Evaluacin de riesgos

COSO 1
El riesgo y los objetivos de la organizacin
El establecimiento de los objetivos de la empresa, es una condicin previa a la evaluacin de los
riesgos.
La direccin debe fijar primero los objetivos, y luego determinar cules sern los riesgos que
pueden afectar su consecucin para poder tomar las medidas que se consideren oportunas.
Objetivos
Puede ser formales o informales, pueden ser explcitos o ser implcitos.
Cada un cierto tiempo, un ente refresca cul es su misin, su funcin y sus valores,
determinando as su estrategia, de esta surgen objetivos especficos, por lo que coexisten en la
organizacin objetivos globales y particulares.
Existen tres grandes categoras de objetivos
Objetivos operacionales: Estos objetivos constituyen la razn de ser de las empresas y van
dirigidos a la consecucin del objetivo social. Son bsicamente, un elemento de gestin y
no un elemento de control interno.
Objetivos relacionados con la Info. Financiera: Este objetivo se refiere a la preparacin de
estados contables confiables sean estos finales o intermedios. La presentacin adecuada
de la informacin contable requiere:
o Principios contables aceptados y apropiados a las circunstancias.
o Informacin financiera suficiente y apropiada, resumida y clasificada en forma
adecuada.
o Presentacin de hechos, transacciones y acontecimientos de tal forma que los
estados financieros reflejen adecuadamente la situacin financiera, los resultados
de las operaciones y los flujos de orgenes y aplicaciones de recursos en forma
apropiada y razonable.
Objetivos de cumplimiento: Toda entidad debe desarrollar su actividad en el marco de
normas legales y reglamentarias que regulan los ms diversos aspectos de las relaciones
sociales (normativa mercantil, civil, laboral, financiera, medio ambiente, seguridad, etc.).
Este cumplimiento puede incidir positiva como negativamente, en su reputacin dentro de
la comunidad.
Consecucin de objetivos
Los objetivos operacionales no se basan en pautas externas, sino en metas elegidas por la propia
organizacin que pueden verse afectadas por eventos externos (previstos o no).
El control en esta rea se basar en desarrollar objetivos coherentes en toda la organizacin,
identificacin de factores de xito, presentacin oportuna de informacin sobre el rendimiento
del negocio y sobre posibles peligros que puedan hacer fracasar la consecucin de estos
objetivos.
En los otros 2 objetivos, la consecucin est en gran medida bajo el dominio de la organizacin
por estar basados principalmente en normas externas.
Riesgos
Los riesgos son hechos o acontecimientos cuya probabilidad de ocurrencia es incierta. Su estudio
se basa en su probable manifestacin y el impacto que pueda llegar a tener en la consecucin de
los objetivos de la misma.
Identificacin y anlisis
La identificacin del riesgo es un proceso iterativo, y generalmente integrado a la estrategia y
planificacin.
Su desarrollo debe comprender la realizacin de un "mapeo" del riesgo, que incluya la
especificacin de los puntos claves del organismo y las interacciones significativas entre la
organizacin y los terceros. Un punto clave puede ser:
un proceso que es crtico para su sobrevivencia.
una o varias actividades que estn fuertemente relacionadas con los clientes.
 un rea que est sujeta a leyes, decretos o reglamentos de estricto cumplimiento.
Existen muchas fuentes de riesgos, tanto internas como externas. Se pueden mencionar:
Entre las externas:
desarrollos tecnolgicos que en caso de no adoptarse, provocaran obsolescencia
organizacional;
modificaciones en la legislacin y normas regulatorias que conduzcan a cambios forzosos
en la estrategia y procedimientos;
Entre las internas:
la estructura organizacional adoptada, teniendo en cuenta la existencia de riesgos
inherentes tpicos tanto en un modelo centralizado como en uno descentralizado;
la calidad del personal incorporado, as como los mtodos para su instruccin y
motivacin.
Una vez identificados los riegos a nivel del organismo, deber practicarse en el nivel de
programa y actividad. Se considerar un campo ms limitado, enfocado a los componentes de
las reas y objetivos claves identificadas en el anlisis global del organismo.
Estimacin de riesgos
Una vez identificados los riegos, debe procederse a su anlisis. Los mtodos utilizados para
determinar la importancia relativa de los riesgos pueden ser diversos, e incluirn, como mnimo:
Su importancia.
Su probabilidad de ocurrencia.
Su valoracin de la prdida que podra resultar.
El modo en que habr que gestionar el riego.
Esto se refleja matemticamente en la ecuacin de la Exposicin:
PE=P+I
PE= perdida esperada en pesos.
P=probabilidad de ocurrencia.
I= impacto esperado en pesos (perdida).
Valoracin de riesgos
A continuacin se describe una metodologa (entre las varias que existen) que persigue la
identificacin y evaluacin de riesgos.
La valoracin del riesgo se realiza usando el juicio profesional y la experiencia del auditor y del
gestor, en funcin de los siguientes criterios:
1. El impacto del rea auditable cuando no logra los OBJETIVOS de la organizacin.
2. La competencia, integridad y suficiencia del PERSONAL.
3. La cuanta de los activos, liquidez o volumen de TRANSACCIONES.
4. La COMPLEJIDAD o VOLATILIDAD de las actividades.
5. La suficiencia de los CONTROLES INTERNOS en la propia rea.
6. El grado en que el rea depende de los SISTEMAS INFORMTICOS.
A cada uno se le asigna un nmero del 1 a 3 que refleja.
