Upload
william-caicedo
View
1.742
Download
0
Embed Size (px)
DESCRIPTION
VALORACION Y MANEJO DEL RIESGO - COSOCOMITÉ OF SPONSORING ORGANIZATIONS OF THE THEADWAY COMISIÓN - COSO VALORACIÓN DE RIESGOS Cada Entidad enfrenta una variedad de riesgos derivados de fuentes externas e internas, los cuales deben valorarse. Una condición previa para la valoración de riesgos, es el establecimiento de objetivos enlazados en niveles diferentes y consistentes internamente. La valoración de riesgos es la identificación y análisis de los riesgos relevantes para la consecución de los
Citation preview
VALORACION Y MANEJO DEL RIESGO - COSO
1
COMITÉ OF SPONSORING ORGANIZATIONS OF THE THEADWAY
COMISIÓN - COSO
VALORACIÓN DE RIESGOS
Cada Entidad enfrenta una variedad de riesgos derivados de fuentes
externas e internas, los cuales deben valorarse. Una condición previa para la valoración de riesgos, es el establecimiento de objetivos
enlazados en niveles diferentes y consistentes internamente. La valoración de riesgos es la identificación y análisis de los riesgos
relevantes para la consecución de los objetivos, formando una base para la determinación de cómo deben administrarse los riesgos. Dado que las
condiciones económicas, industriales, reguladas y de operación continuaran cambiando, se necesitan mecanismos para identificar y
tratar los riesgos especiales asociados con el cambio.
MARCO CONCEPTUAL DEL RIESGO
El concepto del riesgo ha tenido varias aplicaciones en cuanto a su
interpretación y manejo dependiendo de su desarrollo, llegando a identificar diferentes tipos de riesgo que las empresas tienen que
conocer, evaluar y administrar.
La oficina de Control Interno para desempeñar una mejor labor y dar un
mayor valor agregado a su trabajo, tiene la necesidad de apoyar a la Gerencia en la identificación, medición y control de dichos riesgos.
De esto se desprende que para ejercer la evaluación y el control
institucional a niveles operacional, financiera, de cumplimiento, de gestión, o en general de control o auditoría integral, debe cambiar su
equivocada función policiva para empezar a desarrollar una labor de asesoría a la gerencia, donde centre sus esfuerzos en examinar el logro
satisfactorio de los objetivos del control, más que mirar culpables o buscar delincuentes responsables.
DEFINICIONES DE RIESGO
El riesgo es una medida de incertidumbre que refleja hechos presentes o futuros que pueden ocasionar una ruptura en el flujo de información o
incumplimiento en el logro de los objetivos organizacionales.
PROCESO DE LA ADMINISTRACIÓN DEL RIESGO
La práctica de la administración de riesgos debe mantener una
secuencia lógica de procedimientos para que el alcance del trabajo sea
VALORACION Y MANEJO DEL RIESGO - COSO
2
el ideal y pueda proporcionar un valor agregado real y permita un fácil
entendimiento para quienes van a efectuar el trabajo de campo, así como para los usuarios finales de la información.
Figura 1. Proceso de Administración de Riesgos
1. Determinación de Objetivos:
Se establecen de manera clara y precisa los objetivos que espera la
organización con la implementación de esta administración del riesgo y los alcances que pretende alcanzar por parte de los que ejecuten
dicha administración. Esta fase es fundamental ya que no es concebible poner a funcionar un proyecto de cualquier naturaleza sin
la debida planeación de sus objetivos.
2. Identificación de Riesgos:
Esta fase es una de las más críticas, pues si no se efectúa una debida
identificación de los potenciales riesgos a los que está expuesta una organización, estos no podrán ser debidamente administrados. No es
posible generalizar los riesgos de las empresas, ya que éstas difieren en sus actividades, ubicación geográfica, políticas específicas por
sector, patrones de tipo cultural, social, entre otros.
VALORACION Y MANEJO DEL RIESGO - COSO
3
Para la identificación de riesgos se pueden utilizar una gran variedad de
herramientas y fuentes de información, entre otras:
Registros internos de la organización. Todos aquellos documentos que muestren
información concerniente a los diferentes procesos que realiza un ente económico.
El análisis de estos documentos puede revelarnos posibles errores que aumentarían
significativamente la exposición a algunos riesgos particulares. Por ejemplo, si se
observa que las facturas de venta que emite la empresa no cumplen todos los
requisitos legales, aumenta el riesgo fiscal en cuanto esto puede ocasionar sanciones
o multas ante la División de Impuestos y Aduanas Nacionales DIAN.
