Control interno Julio, 2003

APRECIACION DE RIESGOS

Estos capítulos intentan ser una recopilación de diferente bibliografía sobre el tema Apreciación de riesgos,
y no intenta ser un aporte propio al tema. En este sentido hemos leido, traducido y compilado diferente
bibliografía, usando las expresiones y términos que se utilizan por los autores de la misma.

La bibliografía utilizada fue la siguiente:

Ø Control Interno Estructura Integrada. Committee of Sponsoring Organizations of the Treadway
Commission (COSO), 1992.
Ø Business Risk Assessment. David McNamee. The Institute of Internal Auditors. 1997.
Ø Risk management: Changing the internal auditor’s paradigm. David McNamee and Georges
M.Selim. The Institute of Internal Auditors. 1998.
Ø Internal Control. Guidance for Directors on the Combined Code. The Institute of Chartered
Accountants in England & Wales.
Ø Implementing Turnbull. A boardroom briefing. The Institute of Chartered Accountants in England &
Wales.
Ø Global risk priorities. Enhancing value by focusing on what matters. J. Russell Gates. Exposición en
la 60a. Conferencia Mundial de Auditores Internos.

CAPITULO I - Introducción

Las organizaciones o empresas existen a efectos de cumplir con sus objetivos a corto, mediano y largo
plazo que se han impuesto. No obstante, los objetivos no siempre pueden ser alcanzados en virtud que
dichas organizaciones se mueven en contextos cambiantes y expuestos a determinados factores de
riesgos.

Qué es riesgo, entonces? Riesgos son todas aquellas circunstancias o eventos que se interponen en el
cumplimiento de los objetivos propuestos por la empresa.

La organización necesita identificar, gerenciar y controlar los riesgos a los cuales se enfrenta y por lo tanto
puedan hacer no cumplir sus objetivos. A este proceso lo llamaremos Análisis de riesgos, el cual
comprenderá la Apreciación de los riesgos (método para identificar y medir las consecuencias de los
riesgos) y el Manejo o Administración de los mismos (tomar acciones para minimizar el impacto de dichos
riesgos).

Qué es análisis de riesgos? Es una h erramienta de decisión que considera las consecuencias de diferentes
alternativas.

Por qué es necesario que una persona conozca acerca del análisis de riesgos? Porque la gente toma
decisiones todos los días sobre cómo cumplir sus objetivos, cuánto tiempo y recursos se debe gastar en un
proceso, y qué es importante informar a la organización.

Teniendo en cuenta estas apreciaciones es que intentaremos en los próximos capítulos referirnos a los
diferentes conceptos vinculados a este proceso.

Apreciación de riesgos 1
Control interno Julio, 2003

CAPITULO II - RIESGO

1. Definición

Los riesgos afectan la capacidad de la organización de sobrevivir, competir con éxito o mantenerse con una
fortaleza financiera adecuada, la imagen pública positiva o la calidad de productos o servicios que brinda.
No obstante, es claro hacer notar que eliminar o reducir los riesgos a cero es imposible, ya que el ambiente
de negocios donde se mueven las diferentes organizaciones es riesgoso por naturaleza, ya que es
cambiante por naturaleza.

Riesgo es un concepto. Es una medida de la incertidumbre. En este sentido, se ha definido al riesgo como
“el nivel de exposición a las incertidumbres que una empresa debe entender y efectivamente administrar
para lograr alcanzar sus objetivos y crear valor para sus interesados”. En todo proceso de negocios, el logro
de los objetivos involucra un cierto nivel de incertidumbre. Y en todo proceso de negocios, existen diversos
factores que se interponen o pueden interponerse en el logro de dichos objetivos.

Los Riesgos pueden involucrar consecuencias positivas o negativas; las consecuencias positivas son
conocidas como oportunidades, y las consecuencias negativas son llamadas amenazas o riesgos.

Consecuencias se define como aquellos resultados tangibles derivados de los riesgos en las decisiones,
eventos o procesos. No podemos ver con seguridad los riesgos intangibles, pero podemos anticipar y
observar las consecuencias del riesgo. Riesgo no es ni bueno ni malo, sólo es riesgo. Los efectos del
riesgo y la incertidumbre pueden resultar en consecuencias malas o buenas. No obstante, cuando nosotros
pensamos en riesgo, la mayoría pensamos en las consecuencias negativas más que en oportunidades.

Las consecuencias pueden variar en su impacto dependiendo de un número de factores:

o Los activos a riesgo,
o El tipo de amenaza,
o La duración de la consecuencia,
o La efectividad del control.

Exposición es la susceptibilidad de perder o una percepción de amenaza en un activo o proceso,

usualmente cuantificado monetariamente. La exposición es el monto monetario al riesgo sin considerar la
probabilidad de un evento negativo. La exposición se convierte en una medida de relativa importancia
cuando se priorizan los riesgos a administrar. Generalmente, cuanto más valor tenga el activo para lograr
los objetivos de la organización, más importante es la exposición y por ende mayor atención necesita de
parte de la Gerencia en la administración de los riesgos involucrados al mismo. Por lo tanto, la exposición
se mitiga por las técnicas de administración de riesgos, incluyendo el desarrollo y mantenimiento de
controles efectivos.

Amenaza es una combinación del riesgo, las consecuencias del mismo, y la probabilidad que el evento
negativo ocurra. Amenaza es generalmente usada como riesgo. El tipo de amenaza es realmente una
expresión del tipo de consecuencia: fuego, error, omisión, fraude, caída, obsolescencia, etc. Amenazas
provienen de la operación del riesgo en el ambiente, sin tomar en cuenta los controles o el ambiente de
control. Las amenazas están siempre presentes, pero los controles las mantienen testeadas.

La duración de la consecuencia afecta su importancia. Si el sistema de computación se cae por una hora,
ese es un tipo de consecuencia. Si se cae por un día, es otro. Y si se cae por una semana, la organización
pueda quedar fuera del negocio.

