valoracion y manejo del riesgo - coso

VALORACION Y MANEJO DEL RIESGO - COSO

1

COMITÉ OF SPONSORING ORGANIZATIONS OF THE THEADWAY

COMISIÓN - COSO

VALORACIÓN DE RIESGOS

Cada Entidad enfrenta una variedad de riesgos derivados de fuentes

externas e internas, los cuales deben valorarse. Una condición previa para la valoración de riesgos, es el establecimiento de objetivos

enlazados en niveles diferentes y consistentes internamente. La valoración de riesgos es la identificación y análisis de los riesgos

relevantes para la consecución de los objetivos, formando una base para la determinación de cómo deben administrarse los riesgos. Dado que las

condiciones económicas, industriales, reguladas y de operación continuaran cambiando, se necesitan mecanismos para identificar y

tratar los riesgos especiales asociados con el cambio.

MARCO CONCEPTUAL DEL RIESGO

El concepto del riesgo ha tenido varias aplicaciones en cuanto a su

interpretación y manejo dependiendo de su desarrollo, llegando a identificar diferentes tipos de riesgo que las empresas tienen que

conocer, evaluar y administrar.

La oficina de Control Interno para desempeñar una mejor labor y dar un

mayor valor agregado a su trabajo, tiene la necesidad de apoyar a la Gerencia en la identificación, medición y control de dichos riesgos.

De esto se desprende que para ejercer la evaluación y el control

institucional a niveles operacional, financiera, de cumplimiento, de gestión, o en general de control o auditoría integral, debe cambiar su

equivocada función policiva para empezar a desarrollar una labor de asesoría a la gerencia, donde centre sus esfuerzos en examinar el logro

satisfactorio de los objetivos del control, más que mirar culpables o buscar delincuentes responsables.

DEFINICIONES DE RIESGO

El riesgo es una medida de incertidumbre que refleja hechos presentes o futuros que pueden ocasionar una ruptura en el flujo de información o

incumplimiento en el logro de los objetivos organizacionales.

PROCESO DE LA ADMINISTRACIÓN DEL RIESGO

La práctica de la administración de riesgos debe mantener una

secuencia lógica de procedimientos para que el alcance del trabajo sea


2

el ideal y pueda proporcionar un valor agregado real y permita un fácil

entendimiento para quienes van a efectuar el trabajo de campo, así como para los usuarios finales de la información.

Figura 1. Proceso de Administración de Riesgos

1. Determinación de Objetivos:

Se establecen de manera clara y precisa los objetivos que espera la

organización con la implementación de esta administración del riesgo y los alcances que pretende alcanzar por parte de los que ejecuten

dicha administración. Esta fase es fundamental ya que no es concebible poner a funcionar un proyecto de cualquier naturaleza sin

la debida planeación de sus objetivos.

2. Identificación de Riesgos:

Esta fase es una de las más críticas, pues si no se efectúa una debida

identificación de los potenciales riesgos a los que está expuesta una organización, estos no podrán ser debidamente administrados. No es

posible generalizar los riesgos de las empresas, ya que éstas difieren en sus actividades, ubicación geográfica, políticas específicas por

sector, patrones de tipo cultural, social, entre otros.


3

Para la identificación de riesgos se pueden utilizar una gran variedad de

herramientas y fuentes de información, entre otras:

Registros internos de la organización. Todos aquellos documentos que muestren

información concerniente a los diferentes procesos que realiza un ente económico.

El análisis de estos documentos puede revelarnos posibles errores que aumentarían

significativamente la exposición a algunos riesgos particulares. Por ejemplo, si se

observa que las facturas de venta que emite la empresa no cumplen todos los

requisitos legales, aumenta el riesgo fiscal en cuanto esto puede ocasionar sanciones

o multas ante la División de Impuestos y Aduanas Nacionales DIAN.

Políticas de seguridad: Son todas aquellas medidas que emplea la organización

para salvaguardar sus bienes y propiedades, y aquellas políticas encaminadas al

bienestar del recurso humano de la empresa. La información que nos puede

proporcionar esta fuente nos ayudará a detectar riesgos en los procesos, tales como

una inadecuada segregación de funciones.

Cuestionarios de Control Interno: Son formularios de carácter interrogativo que

se les efectúa a los encargados de cada sistema o división, con el fin de observar

posibles omisiones en la implementación de los controles, o si por el contrario,

estos controles están ayudando a minimizar el impacto de la exposición a ciertos

riesgos.