Políticas de seguridad: Son todas aquellas medidas que emplea la organización
para salvaguardar sus bienes y propiedades, y aquellas políticas encaminadas al
bienestar del recurso humano de la empresa. La información que nos puede
proporcionar esta fuente nos ayudará a detectar riesgos en los procesos, tales como
una inadecuada segregación de funciones.
Cuestionarios de Control Interno: Son formularios de carácter interrogativo que
se les efectúa a los encargados de cada sistema o división, con el fin de observar
posibles omisiones en la implementación de los controles, o si por el contrario,
estos controles están ayudando a minimizar el impacto de la exposición a ciertos
riesgos.
Flujogramas de los procesos: La representación gráfica de los procesos que
realiza una empresa es una herramienta que permite la identificación de los puntos
críticos de riesgo, ya que en ellos se muestran los momentos en los cuales la
responsabilidad recae sobre uno u otro funcionario, estableciendo de una forma
preliminar las factibles medidas de control que se establecerían para manejar dichos
riesgos.
Análisis de Estados Financieros: El análisis de los estados financieros nos pueden
mostrar las características del ente económico, la concentración de sus recursos y la
magnitud de ciertos rubros que o tengan un riesgo inherente mayor, tales como el
disponible; esta magnitud se puede estudiar tanto por su saldo final como por el
movimiento que efectuó a lo largo del período contable, respetando la norma básica
de la importancia relativa o materialidad.
Inspección de las operaciones: La inspección directa de las operaciones nos
proporciona información que no fue considerada en el análisis del diagrama de flujo
de los diferentes procesos que realiza un ente económico.
Entrevistas: Son contactos que se efectúan con expertos ya sean de carácter interno
o externo a la organización que nos proporcione información que nos permita una
mayor certeza de que el juicio que estemos estructurando sea el adecuado en caso
que se tengan inquietudes o incertidumbres a lo largo del trabajo de auditoría.
Lo ideal es utilizar en forma simultánea dichas fuentes de información para proporcionar una identificación más completa de los riesgos,
evitando en lo posible limitar la práctica hacia una sola de éstas fuentes.
VALORACION Y MANEJO DEL RIESGO - COSO
4
McNamee proporciona tres métodos para la identificación de los riesgos,
los cuales se resumen en la siguiente tabla:
Métodos de Identificación de Riesgos.
MÉTODO OBJETIVO EJEMPLOS
Valuación
Ambiental
Utiliza el conocimiento de las
operaciones de la organización.
Considera los cambios probables
en el ambiente para identificar
consecuencias:
Económicas
Políticas
Constituyentes
Competencia
Tecnológicas
Proveedores
Régimen
Gubernamental
Físicas
Valoración
de
Exposición
Utiliza el conocimiento de los
recursos de la organización.
Considera las posibles
consecuencias para los activos
basados en:
Tamaño
Valor
Tipo (Financiero,
humano, intangible,
físico)
Movilidad/
Accesibilidad
Localización
Escenarios
de Amenaza
Define los elementos difíciles de
medir, de baja probabilidad y alta
consecuencia (Impacto).
Desastres Naturales
Terrorismo
Sabotaje
Fraude
El cuadro anterior muestra en nuestro concepto elementos claves en el
momento de la clasificación de los riesgos en tres valuaciones o valoraciones macro, las cuales pueden ser analizadas detalladamente a
nivel micro como por ejemplo: En cuanto a la valuación ambiental, se puede analizar detalladamente la competencia al nivel de:
Participación en el mercado.
Manejo de políticas de mantenimiento en el mercado (publicidad, ofertas,
descuentos).
Participación constante en el tiempo, como el caso de los productos navideños que
solamente tienen su apogeo al final de cada año.
Manejo de los insumos que requiere para la elaboración del producto final.
Análisis de potenciales clientes.
Métodos de investigación de mercados, etc.
3. Evaluación de Riesgos:
Consiste en la medición de los posibles impactos y consecuencias de
los riesgos identificados en la fase anterior. Una vez hecha la medición, se clasifican en orden de prioridad. Vaughan establece que
es mejor establecer un orden con base en criterios como:
Críticos
VALORACION Y MANEJO DEL RIESGO - COSO
5
Importantes
No importantes
Dentro de esta fase cabe destacar el concepto y metodología de la valuación de riesgos (risk assessment), la cual es definida por McNamee
como "Una herramienta que ayuda a los gerentes y/o auditores a
detectar y tratar los riesgos en las operaciones; es una herramienta para la toma de decisiones...". La manera como la valuación del riesgo
sirve a los intereses de la organización en cuanto al cumplimiento de sus objetivos corporativos, se puede resumir en los siguientes aspectos:
A nivel macro se utiliza para identificar, medir y priorizar riesgos de manera que el
mayor esfuerzo sea utilizado para las áreas auditables de mayor significado.