Finalmente, las consecuencias son afectadas por la efectividad de los controles y el sistema de control
interno que haya en la empresa. Esto es importante, ya que generalmente cuando los gerentes piensan en
riesgo, ellos usualmente piensan en términos del riesgo administrado. El riesgo administrado para el
Gerente es realmente las amenazas y consecuencias de considerar los diferentes factores de riesgo. El
riesgo absoluto es el término que engloba las amenazas y consecuencias sin considerar los controles que
están presentes y operando.

La naturaleza del riesgo y los modelos para manejarlos dejan en evidencia estos puntos:

o Riesgo es una medición de la incertidumbre en eventos o condiciones del ambiente. Que la

gerencia está enfocada en las consecuencias del riesgo.
o El rol estratégico de la gerencia en la organización debe ser considerado en el proceso de
apreciación de los riesgos estratégicos. La clave del proceso de apreciación de riesgos radica en la
cadena de metas y objetivos que trasciende o se ha fijado la empresa.

Apreciación de riesgos 2
Control interno Julio, 2003
o El sistema de control gerencial juega un papel importante en la percepción de los riesgos. Fuertes
controles dan la impresión que el riesgo es minimizado, cuando en los hechos sólo las
consecuencias son minimizadas. No hay métodos prácticos para convertir a las incertidumbres en
eventos ciertos.
o El gerenciamiento del riesgo sigue a la apreciación de riesgos, así como el tratamiento continúa al
diagnóstico. Administrar riesgos es la esencia del gerenciamiento.

2. Clasificación de los factores de riesgo

Según el Informe COSO existen diferentes factores de riesgo, los cuales son clasificados en factores
externos e internos de riesgo:
Ø Factores externos:
o Desarrollo tecnológico
o Cambio en expectativas de clientes
o Competidores
o Leyes y regulaciones
o Economía
Ø Factores internos:
o Interrupción de sistemas informáticos
o Deterioro de la calidad del personal
o Cambio en la asignación de responsabilidades
o Cambio en actividades y accesibilidad de los activos

Además de dicha clasificación, existen otras realizadas por diferentes autores en conceptos de control
interno. Por ejemplo, en Implementing Turnbull – A Boardroom Briefing se ha desarrollado la siguiente
clasificación en cuatro categorías de riesgo:
o De negocio,
o Financieros,
o De cumplimiento,
o Operacionales y otros

En dicho documento se mencionan como factores de riesgo en cada una de las categorías los siguientes:

o Riesgos del negocio:

o Estrategia errónea
o Presión de la competencia en el precio y en la porción de mercado
o Problemas generales de la economía
o Problemas económicos regionales o globales
o Riesgos políticos
o Obsolescencia de la tecnología
o Productos sustitutivos
o Políticas gubernamentales adversas
o Baja en el sector de actividad de la empresa
o Imposibilidad de obtener capital de financiamiento
o Mala adquisición
o Poca posibilidad de innovar

o Riesgos financieros
o Riesgo de liquidez
o Riesgo de mercado
o Problemas de empresa en marcha
o Riesgo de crédito
o Riesgo de tasa de interés
o Riesgo de tipo de cambio
o Altos costos de capital
o Riesgos de tesorería
o Mal uso de los recursos financieros

o Riesgos de cumplimiento
o No cumplimiento de regulaciones financieras
o Riesgos de litigios
o No cumplimiento de leyes
o Problemas impositivos
o Multas impositivas
o Riesgos de seguridad y salud

Apreciación de riesgos 3
Control interno Julio, 2003
o Problemas ambientales,
o Etc.

o Riesgos operacionales y otros

o Procesos de negocios no alineados a objetivos estratégicos
o Pérdida de espíritu empresarial
o Quiebre de stock
o Habilidades no desarrolladas
o Desastres físicos
o Pérdida de activos intangibles
o Pérdida de confidencialidad
o Pérdida de activos
o Falta de continuidad en los negocios
o Problemas de sucesión
o Pérdida de gente clave
o Imposibilidad de reducir los costos
o Error en nuevos productos o servicios,
o Etc.

En el sector financiero, en general, los riesgos se han clasificado en tres categorías:

o Riesgo de mercado. Exposición de la empresa a las variaciones en determinadas variables tales
como tasas de interés, tipo de cambio, cotizaciones, etc.
o Riesgo de crédito. Exposición de la empresa a las pérdidas por incobrabilidad en deudores.
o Riesgo operacional. Exposición de la empresa a fallas en los sistemas de información, gente y
tecnología.

No importa cuál clasificación utilicemos o cuál bibliografía adaptemos para nuestra organización, lo
importante a tener en cuenta es que los riesgos son propios y únicos para cada organización. Por qué es
esto? Si volvemos a leer la definición de Riesgo y entendemos que son aquellos factores que se interponen
en el cumplimiento de los objetivos de la organización, parece claro que dichos riesgos dependen de los
objetivos que se ha impuesto la empresa y por lo tanto varían de organización en organización.

Apreciación de riesgos 4
Control interno Julio, 2003
CAPITULO III - APRECIACION DE RIESGOS

1. Introducción

Es la evaluación cualitativa y cuantitativa de la exposición al riesgo en las diferentes actividades o procesos.

Cada unidad en la empresa coloca sus activos a trabajar dentro del proceso gerencial y sistema de control
interno. Los objetivos de la unidad están linqueados a las metas y objetivos de la empresa en su conjunto.
Los riesgos, en la forma de cambios inciertos en el ambiente, pueden afectar los activos y/o el proceso
gerencial. Los efectos de los riesgos dependen también de la naturaleza de los activos y los tipos de
procesos gerenciales y controles.

El rol primario de la gerencia es colocar los activos a riesgo para alcanzar los objetivos:
o Humanos,
o Físicos,
o Financieros,
o Intangibles.

