Este documento describe los fundamentos y componentes de la administración de riesgos. Explica que la administración de riesgos identifica eventos que podrían afectar el logro de los objetivos de una entidad y administra los riesgos para mantenerlos dentro de los niveles de riesgo aceptables. Luego describe los pasos para identificar, evaluar y priorizar los riesgos, incluyendo la definición de objetivos, la identificación de eventos internos y externos, y la evaluación de la probabilidad e impacto de los riesgos.
1. Curso:
Análisis de riesgos
Instituto de Capacitación y
Unidad General de Administración Desarrollo en Fiscalización
Superior
1
2. OBJETIVO GENERAL: Al término del curso, el servidor público de la
ASF será capaz de:
Discutir casos concretos de fiscalización que puedan caracterizar
hechos relacionados con el análisis y evaluación de riesgos, y
establecer el impacto que conllevan para la entidad y para la auditoría,
los niveles de aceptación del riesgo, con el fin de proponer medidas de
control basadas en el marco de riesgo/control más adecuado.
2
3. INDICE
Introducción 4
1 Fundamentos y marco conceptual de la administración (gestión) de riesgos 5
1.1 Definición de eventos, riesgos y oportunidades 5
1.2 Administración de riesgos 5
1.3 Consecución de objetivos y componentes 6
1.4 Responsabilidades en la administración de riesgos 8
2 Evaluación e impacto de riesgos 10
2.1 Identificación de eventos 10
2.2 Evaluación y priorización de los riesgos 14
3 Respuesta a los riesgos 17
3.1 Tipos de respuesta a los riesgos 17
3.2 Aceptación de los riesgos por parte de la administración 18
4 Evaluación de los riesgos, para la fiscalización 19
4.1 Normas y criterios internacionales de fiscalización y el análisis de riesgos 19
4.1.1 Normatividad - Organización Internacional de Entidades Fiscalizadoras Superiores 19
(INTOSAI)
4.1.2 Normas Internacionales de Auditoría – International Federation of Accountants 21
4.2 Importancia del análisis de riesgos en la fiscalización 24
Bibliografía 25
3
4. Introducción
Las entidades existen con el fin último de generar valor para sus grupos de interés, en el sector público,
particularmente el servicio a los ciudadanos. En la consecución de ese fin, todas enfrentan incertidumbre y el reto es
determinar cuánta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de
interés.
Esa incertidumbre implica enfrentarse a riesgos pero también la posibilidad de aprovechar oportunidades, y en su
propia dirección pueden afectar el logro de los fines de la entidad.
Al paso del tiempo, diferentes disciplinas profesionales han desarrollado una variedad de definiciones y perspectivas
en cuanto a los riesgos, su identificación y valoración.
Con el objeto de integrar modelo conceptual común para la administración de riesgos, proporcionando directrices
para la evaluación y mejora en la identificación de riesgos y los procedimientos de análisis de los mismos, el
Committee of Sponsoring Organizations of the Treadway Commission (COSO) desarrollo el Marco Integrado sobre
Administración de Riesgos (ERM, por sus siglas en inglés).
Dicho comité formado está integrado por representantes de la American Accounting Association, American Institute
of Certified Public Accountants, Financial Executives International, Institute of Management Accountants y The
Institute of Internal Auditors, La relevancia y autoridad del Comité COSO, ha sido demostrada con el Marco Integrado
de Control Interno, hoy aceptado como referencia conceptual común alrededor del mundo tanto en el ámbito del
sector privado, como del sector público.
Las siguientes definiciones corresponden al Marco Integrado sobre Administración de Riesgos. El análisis de riesgos
para efectos de éste curso se plantea dentro del contexto de éste Marco.
4
5. 1. Fundamentos y marco conceptual de la administración (gestión) de riesgos
Objetivo:
Identificar de manera general que es riesgo, la administración de riesgos, el modelo internacional y sus
componentes, así como, las responsabilidades en la administración de los riesgos.
1.1 Definición de eventos, riesgos y oportunidades
Un evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta a la consecución
de objetivos y que puede tener un impacto negativo o positivo o de ambos tipos a la vez.