Flujogramas de los procesos: La representación gráfica de los procesos que

realiza una empresa es una herramienta que permite la identificación de los puntos

críticos de riesgo, ya que en ellos se muestran los momentos en los cuales la

responsabilidad recae sobre uno u otro funcionario, estableciendo de una forma

preliminar las factibles medidas de control que se establecerían para manejar dichos

riesgos.

Análisis de Estados Financieros: El análisis de los estados financieros nos pueden

mostrar las características del ente económico, la concentración de sus recursos y la

magnitud de ciertos rubros que o tengan un riesgo inherente mayor, tales como el

disponible; esta magnitud se puede estudiar tanto por su saldo final como por el

movimiento que efectuó a lo largo del período contable, respetando la norma básica

de la importancia relativa o materialidad.

Inspección de las operaciones: La inspección directa de las operaciones nos

proporciona información que no fue considerada en el análisis del diagrama de flujo

de los diferentes procesos que realiza un ente económico.

Entrevistas: Son contactos que se efectúan con expertos ya sean de carácter interno

o externo a la organización que nos proporcione información que nos permita una

mayor certeza de que el juicio que estemos estructurando sea el adecuado en caso

que se tengan inquietudes o incertidumbres a lo largo del trabajo de auditoría.

Lo ideal es utilizar en forma simultánea dichas fuentes de información para proporcionar una identificación más completa de los riesgos,

evitando en lo posible limitar la práctica hacia una sola de éstas fuentes.


4

McNamee proporciona tres métodos para la identificación de los riesgos,

los cuales se resumen en la siguiente tabla:

Métodos de Identificación de Riesgos.

MÉTODO OBJETIVO EJEMPLOS

Valuación

Ambiental

Utiliza el conocimiento de las

operaciones de la organización.

Considera los cambios probables

en el ambiente para identificar

consecuencias:

Económicas

Políticas

Constituyentes

Competencia

Tecnológicas

Proveedores

Régimen

Gubernamental

Físicas

Valoración

de

Exposición

Utiliza el conocimiento de los

recursos de la organización.

Considera las posibles

consecuencias para los activos

basados en:

Tamaño

Valor

Tipo (Financiero,

humano, intangible,

físico)

Movilidad/

Accesibilidad

Localización

Escenarios

de Amenaza

Define los elementos difíciles de

medir, de baja probabilidad y alta

consecuencia (Impacto).

Desastres Naturales

Terrorismo

Sabotaje

Fraude

El cuadro anterior muestra en nuestro concepto elementos claves en el

momento de la clasificación de los riesgos en tres valuaciones o valoraciones macro, las cuales pueden ser analizadas detalladamente a

nivel micro como por ejemplo: En cuanto a la valuación ambiental, se puede analizar detalladamente la competencia al nivel de:

Participación en el mercado.

Manejo de políticas de mantenimiento en el mercado (publicidad, ofertas,

descuentos).

Participación constante en el tiempo, como el caso de los productos navideños que

solamente tienen su apogeo al final de cada año.

Manejo de los insumos que requiere para la elaboración del producto final.

Análisis de potenciales clientes.

Métodos de investigación de mercados, etc.

3. Evaluación de Riesgos:

Consiste en la medición de los posibles impactos y consecuencias de

los riesgos identificados en la fase anterior. Una vez hecha la medición, se clasifican en orden de prioridad. Vaughan establece que

es mejor establecer un orden con base en criterios como:

Críticos


5

Importantes

No importantes

Dentro de esta fase cabe destacar el concepto y metodología de la valuación de riesgos (risk assessment), la cual es definida por McNamee

como "Una herramienta que ayuda a los gerentes y/o auditores a

detectar y tratar los riesgos en las operaciones; es una herramienta para la toma de decisiones...". La manera como la valuación del riesgo

sirve a los intereses de la organización en cuanto al cumplimiento de sus objetivos corporativos, se puede resumir en los siguientes aspectos:

A nivel macro se utiliza para identificar, medir y priorizar riesgos de manera que el

mayor esfuerzo sea utilizado para las áreas auditables de mayor significado.

Es una manera de asignar los recursos para satisfacer las necesidades de auditoría

de la organización.