1. Riesgo bajo.
2. Riesgo medio.
3. Riesgo alto.
Al sumar estos valores tenemos que como mnimo la suma es 6 y como mximo la suma es 18,
luego se multiplica por P+ I de la ecuacin de la Exposicin, donde P tiene una valoracin
de 1 (bajo) a 3 (alta), y I tambin.
El resultado ser el grado de riesgos que posee un rea. Dependiendo del resultado las reas se
ordenaran en forma ascendente.
Manejo de los cambios en la organizacin
Los cambios pueden influir en la efectividad de los controles internos, ya que los controles
diseados bajo ciertas condiciones pueden no funcionar apropiadamente en otras.
 As surge la necesidad de contar con un proceso que identifique las condiciones que pueden
tener un efecto desfavorable sobre los controles internos y atenten contra la seguridad
razonable de que los objetivos sean logrados.
El manejo de cambios debe estar ligado con el proceso de anlisis de riesgos y debe ser capaz
de proporcionar informacin para identificar y responder a las condiciones cambiantes.
Existen circunstancias que pueden merecer una atencin especial en funcin del impacto
potencial que plantean:
Cambios en el entorno.
Redefinicin de la poltica institucional.
Reorganizaciones o reestructuraciones internas.
Nuevos sistemas, procedimientos y tecnologas.
Aceleracin del crecimiento.
Nuevos productos, actividades o funciones.
Los mecanismos contenidos en este proceso deben tener un sentido de anticipacin que permita
planear e implantar las acciones necesarias.
COSO 2
Riesgo inherente y residual
El riesgo inherente es aqul al que se enfrenta una entidad en ausencia de acciones de la
direccin para modificar su probabilidad o impacto.
El riesgo residual es aqul que permanece despus de que la direccin desarrolle sus
respuestas a los riesgos de manera eficaz.
Metodologa y tcnicas cualitativas y cuantitativas
Escalas de medicin
Al estimar la probabilidad e impacto de posibles eventos, ya sea sobre la base del efecto
inherente o residual, se debe aplicar alguna forma de medicin. A modo de ejemplo, se pueden
establecer cuatro tipos generales de medida:
Medicin nominal
Es la forma ms sencilla de medicin e implica el agrupamiento de eventos por categoras,
tales como la econmica, tecnolgica, etc.; sin situar a un acontecimiento por encima de
otro. Los nmeros asignados en la medicin nominal slo tienen una funcin de
identificacin.
Medicin ordinal
Los eventos se describen en orden de importancia, posiblemente con etiquetas del tipo
alta, media o baja o bien clasificados a lo largo de una escala. La direccin determina esa
importancia.
Medicin de intervalo
Utiliza una escala de distancias numricamente iguales. Si, por ejemplo, el impacto de la
prdida de produccin de una mquina clave se mide como tres, el impacto de una
cada de tensin de una hora como seis y el efecto de 100 puestos vacantes como
nueve, la direccin puede determinar que la diferencia en impacto entre la prdida de
produccin de una mquina y una cada de tensin de una hora es la misma que la
diferencia entre una cada de tensin de una hora y la existencia de 100 puestos vacantes.
Medicin por ratios
Una escala de este tipo permite concluir que, si al impacto posible de un evento se le
asigna un tres y al de otro se le asigna un seis, el segundo acontecimiento presenta
un posible impacto el doble de importante que el primero. En el mtodo de intervalo esto
no se considera.
Las mediciones nominal y ordinal se consideran tcnicas cualitativas, mientras que las
mediciones de intervalo y de razn son cuantitativas.
Tcnicas cualitativas
Si bien algunas evaluaciones cualitativas de riesgos se establecen en trminos subjetivos y otras
en trminos objetivos, la calidad de estas evaluaciones depende principalmente del
conocimiento y juicio de las personas implicadas, su comprensin de los acontecimientos
posibles y del contexto y dinmica que los rodea.
Tcnicas cuantitativas
Las tcnicas cuantitativas pueden utilizarse cuando existe la suficiente informacin para estimar
la probabilidad o el impacto del riesgo empleando mediciones de intervalo o de razn. Los
mtodos cuantitativos incluyen tcnicas probabilsticas, no probabilsticas y de benchmarking.
Tcnicas probabilsticas
Las tcnicas de este tipo miden la probabilidad y el impacto de un determinado nmero de
resultados basndose en premisas del comportamiento de los eventos en forma de distribucin
estadstica.
Tcnicas no probabilsticas
Se emplean para cuantificar el impacto de un posible evento sobre hiptesis de distribuciones
estadsticas, pero sin asignar una probabilidad de ocurrencia al acontecimiento. Estas tcnicas
requieren, la determinacin por separado de esta probabilidad por parte de la direccin.
Respuesta al riesgo

Costes y Beneficios
Prcticamente todas las respuestas al riesgo implican algn tipo de costo directo o indirecto que
se debe comparar con el beneficio que genera. Se ha de considerar el coste inicial del diseo e
implantacin de una respuesta (procesos, personal y tecnologa), as como el coste de mantener
la respuesta de manera continua.