Los eventos de signo negativo constituyen riesgos. Por ello, riesgo es la posibilidad de que un evento ocurra y afecte
desfavorablemente al logro de objetivos.
Los eventos con impacto positivo pueden compensar otros impactos negativos o representar oportunidades. Por ello,
oportunidad es la posibilidad de que un evento ocurra y afecte positivamente a la consecución de objetivos.
1.2 Administración de riesgos
La administración de riesgos se ocupa de los riesgos y oportunidades que afecta a la creación de valor o su
preservación. Se define de la siguiente manera:
“La administración de riesgos es un proceso efectuado por el Órgano de Gobierno de una entidad, su dirección y
restante personal, aplicado en la definición de la estrategia en toda la entidad, diseñado para identificar eventos
potenciales que puedan afectar a la organización y administrar los riesgos dentro del riesgo aceptado,
proporcionando una seguridad razonable sobre la consecución de los objetivos de la entidad.”1
La administración de riesgos incluye:
Alinear el riesgo aceptado y la estrategia,
Mejorar las decisiones de respuesta a los riesgos,
Reducir sorpresas y pérdidas operativas,
Identificar y gestionar la diversidad de riesgos para toda la entidad,
Aprovechar las oportunidades,
Mejorar la utilización de capital.
1
Ver Administración de Riesgos Corporativos - Marco Integrado, Committee of Sponsoring Organizations of
theTreadway Commission, 2005.
5
6. 1.3 Consecución de objetivos y componentes
Consecución de objetivos
Dentro del Contexto de misión y visión establecida en una entidad, su dirección establece los objetivos estratégicos,
selecciona la estrategia y fija objetivos alineados que fluyen en cascada en toda la entidad. Los objetivos a que nos
referimos en éste contexto se pueden clasificar en cuatro categorías:
Estratégicos: Objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo.
Operativos: Objetivos vinculados al uso efectivo y eficiente de recursos.
Reporte: Confiabilidad de los reportes.
Cumplimiento: Objetivos relativos al cumplimiento de leyes y regulaciones aplicables.
Considerando las directrices de INTOSAI dada su importancia en el ámbito del sector gubernamental un objetivo
importante a considerar en forma explícitamente separada es:
Salvaguarda de activos: Objetivos relacionados con la salvaguarda de los recursos contra pérdida, uso
indebido y daño.
Componentes de la administración de riesgos
De acuerdo con éste Marco, la administración de riesgos consta de ocho componentes relacionados entre sí, que se
derivan de la manera en que la dirección conduce la entidad y cómo están integrados en el proceso de gestión. Estos
componentes son:
Ambiente interno – Abarca el tono de una organización y establece la base de cómo el personal de la
entidad percibe y trata los riesgos, incluyendo la filosofía de administración de riesgo y el riesgo aceptado, la
integridad, valores éticos y el ambiente en el cual ellos operan.
Establecimiento de Objetivos – Los objetivos deben existir antes de que la dirección pueda identificar
potenciales eventos que afecten su consecución. La administración de riesgos asegura que la dirección ha
establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misión de la entidad
y están en línea con ella, además de ser consecuente con el riesgo aceptado.
Identificación de eventos – Los eventos internos y externos que afectan a los objetivos de la entidad
deben ser identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten hacia la
estrategia de la dirección o los procesos para fijar objetivos.
Evaluación de riesgos – Los riesgos se analizan considerando su probabilidad e impacto como base para
determinar cómo deben ser administrados. Los riesgos son evaluados sobre una base inherente y residual.
Respuesta al riesgo – La dirección selecciona las posibles respuestas – evitar, aceptar, reducir o
compartir los riesgos – desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las
tolerancias al riesgo de la entidad.
Actividades de control – Las políticas y procedimientos se establecen e implantan para ayudar a asegurar
que las respuestas a los riesgos se llevan a cabo efectivamente.
6
7. Información y comunicación – La información relevante se identifica, captura y comunica en forma y plazo
adecuado para permitir al personal afrontar sus responsabilidades. Una comunicación efectiva debe
producir en un sentido amplio, fluyendo hacia abajo, a través y hacia arriba de la entidad.