A nivel micro se utiliza también dentro de la auditoría individual para identificar

áreas que sean más importantes dentro del alcance de la auditoría.

Incluye análisis de riesgos y los pasos prudentes que vienen de un mayor

entendimiento y conocimiento de las consecuencias de administrar en un ambiente

de incertidumbre.

Es la consideración de los probables efectos materiales de eventos inciertos.

A nivel macro, asegura que el departamento de auditoría se está enfocando en

auditar las cosas correctas. A nivel micro, dentro de cada auditoría se enfoca el

alcance en las áreas más importantes.

La práctica de la valuación de riesgos no es una aproximación desarrollada de manera aislada por algunos autores tales como David

McNamee y Emmett Vaughan, sino que también ha sido de interés para agrupaciones de profesionales, como es el caso del AICPA. Esta

asociación ha declarado que los auditores están en capacidad de ofrecer y ejecutar de manera satisfactoria los servicios de la valuación de

riesgos, teniendo en cuenta separar estos servicios de los ya incluidos en una auditoría ordinaria. El AICPA hace también énfasis en la

necesidad de estandarizar la prestación de estos servicios de valuación de riesgos, para evitar que por falta de lineamientos generales a seguir

por parte de los auditores, las organizaciones decidan hacer outsourcing

para la ejecución de la valuación de riesgos.

MEJORES PRÁCTICAS DE CONTROL INTERNO PARA LA ADMINISTRACION DEL RIESGO

Es necesario que en una organización donde se lleve a cabo el proceso

de administración del riesgo, la oficina de control interno en su

planeación incluya la evaluación y monitoreo de esta actividad. Gregg


6

Maynard propone las siguientes mejores prácticas de auditoría para

dicha evaluación.

Combinar el análisis objetivo y subjetivo del universo de auditoría para revelar

prioridades. Después de definir todas las actividades auditables (el universo de

auditoría), se asignan valores a cada una de estas actividades basándose en factores

objetivos y se da una clasificación cuantitativa por orden de importancia. Hecha

esta distribución se aplican factores subjetivos para ajustar la clasificación de la

información no cuantificable. Como resultado de este análisis combinado, se

identifican las áreas de riesgo material, de manera que los recursos de la auditoría

se asignen de manera apropiada.

Actualizar y compartir los resultados de la valuación. Las valuaciones del riesgo

deben ser continuamente reevaluadas debido a los constantes y diversos cambios

que suceden en el ambiente en el cual se desenvuelven las organizaciones

actualmente; de igual manera, los planes de auditoría se deben ajustar a estas

nuevas situaciones. Al compartir los resultados de las valuaciones con la alta

gerencia, el departamento de auditoría mejora la posición de la administración de

riesgos en la organización.

Analizar la habilidad de la administración para lograr metas y objetivos

establecidos en los informes de pre-auditoría. En estos informes, los auditores

consignan la naturaleza, historia, asuntos, éxitos y fallas de las actividades del

negocio a ser auditadas. Si junto a estas consideraciones preliminares se incluye una

evaluación de las actividades de la administración de riesgos, se logrará una

herramienta mucho más efectiva para los objetivos de la auditoría y de la

organización.

Utilizar cuestionarios para examinar los controles internos desde arriba hacia abajo.

Estos cuestionarios recopilan información valuable sobre el ambiente de control,

aunque generalmente se aplican sólo al nivel de departamentos y niveles inferiores,

pero no se aplican a nivel gerencial. El utilizar los cuestionarios en todos los niveles

de la organización provee un mejor entendimiento de la cultura organizacional.

Analizar los procesos para establecer y vigilar los límites del riesgo. Estos límites

especifican y cuantifican el rango aceptable en el cual se le permite conducirse al

negocio. Al llevar a cabo el análisis, el departamento de auditoría identifica límites

que hagan falta, evalúa lo apropiado de los límites existentes, y examina las

acciones que se toma cuando se pasan esos límites.

Revisar otras funciones de la administración de riesgos. Además del tradicional

cubrimiento de operaciones, una auditoría sobre otras funciones de la

administración de riesgos es importante. Esto lleva a que el equipo de auditoría se

diversifique en cuanto al conocimiento en diferentes áreas de la organización.

