, los procesos o subprocesos afectados en el borrador
del Plan.
En resumen, la actuacin de Auditora Interna debe centrase en las posibles discrepancias que
pudieran existir respecto de la estimacin de la importancia de los riesgos identificados dentro el
mapa global, es decir su verdadera posicin respecto del entorno de la tolerancia al riesgo,
analizando en detalle las razones que puedan existir para proponer modificaciones de la posicin del
riesgo, incluyendo tambin estas verificaciones en el borrador del plan de auditora, ya que seran
trabajos a efectuar supervisando si la eficacia de los controles permiten mantener el riesgo en la
posicin definida por los gestores o si deben adoptarse medidas correctoras complementarias.
Prosiguiendo con el proceso de gestin por parte de Auditora, y con independencia de las
verificaciones que debamos realizar referente a la adecuada evaluacin de los riesgos residuales, a
lo que ya nos hemos referido, lo que s debemos tener claro es que las tres zonas en las que
podemos dividir el mapa de riesgos demandarn a la organizacin de las respuestas adecuadas, tal
y como se describen en el slide, actuaciones que deben ser comprobadas y validadas por Auditora
Interna, ya que es la nica forma de supervisar adecuadamente si el proceso de gestin de riesgos
empleado es el correcto.
66
www.auditool.org
La primera pregunta que debe hacerse Auditora es si, para aquellos riesgos evaluados en la zona
de alto riesgo, las del cuadrante superior derecho, se han tomado las decisiones oportunas para
reconducirlos en forma conveniente, acercndolos hacia la zona prxima al apetito al riesgo
que en cada caso se hubiese definido.
67
www.auditool.org
68
www.auditool.org
Los procesos identificados como ms crticos, desde la perspectiva de Auditora Interna, podrn, o
no, coincidir con las conclusiones previas disponibles, radicando en su posible discrepancia la
utilidad de este ejercicio, pues permitir comparar las dos posiciones y actuar en consecuencia.
Este objetivo obligar a Auditora Interna a replicar el mismo modelo que podra haberse realizado
con anterioridad por los gestores, pero ahora dependiendo exclusivamente de su propia opinin, ya
que lo que se trata es de poder comparar las conclusiones obtenidas segn ambos modelos. Por
ello, partiendo de las perspectivas del negocio que determinen sus objetivos estratgicos, tanto
cualitativos como cuantitativos, deben relacionarse con los procesos operativos con los que se
desarrollen estas estrategias. Tal y como recoge el presente slide, en la que partiendo de los
objetivos estratgicos y de sus respectivas metas, se han asociado con los procesos en los que
descansarn dichas estrategias.
Progresando en la hoja de ruta que nos hemos marcado, ahora correspondera pasar a conocer los
factores que pueden afectar a los riesgos que hayamos observado y que se pueden producir al
desarrollar los procesos crticos.
La figura que recogemos en el slide, entendemos que es un ejemplo evidente de lo que debemos
buscar, pues en este caso el riesgo de accidente depender fundamentalmente de la agresividad del
conductor, que sera el factor ms determinante. En este caso el control de llevar los cinturones
puestos poco puede contrarrestar el peligro. Atendiendo a las 4 formas de combatir los riesgos, solo
habra una vlida, la de rechazarlo, bajndonos del coche.
69
www.auditool.org
Controles a implementar:
para
desvincular
al
personal
productos
terminados
Auditora Interna debe concluir es si est o no conforme con la nueva evaluacin de la criticidad del
proceso segn las medidas adoptadas, y, en cualquier caso, an faltara validar la eficacia de los
controles implementados, por lo que no debemos descartar incluir este proceso entre los que
deberamos supervisar en un futuro prximo.
Supongamos que la experiencia profesional de los auditores les hace concluir que la eficacia de los
controles es la que se indica seguidamente:
Cursos de formacin rpida Dudosa
Contratacin desarrollo de software..Eficaz
Negociacin con sindicatos Nula
Cursos de formacin in situ..........................Dudosa
Acuerdo agencias de transporte Razonable
70
www.auditool.org
Por ello, los procesos que den cabida a los riesgos: 4, 8 y 23, deben incluirse en el Plan de Auditora
para su revisin inmediata, pero tambin un porcentaje a determinar de los que se sitan en la franja
azul.