La estragia desarrolla el plan, organiza los recursos, y monitorea los resultados de la conversión de tales
recursos de la organización en bienes y servicios para los clientes.

La gerencia típicamente monitorea la organización a través del auditor interno. El rol primario del auditor
interno es evaluar e informar sobre los controles gerenciales los cuales aseguran que los objetivos
establecidos para eficiencia y eficacia son cumplidos. Los recursos son eficientemente usados, y las
necesidades de los clientes están siendo debidamente cubiertas. El link entre los auditores y los gerentes
es la apreciación de riesgos y sus consecuencias en lograr establecer objetivos estratégicos.

La apreciación de los riesgos del negocio comienza con el planeamiento estratégico y el riesgo de cambios
en el entorno. La apreciación de riesgos intenta analizar los riesgos en las unidades operativas a través de
la cadena de valor.

El origen de la apreciación de riesgos yace en el planeamiento estratégico. El planeamiento estratégico

intenta tomar una visión a largo plazo de las operaciones. No obstante, cuanto más a largo plazo es la
visión, mayor la incertidumbre que ha de ser considerada.

Un planeamiento estructurado es un efectivo sistema de control interno. A través del planeamiento, los
gerentes anticipan los riesgos inherentes en sus actividades y toman métodos para mitigar los efectos de
dichos riesgos. Riesgos inherentes, también son denominados riesgos del negocio, y existen en todas las
actividades. El riesgo inherente de cualquier actividad es una función de un mix de activos y la naturaleza
de la actividad. Por ejemplo, un cajero tiene un grado de riesgo de negocio en su actividad. Los activos
empleados pueden ser: activos físicos (edificio, mobiliario, etc.), activos financieros (el dinero), activos
humanos (cajero), activos intangibles (políticas y procedimientos, información, etc.)

El mayor riesgo inherente en un cajero es la pérdida del activo dinero. Podemos mitigar algunos de dichos
riesgos del negocio instalando dispositivos de seguridad (cámaras, guardias, etc) y cambiando el mix de
activos físicos. Todavía otros riesgos de negocio pueden ser mitigados instalando máquinas automáticas
dispensadoras de dinero en lugar del activo humano. La gerencia puede mitigar otros riesgos inherentes
limitando el dinero en poder del cajero.

El concepto clave es que el riesgo y la oportunidad son parte de una variación continua. Esto no es nuevo:
la gente ha asociado al riesgo y retorno a lo largo del tiempo. Riesgo es el potencial de resultados
negativos y oportunidad es el potencial de resultados positivos. Ambos son variaciones en los planes. Los
resultados de riesgos negativos son usualmente no deseables. Los resultados de oportunidades positivas
pueden ser igualmente no deseables.

El sistema ideal es aquel que mitigue los riesgos negativos y tome ventaja de las oportunidades positivas.
Los gerentes que pueden alcanzar los dos miden su peso en oro.

Un segundo concepto clave es que la naturaleza del riesgo y la oportunidad cambian a lo largo del tiempo.
A corto plazo, riesgo es mayormente aquél que proviene de una variación en el sistema: errores,
omisiones, demoras, y fraude. Estas amezanas fluyen a través de la organización. Las oportunidades en el
corto plazo son pocas. No hay suficiente tiempo para explotar totalmente las oportunidades que existen. El
efecto acumulativo es un potencial fuertemente negativo.

Apreciación de riesgos 5
Control interno Julio, 2003
Si nos planteamos abandonar el razonamiento en este punto podríamos estar en condiciones de elaborar
un sistema de control que mitigue los efectos negativos en este corto plazo. Muchos de nuestros sistemas
de control, se elaboran basándose en los riesgos actuales de los estados contables, entendidos como
aquellos que tienen un impacto negativo. Qué es lo que está faltando en nuestros sistemas de control?
Formas de manejar los riesgos y oportunidades de mediano y largo plazo.

Así como sobrepasamos las simples variaciones en los sistemas (errores, omisiones, atrasos, fraudes),
tenemos riesgos que afectan los períodos futuros. Tales riesgos tienen que ver con efectividad en el uso de
los recursos, satisfacción del consumidor en el largo plazo, etc. También podemos ver que existen
diferentes oportunidades cuando consideramos el efecto del tiempo. La efectividad en el uso de los
recursos puede ser mejorada en el mediano plazo, sin embargo, en el corto plazo no tenemos tiempo
suficiente para evaluar los efectos de la inversión o de las decisiones conservadoras. En el largo plazo,
existen diversas oportunidades con retornos significativos. Podemos explotar dichas oportunidades si
conocemos cómo tomar ventaja de ellas.

2. Diferentes estadios en la apreciación de riesgos

Apreciación de los riesgos del negocio significa la apreciación de riesgos y oportunidades que afectan el
desarrollo de las metas y objetivos de la organización. Los riesgos pueden ser apreciados en tres niveles:

Ø Estratégico: Esta apreciación de riesgos se utiliza como guía de la organización durante un

prolongado período de tiempo (hasta diez años). Dicho procedimiento es usualmente realizado por
la Dirección y Alta Gerencia:
Ø Proceso / programa / procesos: Esta apreciación de riesgos es utilizada, desarrollada y gerenciada
durante el período actual de la organización. El gerente del proceso, programa o proceso es la
persona que inicialmente tiene la responsabilidad de la apreciación.
Ø Operacional: Utilizado en las operaciones diarias. Es ta apreciación es usualmente realizada por el
nivel de supervisión o por individos o equipos de trabajos designados para tal tarea.