Es una manera de asignar los recursos para satisfacer las necesidades de auditoría
de la organización.
A nivel micro se utiliza también dentro de la auditoría individual para identificar
áreas que sean más importantes dentro del alcance de la auditoría.
Incluye análisis de riesgos y los pasos prudentes que vienen de un mayor
entendimiento y conocimiento de las consecuencias de administrar en un ambiente
de incertidumbre.
Es la consideración de los probables efectos materiales de eventos inciertos.
A nivel macro, asegura que el departamento de auditoría se está enfocando en
auditar las cosas correctas. A nivel micro, dentro de cada auditoría se enfoca el
alcance en las áreas más importantes.
La práctica de la valuación de riesgos no es una aproximación desarrollada de manera aislada por algunos autores tales como David
McNamee y Emmett Vaughan, sino que también ha sido de interés para agrupaciones de profesionales, como es el caso del AICPA. Esta
asociación ha declarado que los auditores están en capacidad de ofrecer y ejecutar de manera satisfactoria los servicios de la valuación de
riesgos, teniendo en cuenta separar estos servicios de los ya incluidos en una auditoría ordinaria. El AICPA hace también énfasis en la
necesidad de estandarizar la prestación de estos servicios de valuación de riesgos, para evitar que por falta de lineamientos generales a seguir
por parte de los auditores, las organizaciones decidan hacer outsourcing
para la ejecución de la valuación de riesgos.
MEJORES PRÁCTICAS DE CONTROL INTERNO PARA LA ADMINISTRACION DEL RIESGO
Es necesario que en una organización donde se lleve a cabo el proceso
de administración del riesgo, la oficina de control interno en su
planeación incluya la evaluación y monitoreo de esta actividad. Gregg
VALORACION Y MANEJO DEL RIESGO - COSO
6
Maynard propone las siguientes mejores prácticas de auditoría para
dicha evaluación.
Combinar el análisis objetivo y subjetivo del universo de auditoría para revelar
prioridades. Después de definir todas las actividades auditables (el universo de
auditoría), se asignan valores a cada una de estas actividades basándose en factores
objetivos y se da una clasificación cuantitativa por orden de importancia. Hecha
esta distribución se aplican factores subjetivos para ajustar la clasificación de la
información no cuantificable. Como resultado de este análisis combinado, se
identifican las áreas de riesgo material, de manera que los recursos de la auditoría
se asignen de manera apropiada.
Actualizar y compartir los resultados de la valuación. Las valuaciones del riesgo
deben ser continuamente reevaluadas debido a los constantes y diversos cambios
que suceden en el ambiente en el cual se desenvuelven las organizaciones
actualmente; de igual manera, los planes de auditoría se deben ajustar a estas
nuevas situaciones. Al compartir los resultados de las valuaciones con la alta
gerencia, el departamento de auditoría mejora la posición de la administración de
riesgos en la organización.
Analizar la habilidad de la administración para lograr metas y objetivos
establecidos en los informes de pre-auditoría. En estos informes, los auditores
consignan la naturaleza, historia, asuntos, éxitos y fallas de las actividades del
negocio a ser auditadas. Si junto a estas consideraciones preliminares se incluye una
evaluación de las actividades de la administración de riesgos, se logrará una
herramienta mucho más efectiva para los objetivos de la auditoría y de la
organización.
Utilizar cuestionarios para examinar los controles internos desde arriba hacia abajo.
Estos cuestionarios recopilan información valuable sobre el ambiente de control,
aunque generalmente se aplican sólo al nivel de departamentos y niveles inferiores,
pero no se aplican a nivel gerencial. El utilizar los cuestionarios en todos los niveles
de la organización provee un mejor entendimiento de la cultura organizacional.
Analizar los procesos para establecer y vigilar los límites del riesgo. Estos límites
especifican y cuantifican el rango aceptable en el cual se le permite conducirse al
negocio. Al llevar a cabo el análisis, el departamento de auditoría identifica límites
que hagan falta, evalúa lo apropiado de los límites existentes, y examina las
acciones que se toma cuando se pasan esos límites.
Revisar otras funciones de la administración de riesgos. Además del tradicional
cubrimiento de operaciones, una auditoría sobre otras funciones de la
administración de riesgos es importante. Esto lleva a que el equipo de auditoría se
diversifique en cuanto al conocimiento en diferentes áreas de la organización.