Observar el proceso de planeación estratégica y su resultado. Esta planeación es

desarrollada por la alta gerencia, y para no entrar en conflicto con la propiedad de

independencia que debe tener el equipo de auditoría, su rol será solo de consejería y

de observación, que no incluyan toma de decisiones. Al observar el proceso de

planeación estratégica, el equipo de auditoría obtiene información específica acerca

de la dirección futura de la organización, y los recursos de la auditoría se pueden

distribuir basados en nuevos riesgos, reforzando así los esfuerzos de la


7

administración del riesgo.

Evaluar iniciativas estratégicas. El éxito de estas iniciativas (fusiones,

adquisiciones, nuevos productos, alianzas, sistemas comprados,...) es un indicador

clave de la efectividad de la administración para mitigar apropiada y eficientemente

los riesgos.

Integrar las actividades de la auditoría. Algunos departamentos de auditoría están

combinando con muy buenos resultados las actividades de auditoría de Protección

Electrónica de Datos, las actividades de los Sistemas de Información Gerencial, con

los procesos financieros y operacionales. Esta integración permite evaluar la

administración de riesgos de manera sistemática y multifuncional.

Basar el proceso de auditoría en el efecto neto de las exposiciones al riesgo y los

controles compensatorios. Se trata de aplicar la ecuación "Exposición bruta al

riesgo / el control interno aplicable, igual riesgo de negocio residual". Para aplicar

esta "ecuación" es necesario entender la naturaleza y tipos de riesgo, así como

experiencia en la evaluación y aplicación de controles internos.

Asociarse con la gerencia ofreciendo servicios de consultoría e información con

valor agregado. Estos servicios que provee el departamento de auditoría mejoran la

relación adversa que a menudo existe entre el departamento y la gerencia, lo cual

mejora su status dentro de la organización.

Revisar los componentes éticos como un elemento básico del control interno. Como

elemento fundamental para un ambiente efectivo de control interno, los estándares

éticos de la organización establecen el rango aceptable en el cual se les permite

actuar a los empleados. El departamento de auditoría debe asegurar que los

estándares necesarios estén en su lugar, que los estándares existentes sean

apropiados y que las consecuencias estén diseñadas apropiadamente. Para esto el

equipo de auditoría debe examinar la comunicación y monitoreo de los estándares

éticos.

Llevar a cabo una auditoría comprensiva de todo el programa de la administración

de riesgos. La evaluación incluye un análisis de las interrelaciones entre las

funciones o pasos de la administración de riesgos, el nivel de coordinación entre

estas funciones, y el cubrimiento global del universo de la administración de

riesgos, midiendo de esta manera la efectividad del proceso.

MANEJO DEL RIESGO

Es necesario, después de identificar los riesgos, dar sugerencias para que estos sean debidamente administrados, éstas sugerencias tienen

relación directa con las técnicas para el manejo del riesgo, y se debe tener la capacidad suficiente para determinar con la debida propiedad

que técnicas aplicar a cada riesgo, teniendo en cuenta que un mismo riesgo puede ser manejado por más de una técnica.

Estas técnicas son: a) evitar, b) reducir, c) retener, d) transferir y e) compartir el riesgo. A continuación se explica cada una de estas:


8

a) EVITAR EL RIESGO

El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no se permite ningún tipo de exposición. Esto se logra simplemente con

no comprometerse con la acción que origine el riesgo. Esta técnica tiene más desventajas que ventajas, por cuanto la empresa se abstendría de

aprovechar muchas oportunidades y probablemente no cumpliría con los objetivos propuestos.

b) REDUCIR O CONTROLAR EL RIESGO

El riesgo se reduce o controla a través de la prevención por medio de la implementación de controles y su monitoreo constante. Esta es una

técnica ideal para el manejo de los riesgos, y es la más utilizada.

c) RETENER, ASUMIR O ACEPTAR EL RIESGO

Es uno de los métodos más comunes de manejar el riesgo, es la

decisión de aceptar las consecuencias de la ocurrencia del evento.

Para Vaughan, "esta retención puede ser consciente o inconsciente. La retención consciente tiene lugar cuando el riesgo es percibido y no es

transferido o reducido; cuando el riesgo no es reconocido es retenido inconscientemente.

