auditoría interna y administración de riesgosculo te...artículo técnico de comisión se...

Auditoría Interna y Administración de Riesgos

Julio 2015 Boletín de Investigación Comisión de Desarrollo SE Auditoría Interna - Sur Núm. 28

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

2

2014 – 2016 C.P.C. Jorge Alberto Téllez Guillén Presidente C.P.C. Ricardo Paullada Nevárez Vicepresidente de Desarrollo y Capacitación Profesional L.C.P. Luis Bernardo Madrigal Hinojosa Director Ejecutivo Comisión de Desarrollo SE Auditoría Interna – Sur Presidente C.P.C. Agustín Francisco Albarrán Carranza Vicepresidente C.P.C. Adolfo Ramírez Fernández del Castillo Secretario C.P. Salvador Cruz Hernández Integrantes L.C José Antonio Alverde Lanzagorta C.P. Juan Fernando Calvillo Armendariz C.P. Gerardo Díaz Valdez C.P.C. Jaime Ignacio García Jiménez C.P. Mario Enrique Mota Sevchovicius Mtro. y L.C. Gabriel Sánchez Aguirre C.P. Gabriel Sánchez Curiel C.P. Mario Sánchez Martínez C.P. José de Jesús Sandoval Muñoz C.P. Fernando Soto Barreto L.A.F. Adolfo Tanda Aguayo C.P.C. Fernando Pérez Mendoza L.C.I. Israel Pichardo Camargo C.P. Arturo Salvador Reyes Figueroa C.P. Antonio Salas Hernández C.P. Omar Cruz Fuentes Gerencia de Comunicación y Diseño Comisión de Desarrollo Sector Empresa Auditoría Interna - Sur del Colegio, año III, núm. 28, julio de 2015. Boletín Informativo edición e impresión por el Colegio de Contadores Públicos de México, A.C. Responsables de la Edición: Lic. Jonathan García Butrón, Lic. Asiria Olivera Calvo, Lic. Aldo Plazola González. Diseño: Adriana Huescas Hernández. Bosque de Tabachines Núm. 44, Fracc. Bosques de las Lomas, Deleg. Miguel Hidalgo 11700. El contenido de los artículos firmados es responsabilidad del autor; prohibida la reproducción total o parcial, sin previa autorización.

ÍNDICE PÁGINA

I. Introducción 3

II. Roles de Auditoría Interna 4

III. Factores de riesgo externos e internos 4

IV. Proceso de administración de riesgos 10

V. Conclusiones 14


3

I. Introducción

El objetivo de este documento es reflejar los aspectos generales sobre lo que implica la

administración de los riesgos a que están expuestas las organizaciones; así como

proporcionar una serie de términos y conceptos que son de utilidad para la Auditoría

Interna.

Hoy en día la administración de riesgos en las organizaciones, llamada por muchos

Administración Integral de Riesgos, conjunta diferentes amenazas y vulnerabilidades que

enfrentan las organizaciones para cumplir con los objetivos establecidos por la Alta

Dirección y el Consejo de Administración.

La Administración Integral de Riesgos es un proceso que combina los recursos

financieros, humanos, intelectuales, materiales y tecnológicos de una organización, con

el fin de identificar, medir, analizar, prevenir, mitigar, controlar, comunicar y monitorear

los riesgos a los cuales está expuesta. Este concepto también involucra la capacidad que

tienen las organizaciones para manejar la incertidumbre sobre la posible ocurrencia de

un evento, con el propósito de generar beneficios, así como reducir efectos financieros y

pérdidas de operación.

Derivado de lo anterior, el área de Auditoría Interna debe estructurar y desarrollar un plan

anual de trabajo sobre la base de cobertura de los principales riesgos a los cuales está

expuesta la organización, proporcionando una certeza razonable que los controles

implementados mitigan el impacto de dichos riesgos y ayudan al cumplimiento de los

objetivos estratégicos. Por ello, la Auditoría Interna debe conocer cuáles son dichos

objetivos, para identificar las principales amenazas y vulnerabilidades.

Los riesgos a los cuales está sujeta una organización son diversos. Van desde el tipo de

industria, giro o actividad; la madurez de la organización; cultura; nivel de competencia

empresarial; capacidad de respuesta del personal; tipo de producto; ambiente regulatorio;

dependencia y relación con terceros; avances tecnológicos; tecnologías de información

y comunicación, etc.