Observar el proceso de planeación estratégica y su resultado. Esta planeación es
desarrollada por la alta gerencia, y para no entrar en conflicto con la propiedad de
independencia que debe tener el equipo de auditoría, su rol será solo de consejería y
de observación, que no incluyan toma de decisiones. Al observar el proceso de
planeación estratégica, el equipo de auditoría obtiene información específica acerca
de la dirección futura de la organización, y los recursos de la auditoría se pueden
distribuir basados en nuevos riesgos, reforzando así los esfuerzos de la
VALORACION Y MANEJO DEL RIESGO - COSO
7
administración del riesgo.
Evaluar iniciativas estratégicas. El éxito de estas iniciativas (fusiones,
adquisiciones, nuevos productos, alianzas, sistemas comprados,...) es un indicador
clave de la efectividad de la administración para mitigar apropiada y eficientemente
los riesgos.
Integrar las actividades de la auditoría. Algunos departamentos de auditoría están
combinando con muy buenos resultados las actividades de auditoría de Protección
Electrónica de Datos, las actividades de los Sistemas de Información Gerencial, con
los procesos financieros y operacionales. Esta integración permite evaluar la
administración de riesgos de manera sistemática y multifuncional.
Basar el proceso de auditoría en el efecto neto de las exposiciones al riesgo y los
controles compensatorios. Se trata de aplicar la ecuación "Exposición bruta al
riesgo / el control interno aplicable, igual riesgo de negocio residual". Para aplicar
esta "ecuación" es necesario entender la naturaleza y tipos de riesgo, así como
experiencia en la evaluación y aplicación de controles internos.
Asociarse con la gerencia ofreciendo servicios de consultoría e información con
valor agregado. Estos servicios que provee el departamento de auditoría mejoran la
relación adversa que a menudo existe entre el departamento y la gerencia, lo cual
mejora su status dentro de la organización.
Revisar los componentes éticos como un elemento básico del control interno. Como
elemento fundamental para un ambiente efectivo de control interno, los estándares
éticos de la organización establecen el rango aceptable en el cual se les permite
actuar a los empleados. El departamento de auditoría debe asegurar que los
estándares necesarios estén en su lugar, que los estándares existentes sean
apropiados y que las consecuencias estén diseñadas apropiadamente. Para esto el
equipo de auditoría debe examinar la comunicación y monitoreo de los estándares
éticos.
Llevar a cabo una auditoría comprensiva de todo el programa de la administración
de riesgos. La evaluación incluye un análisis de las interrelaciones entre las
funciones o pasos de la administración de riesgos, el nivel de coordinación entre
estas funciones, y el cubrimiento global del universo de la administración de
riesgos, midiendo de esta manera la efectividad del proceso.
MANEJO DEL RIESGO
Es necesario, después de identificar los riesgos, dar sugerencias para que estos sean debidamente administrados, éstas sugerencias tienen
relación directa con las técnicas para el manejo del riesgo, y se debe tener la capacidad suficiente para determinar con la debida propiedad
que técnicas aplicar a cada riesgo, teniendo en cuenta que un mismo riesgo puede ser manejado por más de una técnica.
Estas técnicas son: a) evitar, b) reducir, c) retener, d) transferir y e) compartir el riesgo. A continuación se explica cada una de estas:
VALORACION Y MANEJO DEL RIESGO - COSO
8
a) EVITAR EL RIESGO
El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no se permite ningún tipo de exposición. Esto se logra simplemente con
no comprometerse con la acción que origine el riesgo. Esta técnica tiene más desventajas que ventajas, por cuanto la empresa se abstendría de
aprovechar muchas oportunidades y probablemente no cumpliría con los objetivos propuestos.
b) REDUCIR O CONTROLAR EL RIESGO
El riesgo se reduce o controla a través de la prevención por medio de la implementación de controles y su monitoreo constante. Esta es una
técnica ideal para el manejo de los riesgos, y es la más utilizada.
c) RETENER, ASUMIR O ACEPTAR EL RIESGO
Es uno de los métodos más comunes de manejar el riesgo, es la
decisión de aceptar las consecuencias de la ocurrencia del evento.
Para Vaughan, "esta retención puede ser consciente o inconsciente. La retención consciente tiene lugar cuando el riesgo es percibido y no es
transferido o reducido; cuando el riesgo no es reconocido es retenido inconscientemente.