Ahora bien, cuando nos referimos a que debemos concebir el Plan de Auditora con base a riesgos,
no debe entenderse que sea solo la evaluacin de los riesgos la informacin que hemos de
considerar, puesto que existen tambin otros elementos que pueden aportarnos informacin muy
valiosa. Por este motivo, y de acuerdo con el ejemplo del presente slide, el Plan no solo incluir los
procesos correspondientes a los 3 riesgos extremos y a los 22 altos, sino tambin otros trabajos de
acuerdo con la ponderacin que finalmente asignemos a todos los datos que debemos considerar.
71
www.auditool.org
Hemos de sealar que no existe una nica mejor prctica que nos oriente definitivamente sobre los
inputs que deberamos emplear para determinar el contenido de los Planes de Auditora, pues eso
depender de muchas circunstancias, pero los que seguidamente citamos pueden perfectamente
formar parte de los aspectos que podran influir en la definicin de un Plan Auditor:
Ambiente general de control del proceso o del rea
Alteraciones del equipo de gestin o estructura
Redefinicin de los procesos o alteraciones/reconversin de los sistemas informacin
Resultados obtenidos en anteriores trabajos de auditora
Resultados del proceso de Gestin de Riesgos
Recomendaciones crticas pendientes
Existencia de procedimientos escritos
Juicio del auditor
Su ponderacin o peso, as como el nmero de tems a considerar, pueden variar y ajustarse a la
realidad de cada Organizacin. Lo que s entendemos conveniente que sea cual sea el modelo que
vayamos a emplear, que se exponga con claridad al Consejo de Administracin y a la alta direccin,
puesto que si ambos deben aprobar el Plan a acometer por Auditora, deben saber qu es lo que
estn aprobando, y cmo se ha concluido en l.
Si bien el ejemplo que se recoge en el slide anterior es totalmente didctico y diseado para poder
aclarar los conceptos que subyacen detrs de estas ponderaciones, el que aparece en la actual
pantalla por el contrario es real, y se ajusta al modelo empleado por una importante multinacional
espaola.
72
www.auditool.org
Identificados los trabajos que estimemos necesario realizar, hay que cuantificar: las horas necesarias
para realizarlos, as como las horas de formacin previstas, las de atencin a las consultoras
solicitadas, las precisas para la supervisin de los planes de accin asumidos, etc., comparndolas
con las disponibles. Situacin que debe sancionar el Directorio y la alta direccin.
Pero sin olvidar incluir, e identificar, las acciones que sern realizadas por los otros proveedores de
aseguramiento que vayamos a aprovechar.
73
www.auditool.org
Existen dos conceptos que no debemos confundir, disear el Plan de Auditora con base a riesgos
(Instituto de Auditores Internos), no es lo mismo que auditar con base a riesgos.
En el primer caso el objetivo es determinar qu es lo que debemos hacer.
En el segundo lo que se nos pide es que desarrollemos la actividad auditora supervisando
el control interno de la Organizacin a travs de la eficacia del Sistema de Gestin de
Riesgos existente.
Es la misma situacin con la que se suelen enfrentar los entrenadores de los equipos de futbol que
compiten con el Real Madrid, ganarle obliga a contrarrestar a Ronaldo (el qu hacer), el problema
est en cmo hacerlo.
74
www.auditool.org
Mdulo 4
75
www.auditool.org
Desarrollndose tiempo despus de que hayan tenido lugar las actividades auditadas.
Los procedimientos de evaluacin suelen basarse en un enfoque de muestreo e incluyen
actividades como la revisin de polticas, procedimientos, aprobaciones y conciliaciones.
Este enfoque puede limitar el beneficio del trabajo para ser de utilidad verdadera en el
rendimiento comercial o el cumplimiento de la normativa.