4

II. Roles de Auditoría Interna

La participación de Auditoría Interna dentro del proceso de Administración Integral de

Riesgos es brindar una opinión independiente y objetiva, que asegure de manera

razonable al Consejo de Administración y a la Alta Dirección que los principales riesgos

del negocio se están gestionando apropiadamente; por lo cual los principales roles de

Auditoría Interna son:

a) Otorgar aseguramiento de los procesos de administración y evaluación de riesgos.

b) Evaluar los procesos de administración de riesgos.

c) Revisar la administración de los riesgos claves

Asimismo, existen roles que Auditoría Interna no debe desempeñar, ya que son

responsabilidad de la Dirección General y del Consejo de Administración:

a) Definir el grado de aceptación del riesgo.

b) Imponer procesos de administración de riesgos.

c) Tomar decisiones respecto de los riesgos.

d) Ser responsables de la administración de riesgos.

Es importante destacar que ni la función de Administración Integral de Riesgos, ni la de

Auditoría Interna, sustituyen a una administración ineficaz e incompetente.

III. Factores de riesgo externos e internos

Para una efectiva identificación de riesgos presentes en una organización es necesario

considerar sus diferentes naturalezas; con tal propósito, de una manera esquemática,

podamos ejemplificar el entorno al que se enfrentan las organizaciones, mediante el

siguiente diagrama que muestra diferentes factores de riesgo clasificados en externos e

internos.

Como factores externos se pueden identificar, entre otros, los siguientes:


5

Los factores externos son los que rodean a la organización en su entorno. Una vez

identificadas las oportunidades y amenazas, se debe hacer un análisis de los factores

Internos que pueden afectar el desarrollo de la organización.

En forma enunciativa y no limitativa, a continuación se comentan los principales factores

internos de una organización:

Económico

Político

Legal Tecnológico

Ambiental

Social

Comunidad


6

Riesgo estratégico

Es el riesgo que podría generar una pérdida debido a un plan de negocios malogrado, ya

sea por el plan de negocios en sí, la toma de malas decisiones o por la ejecución

deficiente de dichas decisiones; incluso por la ausencia de los recursos necesarios o por

no saber adaptar el plan de negocios a los cambios del entorno.

De esta forma, el riesgo estratégico va en función de la compatibilidad de los objetivos

estratégicos de la compañía, las estrategias desarrolladas y los recursos utilizados para

alcanzar dichos objetivos, así como la calidad de su ejecución. Los recursos necesarios

para llevar a cabo las estrategias de negocios deben ser evaluados en relación con el

impacto de los cambios económicos, tecnológicos, competitivos y regulatorios.

La administración del riesgo estratégico recae principalmente en el nivel más alto de la

organización, que generalmente es el Consejo de Administración y se ejecuta a través

de la Dirección General de la organización, ya que las decisiones estratégicas no pueden

ser delegadas a otros niveles de la organización.

Tecnológico

Operacional

Mercado

Liquidez

Crédito

Legal

Reputacional

Capital

Humano

Estratégico


7

Riesgo reputacional

Es el riesgo de que una decisión, acción, situación, transacción, o inversión pueda reducir

la percepción sobre la integridad, capacidad y confianza de la organización, ante clientes,

autoridades, proveedores, accionistas, empleados y público en general.

El origen de este riesgo generalmente está basado en el comportamiento corporativo o

en algún suceso interno o externo que pone en duda, o en evidencia, algunas políticas o

prácticas corporativas. Dicho comportamiento es el que origina la insatisfacción de las

expectativas de los grupos de interés, lo que a su vez provoca una respuesta negativa o

adversa. Esta respuesta es la que afecta a la reputación corporativa, pues demuestra una

disminución del reconocimiento que se tenía de la organización.

La materialización de este riesgo puede tener un impacto distinto, dependiendo del giro

de la organización y situación que se haya presentado. Lo importante en este tipo de

riesgo es la oportunidad y la forma de gestionar el manejo de la crisis, cuya

responsabilidad recae en la Dirección General y el Consejo de Administración.

Este riesgo ha ido ganando relevancia en los últimos años, principalmente por la

globalización de las marcas y democratización de la información, acentuado en gran

medida por el crecimiento de las Redes Sociales.