2.1. Apreciación de riesgos estratégicos

El proceso de apreciación de riesgos estratégicos comprende seis etapas:

Ø Lograr un conocimiento profundo de las metas y objetivos generales de la organización:
o Examinar los documentos fundamentales (misión, propósito, visión y otros documentos)
para metas yobjetivos.
o Clasificar cada uno de las metas y objetivos identificados como de corto, mediano y largo
plazo.
Ø Elegir los riesgos estratégicos que son definidos como de mayor importancia para la organización:
o Riesgo operacional: Los riesgos de que la entidad no pueda cumplir sus objetivos y metas
operacionales.
o Riesgos fiscales: Los riesgos que las deficiencias en los controles de gastos e ingresos
puedan afectar adversamente objetivos.
o Riesgos reputacionales: Los riesgos de que algunas acciones o inacciones puede afectar la
capacidad de la organización de alcanzar metas y objetivos.
o Otros riesgos tales como riesgos regulatorios, etc.
Ø Definir los ambientes que son importantes para la organización, tales como:
o Político, gobernabilidad
o Tecnología
o Legal y regulatorio
o Competidores
o Clientes y Stakeholders
o Físico
o Mercados
o Proveedores
o Financiero/económico
Cada uno de estos ambientes representan incertidumbres generalmente asociadas a cada área.
Ø Crear una serie de matrices con Riesgos estratégicos para cada Area analizada. Cada matriz
deberá realizarse para cada objetivo y meta identificado en la primer etapa y clasificado en de corto,
de mediano y de largo plazo.

Apreciación de riesgos 6
Control interno Julio, 2003
Meta: Horizonte temporal:

Ambientes/Riesgos estratégicos Operacionales Financieros Reputacionales

Físico
Económico-financiero
Clientes
Competidores
Legal/regulatorio
Tecnología
Proveedores

Ø Usar procesos creativos tales como “tormenta de ideas”, para imaginar escenarios de posibles
amenazas y oportunidades para cada una de las celdas de la matriz. Es importante pensar “out of
the box” tal como sea posible.
Ø Combinar la apreciación de riesgos para cada meta y objetivo en función del horizonte temporal a
efectos de lograr una composición de lugar en cuanto al Riesgo estratégico. Basado en esta
apreciación los gerentes pueden realizar un plan sobre cómo manejar estos riesgos.

2.2. Apreciación de los riesgos de los procesos

La apreciación de los riesgos de los procesos utiliza un método diferente para identificar riesgos y
oportunidades. La identificación de los riesgos del proceso utiliza uno o más de los siguientes métodos:
Ø Análisis de exposición: Riesgos desde la perspectiva de los activos involucrados.
Ø Análisis ambiental: Riesgos desde la perspectiva de los cambios en el ambiente.
Ø Escenarios de amenazas: Riesgos explorados desde varios escenarios de los cuales pueden
desprenderse una variedad de condiciones. Esto es útil para explorar eventos catastróficos y
fraudes.

Cada proceso o programa puede ser formalmente apreciado y rankeado basados en la comprensión del
programa o proceso y atendiendo a la percepción de riesgo encontrada. El ranking podrá darse mediante un
score o rango del 1 (menor riesgo) a 5 (mayor riesgo).

2.3. Manejo del riesgo operacional

El riesgo operacional es la mitigación día a día de los riesgos de seguridad y salvaguarda de los empleados
a efectos de poder desarrollar su trabajo. Riesgo operacional también incluye visitantes o trabajadores
temporarios en el lugar de trabajo y riesgos del público general en las operaciones.

La apreciación del riesgo operacional usualmente incluye:

Ø Riesgos de salud, incluyendo exposición a toxinas, radiciaciones y organismos infecciosos
Ø Riesgos de seguridad, incluyendo exposición al equipamiento, maquinaria y procesos de trabajo
Ø Riesgos del medio ambiente o físicos, incluyendo exposición al clima y terreno.

3. Etapas en el proceso de apreciación de riesgos

El proceso de apreciación de riesgos comprende las siguientes etapas:

Ø Identificación de riesgos,
Ø Análisis de los mismos,
Ø Administración del cambio.

3.1. Identificación de riesgos

3.1.1. Concepto

En la realización de los pronósticos a corto y mediano plazo, en el planeamiento estratégico es apropiado

efectuar la identificación de los riesgos de negocio. Qué preguntas podemos hacernos a efectos de realizar
dicha identificación de riesgos?:

o Qué no nos gustaría ver aparecer en la prensa?

o Qué problemas han tenido nuestros competidores en años recientes?
o Cuáles son los tipos de fraude a los cuales nuestro negocio puede ser susceptible?
o Cuáles son los mayores riesgos legales y regulatorios a los cuales nuestro negocio es tá expuesto?
o Qué riesgos provienen de los procesos de negocio?

Apreciación de riesgos 7
Control interno Julio, 2003

La identificación de riesgos debería ser un análisis sistemático para todo objetivo de la empresa. En cada
objetivo de la empresa, deberíamos preguntarnos por qué dicho objetivo puede no cumplirse, qué factores o
qué causas pueden distorsionar el cumplimiento de los mismos. Seguramente para cada objetivo de la
empresa pueden identificarse uno o varios riesgos.

Este proceso de identificación debería además hacerse con cierta abstracción de la importancia o de la
probabilidad de ocurrencia. Según el informe COSO debería efectuarse bajo el método “hoja en blanco” a
efectos de que se consideren todos los tipos de factores que podrían afectar los objetivos.

El elemento clave en la apreciación de riesgos es la identificación de amenazas y oportunidades. El riesgo

no puede ser medido, priorizado o gerenciado hasta que el mismo haya sido identificado. La identificación
de riesgos invoucra especulación acerca de las amenazas relevantes que pueden afectar la organización y
sus capacidades para alcanzar los objetivos.

3.1.2. Métodos de identificación de riesgos

Los tres mayores enfoques para identificar riesgos son:

Ø Análisis de exposición
Ø Análisis ambiental
Ø Escenarios de amenazas

Elegir uno de estos enfoques es lo más apropiado y depende de cada organización. No obstante,
generalmente se utilizan los tres enfoques combinados para realizar el proceso.