Puede ser también voluntaria o involuntaria; la retención voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y un

acuerdo tácito de asumir las pérdidas involucradas, esta decisión se da por la falta de alternativas. La retención involuntaria se da cuando el


9

riesgo es retenido inconscientemente y también cuando el riesgo no

puede ser evitado, transferido o reducido."

d) TRANSFERIR EL RIESGO

El riesgo puede ser transferido de una organización a otra que tenga

más capacidad de tratarlo. Para algunos autores, esta técnica es la misma de compartir el riesgo; la diferencia es que al transferir el riesgo,

se cede todo, en cambio, al compartir el riesgo, la organización responde por una parte del riesgo.

e) COMPARTIR O DIVERSIFICAR EL RIESGO

Es un caso especial de la transferencia del riesgo, es también una forma de retener el riesgo. Cuando los riesgos son compartidos, la posibilidad

de pérdida es transferida de un individuo al grupo; sin embargo, compartir el riesgo es también una forma de retenerlo en la cual el

riesgo "transferido" al grupo es retenido junto con los riesgos de los demás miembros del grupo.

METODOLOGIA BÁSICA PARA ESTABLECER EL TIPO DE TECNICA

DE MANEJO DEL RIESGO

Vaughan1 ha desarrollado una matriz como herramienta para determinar

qué técnica de manejo de riesgos utilizar ante diversas situaciones. Esta matriz categoriza el riesgo en cuatro clases, basadas en la combinación

de frecuencia (probabilidad) y severidad (Impacto) de cada riesgo. Aunque no todos los riesgos se pueden clasificar así de fácil, esta matriz

da una aproximación útil para el análisis de los riesgos. 1 (Daniel Vaughan-

Whitehead; Oficina Internacional del Trabajo y Comisión Europea, Ginebra, 2007)

Matriz para Determinación de Técnicas del Tratamiento del Riesgo

ALTA

FRECUENCIA

BAJA

FRECUENCIA

ALTA

SEVERIDAD

BAJA

SEVERIDAD

Las características de cada riesgo son las que determinan su frecuencia y severidad, y son las que definen el tipo de herramienta a utilizar para su manejo y/o tratamiento.

Cuando los riesgos se caracterizan por ser de alta frecuencia y alta severidad, las


10

herramientas más apropiadas para el manejo y tratamiento son: evitarlo o

reducirlo.

Los riesgos caracterizados por alta frecuencia y baja severidad, son manejados y/o

tratados más apropiadamente a través de: retención y/o reducción.

Si los riesgos se caracterizan por tener una alta severidad y una baja frecuencia, se

pueden manejar y/o tratar mejor al transferir o compartir el riesgo.

Finalmente, los riesgos caracterizados por baja severidad y baja frecuencia se

manejan o tratan mejor mediante la retención.

De esta manera, la matriz quedaría así:

ALTA

FRECUENCIA

BAJA

FRECUENCIA

ALTA

SEVERIDAD

Evitar

Reducir

Transferir

Compartir

BAJA

SEVERIDAD

Retener

Reducir Retener

Esta metodología vale la pena resaltar que funciona en la siguiente tabla que muestra una comparación entre el enfoque de los tres paradigmas

anteriormente expuestos con respecto a ciertos aspectos clave en la práctica de una auditoría.


11

Área de

Auditoría Primer Paradigma Segundo Paradigma Tercer Paradigma

Enfoque de

Auditoría

Verificación total de

las operaciones

Sistema de Control

Interno Riesgo del Negocio

Tipo de Auditoría Financiera Financiera, operacional

Integral: financiera,

operacional, de

cumplimiento y de

gestión

Enfoque de las

Pruebas

Errores,

irregularidades y

fraudes

Actividades de control

Todas las actividades

de mitigación del

riesgo

Cobertura de las

Pruebas Total

Muestras selectivas

según confiabilidad del

control interno

Según priorización de

riesgos

Criterios a

Revisar

Eficacia, eficiencia y

economía

Eficacia, eficiencia y

economía

Eficacia, eficiencia,

economía, equidad,

ética, ecología y

normatividad legal

Ayuda de Otras

Disciplinas Ninguna Estadística e informática

Equipos

interdisciplinarios de

auditoría

Enfoque del

Informe

Establecer

responsables por

errores o fraudes

Conveniencia y

efectividad del control

interno

Conveniencia y

efectividad de la

mitigación del riesgo

Resultado de la

Auditoría

Detección de errores,

irregularidades y/o

fraudes

Controles nuevos o

mejorados

Mitigación apropiada

del riesgo

valoracion y manejo del riesgo - coso

Documents