Riesgo legal

Debido a que en las organizaciones o negocios las relaciones comerciales son cada día

más complejas, se requiere una mayor actualización y conocimiento de leyes, normas y

reglamentaciones vigentes. En este escenario el riesgo legal se puede definir como la

posibilidad de ser sancionado, multado u obligado a pagar daños, como resultado de

acciones reguladas o acuerdos privados no cumplidos.

Podemos clasificar al riesgo legal en función a las causas que lo originan, entre otras:


8

Riesgo de facultades: está basado en que las personas que actúan en nombre de la

organización o la contraparte cuenten con la capacidad legal suficiente.

Riesgo de legislación o regulatorio: las actividades no pueden ser ejecutadas por

limitación, prohibición o incertidumbre de alguna de las partes. Asimismo puede ser

por errores en la interpretación de la legislación o regulación aplicable.

Riesgo de documentación: la documentación que obliga o da derechos a la

organización de manera legal y regulatoria es incorrecta, inexistente, inadecuada,

incompleta, o está extraviada.

Riesgo tecnológico

Es importante mencionar que este riesgo puede ser causa o dar origen a otros riesgos

dentro de la organización. Una falla en los sistemas o en su infraestructura puede detener

o limitar la operación o servicios que ofrece la organización.

Riesgo crediticio

Este riesgo se define como la pérdida potencial que se origina por el incumplimiento de

una parte en una operación crediticia y el deterioro de la calidad financiera de la

contraparte, incluso en su garantía o colateral pactada en las condiciones originales.

Riesgo de mercado

El riesgo de mercado se entiende como la probabilidad de pérdida que puede sufrir una

organización, derivado de la diferencia en los precios que se registran en los mercados o

en los movimientos de los factores de riesgos, entre los que se encuentran:

Riesgo de precio de las mercancías: es el resultado negativo del precio de los insumos

y productos que utiliza la organización, dependiendo del giro de la misma.


9

Riesgo de competencia: se identifica con la posibilidad de que la calidad, precio y

servicio de los competidores se ofrezcan en mejores condiciones.

Riesgo de tipo de cambio: se da como consecuencia de la volatilidad en los tipos de

cambio de las monedas. Puede originarse por diferentes factores dependiendo del

sector o industria a la cual pertenezca la organización.

Riesgo de liquidez

Este riesgo se entiende como la pérdida originada por la incapacidad de una organización

para hacer frente a sus obligaciones.

Riesgo operacional

Este riesgo es inherente a todas las actividades, productos, sistemas y procesos. Sus

orígenes son muy variados; pueden provocar pérdidas debido a errores humanos,

procesos internos inadecuados o defectuosos, y como consecuencia de acontecimientos

externos.

El riesgo operacional lo podemos clasificar entre otros:

Personas: Las organizaciones deben administrar el capital humano de forma

adecuada, e identificar apropiadamente las capacidades no aprovechadas, fallas o

insuficiencias asociadas al factor “persona”, tales como: falta de personal adecuado,

negligencia, error humano, ambiente laboral, fraude, capacitación inadecuada o

insuficiente.

Procesos: Se deben cuidar los riesgos asociados a las fallas en los modelos utilizados,

diseño inapropiado de los procesos críticos, errores en las transacciones, políticas y

procedimientos inexistentes.


10

Riesgo de delincuencia organizada

Representado por la posibilidad de que ocurran actos criminales contra los recursos

humanos y materiales de la organización, incluyendo sus inmuebles, instalaciones,

maquinaria, equipos de reparto o transporte, equipos de cómputo, mercancías,

documentos, información documental o en archivos electrónicos, nuevos desarrollos

tecnológicos para ganar mercado, entre muchos otros ejemplos.

Riesgo ambiental

Es la probabilidad de que la actividad de la organización afecte negativamente de manera

directa o indirecta al medio ambiente. Entre otros, pueden considerarse aquellos riesgos

asociados con la descarga de aguas residuales, con la emisión de contaminantes

atmosféricos y con el manejo de residuos.

Riesgo del capital humano

Este riesgo se origina cuando hace falta personal clave, o el existente carece de la actitud,

aptitud y experiencia, necesarios para desarrollar las funciones y responsabilidades

inherentes a los puestos de trabajo. Además, puede presentarse cuando no existe una

adecuada evaluación de desempeño del personal.

IV. Proceso de administración de riesgos

Con base en los riesgos previamente enunciados, de manera no limitativa, las

organizaciones deben identificar los factores externos e internos que afectan en mayor

medida el logro de los objetivos organizacionales.