3.1.2.1. Análisis de exposición

Los gerentes ponen activos a riesgo para alcanzar sus objetivos. Uno de los tres mayores enfoques para
identificar riesgos es el enfoque o análisis de exposición.

En el enfoque de exposición, el foco está en el activo a riesgo en el proceso:

Ø Activos físicos tales como planta y equipamiento,
Ø Activos financieros tales como caja e inversiones,
Ø Activos humanos incluyendo el conocimiento y experiencia del staff,
Ø Activos intangibles tales como información, reputación, reconocimiento de la marca.

El enfoque de exposición toma en consideración el Tamaño, Tipo, Portabilidad y Locación de los activos.
Las amenazas y los riesgos son explorados tomando en consideración como pueden afectar materialmente
los activos. El enfoque de exposición trabaja mejor en aquellos procesos que dependen fuertemente de sus
activos para alcanzar los objetivos. Ejemplos de unidades u organizaciones intensivas en el uso de activos
pueden ser:
Ø Procesos manufactureros,
Ø Construcción,
Ø Operaciones de caja,
Ø Procesos de inventario,
Ø Actividades de investigación y desarrollo.

Cómo funciona?:

Ø El proceso a analizar incluye alguno de los activos clave. Tales activos tienen que ser identificados
por tamaño, tipo, portabilidad y locación.
Ejemplo: Una auditoría ha sido asignada para revisar los gastos de remodelamiento y expansión de
un espacio de oficina. El mayor activo involucrado son los Materiales de construcción y el Espacio
actual de oficina. Algunos de los materiales de construcción son pequeños y valuosos, otros son
pequeños e inmateriales y otros son grandes y valuosos. Todos los materiales están almacenados
en el edificio de oficinas. El Espacio de oficina es un activo que es utilizado para alcanzar los
objetivos actuales. El Espacio de oficina está expuesto a pérdidas a través del ruido excesivo y
distracción durante la remodelación.
Ø A partir de ahí es necesario introducirnos en la especulación. La especulación se genera a través de
pensar cómo estos activos están expuestos a pérdidas de valor o deterioro para alcanzar los
objetivos.
Ejemplo:

Apreciación de riesgos 8
Control interno Julio, 2003
Riesgo de pérdida Riesgo de deterioro
Pequeño, portable, inmaterial No significativo No significativo
Pequeño, portable, valioso Robo, fuego, daño en el Daño en el manejo
manejo
Grande, valioso Fuego, daño en el manejo Daño en el manejo
Espacio de oficina Fuego, problemas de energía Ruido, polvo excesivo,
fluctuaciones en energía

Ø En último lugar sería necesario priorizar los riesgos identificados en el punto anterior, a efectos de
tomar acciones sobre los mismos. Por ejemplo, en el caso anterior los riesgos identificados fueron
priorizados de la siguiente manera:
Ø Daño en el manejo
Ø Fuego
Ø Problemas de energía
Ø Robo
Ø Ruido
Ø Polvo excesivo

3.1.2.2. Enfoque del ambiente

La organización existe en un determinado ambiente externo el cual se conforma de otros ambientes tales
como:
Ø Ambiente físico: lugar, clima, terreno, acceso
Ø Ambiente económico: finanzas, tasas de interés, economía general
Ø Regulaciones gubernamentales: leyes, políticas y regulaciones
Ø Competencia: competidores directos, sustitutos, competidores indirectos
Ø Clientes
Ø Proveedores (incluyendo sindicatos)
Ø Tecnología

El enfoque del ambiente busca considerar los riesgos provenientes de varios estados del ambiente, tanto
en el estado actual como en el estado futuro. Las amenazas y riesgos son investigados desde la
perspectiva de que puedan afectar el cumplimiento de los objetivos. El enfoque del ambiente trabaja mejor
en aquellos procesos orientados a servicios y aquellos que son altamente regulados o competitivos, así
como en aquellas organizaciones afectadas por los riesgos ambientales.

Ejemplos de unidades u organizaciones donde el enfoque del ambiente trabaja mejor inlcuyen:
Ø Ventas, marketing y funciones de distribución,
Ø Operaciones bancarias,
Ø Servicios al cliente,
Ø Operaciones gubernamentales o públicas,
Ø Funciones de servicios internos (legal, contabilidad, etc.)

Cómo funciona?:

Ø El proceso es afectado por un número de condiciones externas ambientales. Estas condiciones son
identificadas desde una lista de ambientes.
Ejemplo: Se tiene que desarrollar un proceso de auditoría de un Servicio telefónico de atención al
cliente de un Banco 24-horas. Investigando los ambientes, se identifican varios ambientes:
o Percepción del consumidor y actitudes del consumidor
o Competidores y publicidad de los competidores
o Ambiente físico de interacción con el cliente
Ø Se genera la especulación sobre cuál es el estado actual y cuál es el estado que se prevé que
ocurra.
Ejemplo:

Ambiente actual Ambiente futuro

Clientes Abandono de clientes
Competidores Compatibilizan horas y
niveles de servicio
Físico Vulnerabilidad a cambios en
las tarifas telefónicas
Apreciación de riesgos 9
Imposibilidad de atraer
nuevos clientes
Tratan de atraer nuestros
clientes
Acceso por internet se
convierte en un estándar
competitivo para servicios de
acceso físico
Control interno Julio, 2003

3.1.2.3. El enfoque de escenarios de amenazas

El tercer enfoque de identificación de riesgos es el Escenario de Amenazas. Este es el más utilizado

cuando estamos manejando fraude o factores de seguridad.

Los escenarios son descripciones narrativas de los procesos y activos a riesgo, así como las posibles cosas
que pueden salir mal. A menudo e stas narraciones incluyen los controles que mitigan el riesgo.