Monitoreo – La totalidad de la administración de riesgos es monitoreada y se efectúan las modificaciones
necesarias. Este monitoreo se lleva a cabo mediante actividades permanentes de la dirección, evaluaciones
independientes o ambas actuaciones a la vez.
Para efectos metodológicos de aprendizaje, el contenido de este curso se concentra en el segundo a quinto
componentes. El resto de los componentes son más ampliamente revisados en el curso Evaluación del Control
Interno.
Las cuatro o cinco categorías de objetivos – estratégicos, operativos, reporte y cumplimiento (y salvaguarda de
activos, en su caso) – están representados por columnas verticales, los ocho componentes por filas horizontales, y
las unidades de la entidad por la tercera dimensión. Este gráfico refleja la capacidad de centrarse sobre la totalidad
de la administración de riesgos de una entidad o bien por categoría de objetivos, componente, unidad o cualquier
subconjunto deseado.
Relación Objetivos – Componentes – Unidades, de la entidad
1.4 Responsabilidades en la administración de riesgos
Como ya lo comentamos desde la definición, la administración de los riesgos es efectuada por diversas personas
implicadas cada una con responsabilidades importantes, sin embargo, hay quienes realizan y tienen un rol directo y
7
8. quienes contribuyen a la identificación de eventos y la mejora del proceso desde una perspectiva indirecta, sin asumir
una responsabilidad en si misma.
Por ello podemos dividir el rol de su participación en:
Personal de la Entidad y
Terceros
Personal de la Entidad
Junta de Gobierno, Órgano de Gobierno Proporciona monitoreo, asesoramiento y orientación a la
alta dirección. Al selecciona al equipo directivo define
integridad y valores éticos. Es consciente del riesgo
aceptado por la entidad y está de acuerdo con él y lo
contrasta con el portafolio de riesgos. Se mantiene
informado de los riesgos más significativos y de si la
dirección está respondiendo adecuadamente.
Dirección Es responsable de la administración de riesgos en la
entidad. Los altos directivos a cargo de las unidades
organizacionales tienen la responsabilidad de
administrar los riesgos relacionados con los objetivos de
sus unidades.
Administrador de Riesgos (CRO) Trabaja junto a otros directivos para establecer una
administración efectiva en sus respectivas áreas de
responsabilidad. Monitorea el progreso de la gestión de
riesgos, sirve como un canal complementario de reporte.
Auditores Internos Juegan un rol clave en la evaluación de la efectividad – y
mejoramientos recomendados – de la administración de
riesgos.
Otro personal de la entidad Responsables de la administración de riesgos en el
ámbito de sus funciones, lo que debería ser una parte
explícita o implícita en su descriptivo del puesto.
8
9. Terceros
Auditores Externos Aportan a la Junta de Gobierno u Órgano similar y a la
dirección una perspectiva única, independiente y
objetiva que puede contribuir al logro de sus objetivos de
información financiera externa, principalmente, por parte
de una entidad.
Legisladores y Reguladores Afectan la administración de riesgos a través de
requisitos para establecer mecanismos de
administración de riesgos o controles internos o bien
mediante inspección de determinadas entidades.
Terceros en Interacción con la Entidad Clientes, proveedores, socios de negocio, y otros
terceros que colaboran en los negocios son una fuente
de información importante usada en las actividades de
administración de riesgos.
Proveedores de servicios tercerizados (Outsourcing) Aunque los proveedores externos realicen actividades
para cada entidad y por su cuenta, las respectivas
direcciones no abdicar de su responsabilidad de
administración de riesgos correspondientes y deberían
implantar un programa para monitorear esas
actividades.
Analistas Financieros, Agencias Calificadoras y medios Las actividades investigadoras y de seguimiento de
de comunicación dichos terceros pueden proporcionar ideas sobre cómo
otros perciben el funcionamiento de la entidad, las
estrategias innovadoras operativas o financieras que
pueden mejorar el rendimiento y las tendencias del
sector.
9
10. 2 Evaluación e impacto de riesgos
Objetivo: Distinguir los pasos metodológicos que se requieren realizar para la evaluación de los
riesgos, a través de la identificación, valuación y priorización de los riesgos.