Aspectos que pueden ser superados a su vez a travs de dos diferentes modalidades de auditora,
las que se identifican como a distancia y/o la continua.
Cambiemos el espejo retrovisor por los prismticos !!
Si bien en algn contexto pueden confundirse los conceptos de auditora continua y el de auditora
a distancia, hemos de sealar que son dos conceptos distintos, pero complementarios, la auditora
a distancia es aquella que se realiza con base a un acceso a los datos sin necesidad de desplazarse
el auditor al lugar donde estos fsicamente se encuentran, mientras que la auditora continua es la
que supervisa los datos de forma permanente, sin que exista una periodicidad determinada para
hacerlo, pues podemos estar situados en perodos temporales de trimestres, bimestres, mensuales,
quincenales, semanales, diarios, ..
Si bien desde el punto de vista terico tanto una como otra no requieren inexcusablemente de apoyo
informtico para realizarlas, pues siempre habra la posibilidad de hacer llegar los datos va e-mail o
correo ordinario al puesto del trabajo del auditor, en la realidad estas modalidades, para ser
eficientes, e incluso eficaces, precisan de una adecuada informtica en el tratamiento y acceso a los
datos.
76
www.auditool.org
En este habitual comportamiento se refleja el proceso a seguir con las nuevas tcnicas de auditora,
pues hemos utilizado indicadores, la situacin observada en el cielo, hemos prevenido o estimado
con anticipacin el tiempo a lo largo del da y nos hemos recomendado incluir en el proceso de ir al
trabajo un control especfico, el paraguas, con el que minimizaremos el impacto de la lluvia, pudiendo
entrar en la oficina sin el traje empapado, que era el objetivo pretendido.
77
Para la Real Academia de la lengua espaola: indicador significa: dar a entender una cosa
con seales, gestos o palabras.
Segn la ISO 11620 es una expresin utilizada para describir actividades en trminos
cuantitativos y cualitativos con el fin de evaluarlas de acuerdo con un mtodo.
www.auditool.org
78
www.auditool.org
Sin embargo la pirmide de edad del ao 2010 se aleja mucho de una representacin similar a la
anterior, pero adems el porcentaje de los mayores de 65 aos duplica al existente en el 1950, con
la circunstancia aadida que la presencia de las mujeres de en el mercado laboral, si no igual a la
de varones, si algo mucho ms prxima.
Solo estos dos cambios, obviamente puede relacionarse con la viabilidad de las polticas de las
pensiones con cargo a la Seguridad Social, la que se nutre de las contribuciones de los trabajadores
activos.
Por ello:
Poco a poco nos estamos acercando al foco de nuestro objetivo, gestionar las auditoras mediante
KRIs, que sern los elementos en los que nos apoyaremos para monitorear o monitorizar los
procesos, en el sentido de observar el curso de uno o varios parmetros para detectar posibles
anomalas.
El propio Instituto de Auditores Internos ha dedicado su atencin a esta herramienta, habiendo
editado una Gua con la que expone sus conclusiones al respecto
Esta Gua lo que viene a aclarar es la relacin de la auditora permanente, la vigilancia continua y el
aseguramiento continuo, aclarando que es el monitoreo continuado, describindole como:
Proceso realizado por los responsables de la gestin para asegurar que las polticas y los procesos
operativos resultan eficaces y para evaluar la adecuacin y la eficacia de los controles.
79
www.auditool.org
Consideracin que es lo que pretenden representar los dos tringulos puestos en situacin invertida,
en el que diversas lneas transversales paralelas a la base del tringulo verde siempre tendrn la
misma magnitud, pero el segmento que est en el tringulo azul, el que corresponde al monitoreo
de los gestores, siempre determinar el segmento del rea auditora.
El Objetivo perseguido es el de: Mejorar la eficiencia de auditora interna.
Mediante la:
Priorizacin de las actividades del Plan Anual, orientndolas a los puntos de riesgo.
Aumentar el control efectivo y su percepcin por la organizacin.