Cómo funciona?:
Ø El proceso es cuidadosamente documentado, tanto en un formulario narrativo como en un
formulario “portafolio”. El formulario portafolio es fácil de utilizar por una computadora. El Modelo
de Análisis de Riesgos Lawrence Livermore, creado por Charles Cresson Wood, usa un enfoque de
portafolio que captura:
o Descripción del activo. Ejemplo: Mainframe
o Amenaza específicas. Ejemplo: Daño causado por agua
o Consecuencias de la amenaza en el activo. Ejemplo: Indisponibilidad, costos de reparación
y remplazo, costos de facilidades alternativas o de backup.
o Cómo la amenaza es típicamente realizada. Ejemplo: Inundaciones puede ser una amenaza
típica dependiendo de la ubicación geográfica.
Ø Si el mayor propósito del escenario es la amenaza de fraude, el escenario de cómo puede ser
realizado debe cubrir los siguientes tres elementos:
o Robo: cómo el activo puede ser robado
o Ocultamiento: cómo el ladrón puede ser ocultado o no descubierto.
o Conversión: Cómo el ladrón puede convertir el activo a su uso personal.
Si el escenario de amenaza es utilizado para auditar o evaluar fraude y cuestiones de seguridad, se
convierte en un blueprint para el crimen. Este documento debe ser adecuadamente asegurado
cuando no se esté usando.

3.2. Análisis de riesgos

Una vez identificados los riesgos es necesario analizar los mismos. El proceso de análisis de riesgos
comprende:
Ø Medir el riesgo,
Ø Administrar los mismos.

3.2.1. Medición del riesgo

3.2.1.1. Concepto

Una vez que los riesgos y las consecuencias son identificados, el próximo paso es medir los riesgos. Medir
riesgos es difícil debido a su naturaleza intangible. Los matemáticos han usando las estimaciones de
probabilidad para medir riesgos. Los gerentes prefieren pensar en términos cualitativos más que en
términos cuantitativos. Para algunos gerentes, definir riesgos en una escala de tres niveles (bajo, medio y
alto) es suficiente para sus necesidades.

Medir riesgos no es una ciencia exacta y no necesita serlo. La cuestión b ásica de la apreciación de riesgos
en el planeamiento es aquella que ayuda a identificar las partes del plan que necesitan mayor atención que
otras porque son más importantes o están menos protegidas. El proceso de apreciación de riesgos da al
gerente las partes importantes de un proceso de decisión, pero el gerente debe realizar sus ajustes y
decisiones basado en las condiciones actuales.

Los riesgos son eventos con alguna probabilidad de ocurrencia. Consencuencias son el resultado de la
acción de dichos riesgos en los procesos de negocio y metas y objetivos. Ambos riesgos y consecuencias
son medibles en tres dimensiones:
Ø Ocurrencia del riesgo es la probabilidad de que el riesgo puede crear una consecuencia que pueda
afectar materialmente la capacidad de la organización para alcanzar sus metas y objetivos.
Ø La severidad de las consecuencias es otra dimensión de la medición del riesgo. La severidad de la
consecuencia es a menudo dependiente de los controles internos que se encuentran operando.
Algunos de los controles reducen las consecuencias a eventos inmateriales. Las consecuencias
deben tener un afecto material en la capacidad de alcanzar los objetivos. Riesgos con
consecuencias inmateriales o con consecuencia que no afecten la capacidad de alcanzar los
objetivos, son eliminados de la consideración. Aquellos controles internos que reducen las
consecuencias a inmaterialidad deben ser probados por los auditores internos.

Apreciación de riesgos 10
Control interno Julio, 2003
Ø El tiempo de un riesgo o la duración de su consecuencia es el tercer elemento o dimensión de la
medición del riesgo. Riesgos pueden tener consecuencias con una severidad variable dependiendo
de cuándo ocurren en el proceso de negocio y cuánto puede durar el efecto.

3.2.1.2. Métodos para medir riesgos

Hay diferentes enfoques para medir riesgos y consecuencias:

Ø Estimaciones de probabilidad y funciones de pérdidas esperadas: La aplicación de probabilidades a
los valores de los activos para determinar la exposición a pérdidas.
Ø Factores de riesgos: El uso de factores observables
Ø Matrices de medición: El uso de matrices de amenazas y componentes para evaluar consecuencias
y control.

3.2.1.2.1. Estimaciones de probabilidad

Ø Un enfoque asigna valores de probabilidad a los siguientes riesgos: Riesgo inherente, riesgos de
control, riesgos de auditoría. La fórmula utilizada es:
Riesgo total = IR x CR x AR
El IR toma factores arbitrarios dependiendo de las guías de los cuerpos contables. Por ejemplo el
Canadian Institute of Chartered Accountants recomienda valores de 0,40, 0,50 y 0,60 para riesgo
bajo, medio y alto. A menos CR y AR toman también factores arbitrarios para presentar niveles bajo,
medio y alto de riesgos.
La ecuación es usualmente resulta por el AR (riesgo de detección) dando un nivel de confianza.
AR = Total Risk
IR x CR
La debilidad en este enfoque es el uso de tanto valores arbitrarios. Otra debilidad es que la
Gerencia en general no se siente confortable utilizando este método.
Ø Un segundo método es una estimación de las consecuencias directas usando una función de
pérdida estimada anual, también conocida como Expectativa de Pérdida Anualizada. Este enfoque
es relativamente común en auditores de sistemas de información. La fórmula simplificada es:
Pérdida esperada = Σ (Pi x D i x Vi)
Siendo P los productos de probabilidad, D la duración en el tiempo y V el valor de los activos, e i
cada amenaza.