2.1 Identificación de eventos
Todas las entidades, sin hacer caso de tamaño, estructura, naturaleza o clase de industria, enfrentan riesgos en
todos los niveles de sus organizaciones. Los riesgos afectan la habilidad de la entidad para sobrevivir; la
administración debe determinar cuánto riesgo es prudente aceptar, y se esfuerza por mantenerlos dentro de esos
niveles.
La definición de objetivos2 es una condición previa para la valoración de riesgo. Primero que todo, deben definirse los
objetivos a fin de que la administración pueda identificar los riesgos y tomar las acciones necesarias para
administrarlos. La definición de objetivos puede ser un proceso altamente estructurado o informal. Los objetivos
pueden definirse explícitamente, o ser implícitos, tal como mantenerse en un nivel pasado de desempeño. Los
objetivos a menudo están representados por la misión de la entidad y por la declaración de valores. El conocimiento
de las fortalezas y debilidades de la entidad, y de las oportunidades y amenazas, conducen hacia una estrategia
global. Generalmente el plan estratégico es establecido de manera amplia, teniendo que ver con el nivel alto de
asignación de recursos y prioridades.
De la estrategia amplia de la entidad fluyen objetivos más específicos. A nivel de la entidad están enlazados e
integrados con los objetivos más específicos establecidos para actividades varias, tales como ventas, producción e
ingeniería, asegurando que ellos sean consistentes. Tales sub-objetivos u objetivos de nivel de actividad incluyen el
establecimiento de metas y deben relacionarse con los objetivos de líneas de producto, mercado, financiación y
utilidades.
Definiendo objetivos en los niveles de la entidad y de actividad, en una entidad puede identificar los factores críticos
de éxito. Esos son asuntos claves que den ser correctos si las metas se planearon para ser alcanzadas. Los factores
críticos de éxito se aplican para la entidad, para una unidad de negocios, una función, un departamento o un
individuo. La definición de objetivos le facilita a la administración identificar los criterios de medición del desempeño,
centrándose en los factores críticos de éxito.
A pesar de la diversidad de objetivos, en adición a los estratégicos, pueden establecerse ciertas categorías
principales:
Objetivos de operaciones: Hacen referencia a la efectividad y eficiencia de las operaciones de la entidad,
incluyendo objetivos de desempeño y rentabilidad, así como, recursos de salvaguarda contra pérdidas.
Varían dependiendo de la selección de los administradores respecto de estructura y desempeño.
2
Ver Control Interno – Informe COSO, Committee of Sponsoring Organizations of the Treadway Commission, ECOE
Ediciones 2005
10
11. Objetivos de información: Hacen referencia a la preparación de estados financieros que sean confiables,
incluyendo la prevención de información financiera fraudulenta. El enfoque más reciente incluye también la
confiabilidad de la información no financiera.
Objetivos de cumplimiento. Estos objetivos hacen referencia a la adhesión a las leyes y regulaciones a las
cuales la entidad está sujeta. Dependen de factores externos, tales como regulaciones ambientales, y
tienden a ser similares para todas las entidades en algunos casos y para toda una industria en otros casos.
El proceso de identificación y análisis de riesgos es un proceso iterativo; los administradores se deben centrar
cuidadosamente en los riesgos en todos los niveles de la entidad y realizar las acciones necesarias para
administrarlos.
El desempeño de una entidad puede estar en riesgo a causa de factores internos o externos. Esos factores, a su
turno, pueden afectar tanto los objetivos establecidos como los implícitos. Los riesgos se incrementan en la medida
en que los objetivos difieren crecientemente del desempeño pasado. En un número de áreas de desempeño, una
entidad, a menudo, no define explícitamente los objetivos globales puesto que considera aceptable su desempeño.
Aunque en esas circunstancias no hay allí un objetivo explícito o escrito, existe un objetivo implícito de no cabio o
como es. Esto no significa que un objetivo implícito, con riesgos internos o externos, por ejemplo, permita ver como
aceptable el servicio que una entidad preste a sus clientes. Tampoco quiere decir que puedan deteriorarse las
prácticas de un competidor tal y cómo son percibidas por sus clientes.