Adelantar el momento de conocimiento de los hechos (oportunidad de las actuaciones).
Especializacin y normalizacin de actuaciones (best practices).
Reducir el costo de las actuaciones, liberando recursos para aportarlos a la mejora de los
procesos de las empresas y la cobertura por auditora de nuevos riesgos (estratgicos,
emergentes, etc.).
Salvo en el sistema bancario, las auditoras a distancia son un tema que est ms en la intencin
que en el quehacer habitual de las unidades de Auditora Interna.
Las entidades que han progresado, lo han hecho una vez homogeneizados sus procesos y sistemas.
80
www.auditool.org
En este ejemplo la gestin tiene como objetivo el lograr la mayor rentabilidad mediante el aumento
de los ingresos y disminuyendo los costos.
Se han identificado cuatro iniciativas estratgicas que son crticas para el cumplimiento de los
objetivos. Varios riesgos potenciales que han sido identificados pueden tener un impacto en uno o
ms de las cuatro iniciativas estratgicas claves.
La interrelacin de los principales riesgos a las principales iniciativas estratgicas pone a la gestin
en condiciones de comenzar a identificar los indicadores crticos que pueden servir como indicadores
clave de riesgo para ayudarles a supervisar la ejecucin del ncleo estratgico
Como se muestra en la slide, los KRIS se han definido para cada riesgo crtico. La asignacin de
KRIS a los riesgos crticos y bsicos con influencia a las estrategias reduce la probabilidad de que
la gestin se distraiga con otra informacin que puede ser menos relevante para el logro de los
objetivos de la empresa.
81
www.auditool.org
Analizando las causas que producen esta situacin, se observa que ello es debido a que las compras
de los productos que son necesarios para el proceso productivo, son habitualmente adquiridos a los
Proveedores de toda la vida, sin efectuar concursos para seleccionar las compras ms ventajosas.
82
www.auditool.org
Los Indicadores de riesgo clave, pueden clasificarse de varias maneras, pero una de las ms
significativas es si son ex-ante o expost.
Siendo ex-ante aquellos que se evidencian sin haberse producido an los eventos perjudiciales.
En tanto que ser ex-post los que se observan despus de haberse materializado.
El grfico que aparece en el Slide, nos permite seguir el proceso a emplear.
83
www.auditool.org
En primer lugar las reas debern identificar los riesgos que puedan afectar a los objetivos
perseguidos. Una vez conocidos estos, debemos emparejar estos riesgos con los indicadores
apropiados para cada uno de ellos.
Los KRI establecidos permitirn dos cosas, en primer lugar evidenciar si los controles estn
funcionando adecuadamente, y tambin si los eventos o causas que generan los riesgos se
estuviesen presentando.
En ambos casos los valores de los indicadores permitirn establecer los planes de accin con los
que reconducir la situacin.
Aunque ya lo hemos comentado, debemos insistir en que los KRI no estn auditando datos, solo lo
que hacen es aflorar situaciones que necesitan un anlisis posterior para determinar si nos
enfrentamos a una situacin anmala, que requiere una investigacin, o ante una situacin tpica del
proceso segn la estacionalidad del mismo.
Veamos lo que se aprecia en la Slide, como se puede observar en los meses de inicio y finales del
ejercicio, los das de baja del personal tiene sus mximas expresiones, lo que, en primer lugar, nos
permitir adoptar las medidas necesarias para requerir los apoyos coyunturales de recursos de esos
meses para que la produccin no se vea afectada. Es decir el KRI adopta una visin ex-ante.
84
www.auditool.org
Adicionalmente el KRI elegido, das de baja de los empleados, nos indica que en el mes de Julio ha
habido unas bajas por encima del nivel mximo de aos anteriores, lo que nos debera conducir al
anlisis de las causas, justificadas o no, que lo hayan producido.
Las nuevas tecnologas nos han permitido simplificar y optimizar nuestro trabajo, accediendo a los
datos sin tener que desplazarnos de nuestros puestos de trabajo, y adems en tiempo real, por lo
que hemos ganado en eficacia y en eficiencia. Metodologa de trabajo en la que los KRI ocupan un
lugar determnate.