Activo: Centro de procesamiento de datos

Amenazas Probabilidad Duración Valor de los Pérdida

activos esperada
Fuego 0.001 5 4.000.000 20.000
Inundación 0.005 3 4.000.000 60.000
Terremoto 0.0001 10 4.000.000 4.000
Falla de energía 0.01 .1 4.000.000 4.000
Total 88.000

Un mejoramiento a este enfoque toma en cuenta la probabilidad de la falla del control. La

Expectativa de Pérdida Anualizada para cada escenario i se expresa como la probabilidad de
T F
ocurrencia de la amenaza P , la probabilidad de falla del control P y la máxima pérdida monetario
producto de la consecuencia Qi:
T F
Expectativa de Pérdida Anualizada = Σ (P i x P i x Qi)

3.2.1.2.2. Factores de riesgo

La medición de riesgos usualmente involucra jucios subjetivos y referencia a datos objetivos o históricos. A
menudo, la medición de riesgos es realizada a través del análisis de una serie de factores de riesgos tales
como:
Ø Complejidad de los negocios,
Ø Monto monetario al riesgo,
Ø Liquidez de los activos,
Ø Competencia de la Gerencia,
Ø Fortaleza de los controles internos
Ø Tiempo desde la última auditoría

Apreciación de riesgos 11
Control interno Julio, 2003
Los factores de riesgos son maneras de combinar nuestro pensamiento sobre los riesgos, consecuencias y
controles todo en una serie de eventos observables o atributos conceptuales. Usando factores de riesgo la
medición de riesgos es fácil de utilizar en la auditoría de la mayoría de las unidades de negocio.

Hay tres tipos de factores de riesgos comúnmente utilizados:

Ø Factores subjetivos de riesgo,
Ø Factores objetivos de riesgo o históricos,
Ø Factores de riesgos calculados

Factores subjetivos de riesgo

Teniendo en cuenta la rapidez de los cambios con que se opera en los últimos tiempos, los datos históricos
han perdido relevancia. Es así que la medición de riesgos y la identificación de la consecuencias requiere
una combinación de experiencia, habilidades, imaginación y creatividad.

Ejemplos de factores subjetivos de riesgo son la Integridad de la Gerencia, y la Extensión de los cambios en
los procesos.

Factores objetivos de riesgo o históricos

Para operaciones estables, puede ser útil medir las tendencias a través de factores históricos. Por ejemplo,
los Activos medidos en términos monetarios expuestos a Riesgo, la Rotación de los empleados.

Factores calculados de riesgo

Son calculados desde datos históricos u objetivos. Son los más débiles de utilizar porque son derivados.
Como ejemplos tenemos: la Distancia desde las Oficinas Centrales, el Tiempo desde la última auditoría.

Patton, Evans y Lewis describen 19 de los más populares factores de riesgo utilizados por auditores
internos:
Ø Calidad de los controles internos
Ø Compentencia de la gerencia
Ø Integridad de la gerencia
Ø Tamaño de la unidad
Ø Cambios en los sistemas contables
Ø Complejidad de las operaciones
Ø Liquidez de los activos
Ø Cambios en el personal clave
Ø Condiciones económicas de la unidad
Ø Rápido crecimiento
Ø Extensión del uso de la computadora
Ø Tiempo desde la última auditoría
Ø Presión en la gerencia para alcanzar los objetivos
Ø Extensión de las relaciones gubernamentales
Ø Nivel de ética en los empleados
Ø Planes de auditoría de los auditores externos
Ø Exposición política
Ø Necesidad de matener una apariencia de independencia del auditor interno
Ø Distancia de las oficinas centrales

Cómo usar los factores de riesgo?

Los factores de riesgo son identificados y elegidos para representar riesgos y consecuencias que han sido
identificadas. Cómo usarlos, por ejemplo en una auditoría o en un proceso de medición de riesgos:
Ø Elegir un número de factores que representen aspectos importantes de los riesgos de la unidad.
Estos factores deben ser determinantes, es decir que la medición de dicho factor puede variar
desde condiciones de bajo riesgo a alto riesgo. Limite los factores a no más de diez. Usar cinco,
más o menos dos, debe ser su objetivo. Cuantos más factores se utilizan, mayor la probabilidad de
duplicar la influencia de un riesgo y menor la probabilidad de influencia de cada factor de riesgo:
Ejemplo: La unidad puede tener presiones extraordinarios para cumplir sus metas. Estas presiones
pueden causar que algunos gerentes corten procesos o fraudulenten estadísticas de producción en
un esfuerzo de cumplir no razonablemente sus objetivos. Por lo tanto un factor de riesgo es la
presión que existe en cada unidad de negocio o proceso.
Ø Elegir una escala (1 a 5) para representar la fuerza del factor en cada unidad (bajo a alto). Se
recomienda una escala de cinco puntos, aunque a veces es utilizada una de tres puntos.

Apreciación de riesgos 12
Control interno Julio, 2003
Ø Evaluar cada uno de los componentes de la unidad y asignar un score basado en la escala
anteriormente definida. Componentes de la unidad pueden ser algunos de los siguientes:
o Funciones,
o Subprocesos,
o Software,
o Hardware,
o Gente o posiciones,
o Procedimientos y políticas
Ejemplo: En un área de préstamos de un banco existen los siguientes componentes:
o La posición de cajero
o La posición de oficial de cuenta
o El manual de procedimientos y autorizaciones
o El comité de créditos
o El software para administrar los créditos
Cada uno de estos componentes fue analizado desde el punto de vista de cinco factores:
Ø Presión para cumplir los objetivos
Ø Libertad de acción
Ø Herramientas de apoyo en la decisión
Ø Debilidad en los controles internos
Ø Nivel de supervisión
Ø Desarrollar mediciones para cada factor de riesgo elegido basado en el impacto (probabilidad y
consecuencias) que cada factor tiene en la unidad. Es una buena práctica normalizar las
mediciones, esto es asegurarse que todos los factores sumen 1 o 100%. Un factor de riesgo debe
por lo menos tener un 10% de influencia en la unidad para ser utilizado.
Ø Multiplicar el score obtenido para cada componente con el peso de cada factor. Sumar los secores
para cada componente. El componente con mayor score es aquél con mayor riesgo.