Mirando si un objetivo está establecido o es implícito, el proceso de valoración de riesgos de una entidad puede
considerar los que pueden ocurrir. Es importante que la identificación de riesgos sea integral. Debe considerar todas
las interacciones significativas – de bienes, servicios e información- entre una entidad y las partes externas
relevantes. Esas partes externas incluyen proveedores, inversionistas, acreedores, accionistas, empleados, clientes,
compradores, intermediarios y competidores, tanto potenciales como actuales, lo mismo que medios de
comunicación.
La identificación de riesgos es un proceso iterativo y a menudo está integrado con el proceso de planeación.
También es útil considerar los riesgos desde una aproximación, hoja de papel en blanco, y no relacionar únicamente
los riesgos de la revisión previa.
Los riesgos del nivel global de la entidad pueden provenir de factores externos o internos.
11
12. Factores externos Factores internos
Económicos - Disponibilidad del capital, No pago de Infraestructura - Disponibilidad de activos, capacidad de
emisión de deuda, concentración, liquidez, mercados activos, acceso al capital, complejidad
financieros, desempleo, competencia, etc.
Medio ambiente - Emisiones y residuos, Energía, Personal - Capacidad del personal, Actividad
catástrofes naturales, desarrollo sostenible Fraudulenta, Salud y seguridad
Políticos - Cambios de gobierno, legislación, regulación Procesos - Capacidad, diseño, ejecución,
proveedores/subordinados
Sociales - Demografía, Comportamiento del consumidor, Tecnología - Integridad de datos, selección de sistemas,
terrorismo, Responsabilidad Social Corporativa, Disponibilidad de datos y sistemas, desarrollo,
privacidad producción, mantenimiento.
Tecnológicos - Tecnología emergente, comercio
electrónico, Interrupciones, Datos externos
Se han identificado muchas técnicas para valorar riesgos. La mayoría, desarrolladas por auditores internos y
externos para determinar el alcance de sus actividades, implican el uso de métodos cualitativos o cuantitativos para
priorizar e identificar las actividades altamente riesgosas. Otras prácticas incluyen: revisiones periódicas de los
factores económicos e industriales que afectan los negocios, conferencias de los administradores principales sobre
planeación de negocios y reuniones con analistas industriales. Los riesgos se pueden identificar en conexión con la
preparación de presupuestos de corto y largo plazo y con planeación estratégica.
Algunos factores a considerar incluyen: experiencias pasadas sobre fallas en la consecución de objetivos; calidad del
personal, existencia de actividades distribuidas geográficamente, de manera particular en el extranjero; significado de
una actividad para la entidad y complejidad de una actividad.
En adición a la identificación de riesgos a nivel de la entidad, deben identificarse también los riesgos a nivel de
actividad. El tratar con los riesgos a este nivel ayuda a centrar la valoración de riesgos en las principales unidades de
negocio o en funciones clave tales como: ventas, producción, desarrollo de tecnología o en investigación y desarrollo.
La valoración exitosa de los riesgos a través de la actividad también contribuye a mantener niveles aceptables en el
nivel global de la entidad.
En la mayoría de las instancias, para un objetivo establecido o implícito, se pueden identificar diferentes riesgos. En
un proceso de consecución, por ejemplo una entidad puede tener un objetivo relacionado con el mantenimiento de un
adecuado inventario de materias primas. Los riesgos de no conseguir el objetivo de actividad pueden incluir bienes
que no cumplen con las especificaciones, o no poder ser adquiridos en las cantidades necesarias, a tiempo o a
precios aceptables. Esos riesgos pueden afectar la manera como se manejan las especificaciones para comprar
bienes a los vendedores, el uso y propiedad de los presupuestos de producción, identificación de fuentes alternativas
de proveedores y prácticas de negociación.