Puede ser también voluntaria o involuntaria; la retención voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y un
acuerdo tácito de asumir las pérdidas involucradas, esta decisión se da por la falta de alternativas. La retención involuntaria se da cuando el
VALORACION Y MANEJO DEL RIESGO - COSO
9
riesgo es retenido inconscientemente y también cuando el riesgo no
puede ser evitado, transferido o reducido."
d) TRANSFERIR EL RIESGO
El riesgo puede ser transferido de una organización a otra que tenga
más capacidad de tratarlo. Para algunos autores, esta técnica es la misma de compartir el riesgo; la diferencia es que al transferir el riesgo,
se cede todo, en cambio, al compartir el riesgo, la organización responde por una parte del riesgo.
e) COMPARTIR O DIVERSIFICAR EL RIESGO
Es un caso especial de la transferencia del riesgo, es también una forma de retener el riesgo. Cuando los riesgos son compartidos, la posibilidad
de pérdida es transferida de un individuo al grupo; sin embargo, compartir el riesgo es también una forma de retenerlo en la cual el
riesgo "transferido" al grupo es retenido junto con los riesgos de los demás miembros del grupo.
METODOLOGIA BÁSICA PARA ESTABLECER EL TIPO DE TECNICA
DE MANEJO DEL RIESGO
Vaughan1 ha desarrollado una matriz como herramienta para determinar
qué técnica de manejo de riesgos utilizar ante diversas situaciones. Esta matriz categoriza el riesgo en cuatro clases, basadas en la combinación
de frecuencia (probabilidad) y severidad (Impacto) de cada riesgo. Aunque no todos los riesgos se pueden clasificar así de fácil, esta matriz
da una aproximación útil para el análisis de los riesgos. 1 (Daniel Vaughan-
Whitehead; Oficina Internacional del Trabajo y Comisión Europea, Ginebra, 2007)
Matriz para Determinación de Técnicas del Tratamiento del Riesgo
ALTA
FRECUENCIA
BAJA
FRECUENCIA
ALTA
SEVERIDAD
BAJA
SEVERIDAD
Las características de cada riesgo son las que determinan su frecuencia y severidad, y son las que definen el tipo de herramienta a utilizar para su manejo y/o tratamiento.
Cuando los riesgos se caracterizan por ser de alta frecuencia y alta severidad, las
VALORACION Y MANEJO DEL RIESGO - COSO
10
herramientas más apropiadas para el manejo y tratamiento son: evitarlo o
reducirlo.
Los riesgos caracterizados por alta frecuencia y baja severidad, son manejados y/o
tratados más apropiadamente a través de: retención y/o reducción.
Si los riesgos se caracterizan por tener una alta severidad y una baja frecuencia, se
pueden manejar y/o tratar mejor al transferir o compartir el riesgo.
Finalmente, los riesgos caracterizados por baja severidad y baja frecuencia se
manejan o tratan mejor mediante la retención.
De esta manera, la matriz quedaría así:
ALTA
FRECUENCIA
BAJA
FRECUENCIA
ALTA
SEVERIDAD
Evitar
Reducir
Transferir
Compartir
BAJA
SEVERIDAD
Retener
Reducir Retener
Esta metodología vale la pena resaltar que funciona en la siguiente tabla que muestra una comparación entre el enfoque de los tres paradigmas
anteriormente expuestos con respecto a ciertos aspectos clave en la práctica de una auditoría.
VALORACION Y MANEJO DEL RIESGO - COSO
11
Área de
Auditoría Primer Paradigma Segundo Paradigma Tercer Paradigma
Enfoque de
Auditoría
Verificación total de
las operaciones
Sistema de Control
Interno Riesgo del Negocio
Tipo de Auditoría Financiera Financiera, operacional
Integral: financiera,
operacional, de
cumplimiento y de
gestión
Enfoque de las
Pruebas
Errores,
irregularidades y
fraudes
Actividades de control
Todas las actividades
de mitigación del
riesgo
Cobertura de las
Pruebas Total
Muestras selectivas
según confiabilidad del
control interno
Según priorización de
riesgos
Criterios a
Revisar
Eficacia, eficiencia y
economía
Eficacia, eficiencia y
economía
Eficacia, eficiencia,
economía, equidad,
ética, ecología y
normatividad legal
Ayuda de Otras
Disciplinas Ninguna Estadística e informática
Equipos
interdisciplinarios de
auditoría
Enfoque del
Informe
Establecer
responsables por
errores o fraudes
Conveniencia y
efectividad del control
interno
Conveniencia y
efectividad de la
mitigación del riesgo
Resultado de la
Auditoría
Detección de errores,
irregularidades y/o
fraudes
Controles nuevos o
mejorados
Mitigación apropiada
del riesgo