El esquema bsico que debe guiar la actuacin es la siguiente:
1. De los procesos/riesgos seleccionados determinar sus indicadores.
2. Identificar datos disponibles en las aplicaciones. Programar su captura.
3. Para los que no estn en las aplicaciones, definir cuestionarios y fechas de recepcin;
estableciendo mtodos de comprobacin.
4. Definir pistas de auditora (rango de admisin de valores).
5. Analizar resultados y consultar causas de desviaciones ilgicas
6. Abrir auditora para los casos no justificados razonablemente.
7. Concluir sobre las causas reales que Justifican las desviaciones.
8. Proponer recomendaciones
Como consecuencia de la Ley Sarbanes-Oxley, que como sabemos es de aplicacin a las
sociedades cotizadas que gestionan sus acciones en la Bolsa de Nueva York, les es requerido que
deben aplicar un sistema de control interno de la informacin financiera, que permita garantizar que
la informacin que se distribuye a los mercados es la adecuada, estando exenta de errores
materiales, lo cual ha obligado a dichas sociedades a tener que supervisar el control interno aplicable
a este tipo de informacin, siendo frecuente el empleo de indicadores de riesgo que permitan opinar
sobre la coherencia, o no, de la evolucin de determinados indicadores previamente seleccionados.
Entre ellos los que se refieren a los siguientes epgrafes:
Fondos de Comercio
Cartera de Valores
Provisiones
85
www.auditool.org
Gastos
Ingresos
Insolvencias
Amortizacin y otras depreciaciones
Prstamos a filiales y asociadas
Operaciones intragrupo
Avales y Garantas
Derivados
Litigios y Otras Contingencias
Crditos Fiscales
Gastos e Ingresos Extraordinarios
La forma de aplicarse los indicadores, en este proceso o epgrafes, es muy similar a la que
describimos en el slide:
Actualizar las tablas en las que se recogen los datos de las magnitudes analizadas.
Determinar posibles situaciones que no son normales y que deban ser analizadas en detalle
para concluir si es una incidencia real o una situacin debida a alguna circunstancia atpica
que no comporta mayores complicaciones.
Analizar en detalle las causas que han producido la situacin irregular, identificando los
motivos que la han producido, aportndolas recomendaciones que permitan corregirla
Para poder actuar de la manera que hemos sealado anteriormente, debemos tener claro es el
margen de oscilacin tpico del indicador, el cual una vez superado debe ser analizado para
determinar las causas que lo han producido.
En el slide reproducimos las oscilaciones razonables de determinados epgrafes contables de una
multinacional espaola.
86
www.auditool.org
El modo de proceder con procesos operativos es similar a lo que hemos descrito para el proceso
contable, como podemos observar en el proceso de cuentas a pagar que refleja el ejemplo del Slide,
en el que se pretende supervisar el fraude que pudiera existir en el pago de facturas a los
proveedores.
87
www.auditool.org
Establecidos para cada uno de estos riesgos los indicadores que se consideren adecuados, la labor
de Auditora sera la de ver la evolucin de estos indicadores, identificando las situaciones
anmalas que pudieran presentarse, analizndolas y adoptando las medidas que en cada caso
correspondan.
Con independencia de los Indicadores de Riesgo de tipo cuantitativo, no debemos descartar el
empleo de indicadores de tipo cualitativos, como pueden ser los canales de denuncia o las banderas
rojas sobre el fraude, que nos permiten posicionarnos y actuar cuando existan indicios razonables
de situaciones dignas de anlisis. Por ello:
No los despreciemos
En este ltimo aspecto, las denominadas banderas rojas sobre el fraude pretenden alertarnos,
fundamentalmente, sobre comportamientos atpicos de los empleados que pueden encubrir actos
desleales, como podra suceder cuando concurran aspectos tales como:
88
www.auditool.org
89
www.auditool.org