3.2.1.2.3. Matrices de riesgos

Adicionalmente a los procesos anteriormente referidos, se utiliza un medición cualitativa de los riesgos en
función de la probabilidad de ocurrencia y las consecuencias de dicho impacto. Dichas variables se
analizan cualitativamente tomando en consideración diferentes escalas o rangos de análisis (bajo a alto).

Con dicho método la Gerencia obtiene un método gráfico de fácil visualización a efectos de encarar las
acciones pertinentes.

Impacto

Exposición
inaceptable

Precaución

Exposición
aceptable

Probabilidad o frecuencia

Exposición = Riesgo - Control

(E = R-C)

3.2.2. Administración de los riesgos

Administración del riesgo es el proceso que surge con posterioridad a la apreciación de riesgos. Implica
tomar las acciones necesarias para manejar los riesgos una vez que los mismos han sido apreciados.

Cuáles son los conceptos principales que un Gerente debe tener en cuenta en este proceso:
Ø No podemos tratar de eliminar o controlar riesgos
Ø Algunos de ellos nunca se solucionarán
Ø Algunos de ellos, además, forman parten de la creación de valor de la organización
Apreciación de riesgos 13
Control interno Julio, 2003

Lo importante es que este proceso de administración de riesgos sea un proceso consciente de análisis
sobre las diferentes acciones a realizar en relación a los riesgos. Este proceso comprende las dos últimas
etapas del siguiente proceso:

Ø Diseñar el modelo de negocios de la organización (metas, objetivos, modelo de creación de valor);

Ø Apreciar los riesgos principales del negocio;
Ø Alinear los procesos y sistemas a dichos objetivos y riesgos;
Ø Medir e informar variaciones

Qué significa alinear los procesos y sistemas a dichos objetivos y riesgos? Básicamente en esta etapa es
donde la Gerencia toma las decisiones acerca de cómo desarrollará las acciones dentro de la organización
a efectos de alcanzar los objetivos administrando adecuadamente los riesgos.

Existen diferentes estrategias de administración de riesgos, las cuales pueden clasificarse de la siguiente
manera:

Ø Eliminar. En esta estrategia la Gerencia intenta abandonar el proceso en cuestión, teniendo en

cuenta que no puede manejar los riesgos de dicho proceso adecuadamente. Tratará de prohibir el
proceso, pararlo, eliminarlo, etc.
Ø Retener. Por este mecanismo la Gerencia tratará de mantener el proceso en cuestión, aceptando
los riesgos involucrados en el mismo. En dichas estrategias se encuentran la aceptación del nivel de
riesgos, la propia asegurabilidad, el contrapeso con otros procesos, etc.
Ø Reducir. Mediante esta estrategia la Gerencia intentará reducir los riesgos a niveles aceptables para
retener los mismos. En este caso la Gerencia tratará de diversificar los riesgos o controlar los
mismos.
Ø Transferir. En este caso la Gerencia intentará involucrar a un tercero en la administración de sus
propios riesgos. En estas estrategias se encuentran los seguros, reaseguros, acciones de cobertura
y de indemnización, la securitización, el compartir riesgos, el outsourcing de determinados
procesos, etc.
Ø Explotar. En esta última estrategia la Gerencia intentará transformar el riesgo como efecto negativo
en una oportunidad y desarrollo para la empresa. En este caso, podemos encontrar la expansión
de operaciones, la creación de otros procesos o productos, e l rediseño de prodcesos o productos, la
reorganización, la renegociación, etc.

Cada una de estas estrategias será aplicable en función de la probabilidad e impacto que el riesgo tenga en
los objetivos y procesos de negocio, tal como se muestra en el gráfico a continuación:

Todas las opciones

aplican:
Debe administrarse

2 1
Efectivamente a
Largo plazo
High
Todas las opciones
Eventos Imperativos Aplican:
extraordinarios estratégicos Sin embargo, la
Administración de
Severidad

Riesgos está limitada

4 3 Aplicar controles
Irrelevantes o Operativos y Preventivos y
no de detectivos
significativos cumplimiento
Low Aceptar al presente
Low High
Medir y monitorear
A través del tiempo
Probabilidad
Source: Enterprise- wide Risk
Management: Strategies for
linking risk and opportunity
© 2001 Arthur Andersen. All rights reserved.
41

Siempre hay un monto residual de riesgo que queda remanente después de haber realizado los esfuerzos
para eliminar, controlar o compartir el riesgo. Si el riesgo residual es muy alto, entonces no se han hecho
los esfuerzos suficientes. Si el riesgo no es demasiado alto, la Gerencia tendrá que aceptar este riesgo
residual.
Apreciación de riesgos 14
Control interno Julio, 2003

3.3. Administración del cambio

El proceso descrito anteriormente con sus diversos pasos y etapas se repite continuamente en el tiempo. Lo
importante es que una organización una vez que ha desarrollado dicho proceso y lo ha internalizado, lo
repite en cada circunstancia donde ocurra un cambio tanto internamente con el entorno.

Con lo cual, es necesario en todo momento realizar un proceo de detección y de reflexión. En el proceso de
detecciónes importante identificar la condición cambiante a través de mecanismos ajustados para identificar
y comunicar eventos o actividades que afecten los objetivos de la entidad. En el proceso de reflexión es
importante analizar las oportunidades y/o riesgos asociados:
Ø causas
Ø probabilidad
Ø efecto
Ø posibilidad de:
Ø manejo del riesgo
Ø aprovechar la oportunidad
“No es la más fuerte de las especies la que sobrevive, ni la más inteligente, sino aquella que está
más interesada en el cambio”. Charles Darwin.

Apreciación de riesgos 15