Para lograr una efectiva administración de riesgos se debe contar con la aprobación,

compromiso y soporte de la alta dirección de la organización y debe estar integrada en


11

cada línea de negocio; ya que cada empleado tiene responsabilidad en el mantenimiento

de la reputación de la organización, de esta forma, la administración de riesgos debe

contar con una estrategia clara y que sea comunicada a todos los niveles.

Los riesgos deben ser evaluados como un proceso sistemático y continuo con el fin de

poder identificarlos, alinearlos, gestionarlos, controlarlos y monitorearlos en base a los

objetivos establecidos por el nivel más alto de la organización, que generalmente es el

Consejo de Administración y ejecutado por la dirección de la compañía.

Esta evaluación debe conducir a la alta dirección a una adecuada planificación y gestión

de la organización para contribuir al cumplimiento de sus objetivos, con la participación

de Auditoría Interna en el cumplimiento de las medidas de control establecidas.

Asimismo, se deben analizar los eventos externos que puedan afectar a la consecución

de dichos objetivos y a la generación de valor para los accionistas.

Una vez que se tiene una definición clara de los riesgos a los cuales puede estar expuesta

una organización, se deberá iniciar con la medición efectiva y cuantitativa del riesgo

asociado con la probabilidad de una pérdida en el futuro. La parte primordial en la

Administración Integral de Riesgos debe cumplir con los siguientes puntos:

1. Establecimiento del contexto de la organización

2. Identificar los riesgos del negocio

3. Establecer un análisis entre costo y tolerancia o aceptación a ciertos riesgos

4. Determinar los riesgos críticos

5. Establecer controles mitigantes

6. Establecer un proceso de monitoreo constante

Una vez que se tengan los puntos antes mencionados, se le podrá dar la confianza a la

Alta Dirección, al Consejo de Administración y a los Accionistas de que se tienen

identificados, medidos, analizados, mitigados, controlados y monitoreados los principales

riesgos de la organización.

De manera esquemática, el proceso de administración de riesgos puede reflejarse de la

siguiente manera:


12

Para la Administración Integral de Riesgos existen diferentes formas de medición que

ayudan a consolidar la información generada. Parte de la función de Auditoría Interna

será verificar que la administración defina una matriz donde identifique la probabilidad de

ocurrencia y el impacto.

A continuación se presenta un ejemplo de cómo pudiera construirse una matriz midiendo

esas dos variables.

Probabilidad

A Casi imposible Difícil probabilidad de que ocurra

B Remoto Ocurrirá sólo en circunstancias excepcionales

C Probable Puede ocurrir en cualquier momento

D Muy probable Ocurrirá en la mayoría de las circunstancias

1. Establecer

el Contexto

3. Analizar

losRiesgos

4. Evaluar y

Jerarquizar los

Riesgos

5. Respuesta

al Riesgo

6. Monitorear y

Revisar losRiesgos

2. Identificar

losRiesgos

EL PROCESO DE ADMINISTRACIÓN DE RIESGOS

PROCESO CONTINUO DEL RIESGO


13


14

V. Conclusiones

Una vez analizados los riesgos de acuerdo con su probabilidad e impacto, la

Administración puede jerarquizar los procesos dentro de su organización a los que debe

enfocar sus esfuerzos.

La organización debe desarrollar una estrategia que establezca principios para la

identificación, evaluación, medición, control y monitoreo de los riesgos, de acuerdo con

sus objetivos, tamaño y complejidad de operaciones.

La función de Auditoría Interna, como uno de sus principales roles, requiere verificar que

el proceso de administración de riesgos se encuentra definido y que está siendo medido,

evaluado y monitoreado en forma continua.

Es responsabilidad de la organización identificar, evaluar e implementar los

procedimientos que controlen, compartan o transfieran los riesgos, utilizando datos e

información disponible.

Por su parte, Auditoría Interna debe evaluar si fueron identificados los riesgos relevantes

de la organización y si los controles se han diseñado de manera adecuada y están

operando de manera eficiente para mitigar el nivel de exposición.

Es importante mencionar que el proceso de Administración de Riesgos se debe llevar a

cabo de manera anual, o en su caso, antes si existieran cambios importantes en la

estructura administrativa, en la estrategia, en los procesos, sistemas o inclusive en

cualquier factor interno o externo que tuviera un impacto relevante para la organización.

auditoría interna y administración de riesgosculo te...artículo técnico de comisión se...

Documents