12
13. Las causas potenciales para fallar en la consecución de un objetivo varía entre lo obvio hasta lo oscuro, y de lo
significativo a lo insignificante en el efecto potencial. Ciertamente, aparentemente es fácil identificar los riesgos que
afectan significativamente la entidad. Para evitar el sobredimensionamiento de los riesgos relevantes, esta
identificación es mejor hacerla aparte de la valoración de la probabilidad de ocurrencia de los riesgos. Existen, sin
embargo, limitaciones prácticas en el proceso de identificación, y a menudo es difícil determinar dónde dibujar la
línea de separación. No tiene mucho sentido considerar el riesgo de la caída de un meteoro desde el espacio sobre
las instalaciones de la entidad, mientras que puede ser razonable considerar el riesgo de choque de un aeroplano
contra una instalación localizada cerca del aeropuerto.
13
14. 2.2 Evaluación y priorización de los riesgos
Al evaluar los riesgos, la dirección considera los eventos esperados e inesperados. Muchos de éstos son rutinarios y
recurrentes y ya se contemplan en los programas de gestión y presupuestos operativos, pero otros son inesperados.
La dirección evalúa el riesgo de los eventos potenciales inesperados y, si todavía no lo ha hecho, los eventos
esperados que puedan tener un impacto significativo en la entidad.
Aunque el término “evaluación de riesgos” se aplica a veces en relación con una actividad puntual, en el contexto de
la administración de riesgos su componente con esa misma denominación constituye una continua e iterativa
cantidad de acciones que tiene lugar a través de la entidad.
El riesgo al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o
impacto, se denomina riesgo inherente. El riesgo residual es el que permanece después de que la dirección
desarrolle sus respuestas a los riesgos. La evaluación de riesgos es aplicada primero a los riesgos inherentes, una
vez la respuesta a los riesgos ha sido incorporada, la dirección considera el riesgo residual.
La incertidumbre de los eventos potenciales se evalúa desde dos perspectivas – probabilidad e impacto. La primera
representa la posibilidad de que ocurra un evento determinado, mientras que la segunda refleja su efecto. Ambos
términos se aplican de forma común, aunque algunas entidades usen otros, tales como frecuencia, severidad,
seriedad o consecuencia. A veces, las palabras, adquieren connotaciones más específicas y el concepto
“probabilidad” puede indicar tanto la posibilidad de que ocurra cierto evento en términos cualitativos como alta, media
y baja o derivados de otras escalas de medida o bien en términos cuantitativos como porcentaje, frecuencia y
ocurrencia o derivados de otras métricas numéricas.
Es una tarea difícil y llena de retos la determinación de cuánta atención hay que prestar a la evaluación de la gama
de riesgos a los que se enfrenta una entidad. La dirección reconoce que generalmente no merece ulterior
consideración un riesgo con poca probabilidad de ocurrencia y escaso impacto potencial. Por otro lado, exige una
atención considerable un riesgo con alta probabilidad de ocurrencia y significativo impacto potencial. Las
circunstancias entre ambos externos normalmente requieren juicios difíciles. Es importante que el análisis sea
racional y cuidadoso.
El horizonte de tiempo usado para evaluar los riesgos debería ser consecuente con el horizonte de tiempo de la
estrategia y objetivos correspondientes. Como estos dos conceptos apuntan en muchas entidades a horizontes de
tiempo entre el corto y medio plazo, la dirección se centra naturalmente en los riesgos asociados con estos plazos de
tiempo. Sin embargo, algunos aspectos de la orientación y objetivos estratégicos se extienden hasta el largo plazo.
Como resultado, la dirección necesita ser consciente de las franjas de tiempo más largas y no ignorar los riesgos que
pueden aparecer.
Por ejemplo, una entidad puede tener en cuenta el riesgo de interrupción de sus operaciones a causa de un
terremoto. Sin un horizonte de tiempo específico para la evaluación de riesgos, la probabilidad de que un terremoto
supere los seis grados en la escala de Ritcher es alta, quizá con una certeza virtual. Por otro lado, la probabilidad de
que un terremoto de tal intensidad suceda dentro de dos años es sustancialmente menor, al establecer un horizonte
de tiempo, la entidad entiende mejor la importancia relativa del riesgo y mejora su capacidad para comparar riesgos
múltiples.
La dirección usa a menudo medidas de desempeño para determinar el grado de consecución de objetivos y
normalmente aplica la misma unidad de medida, u otra congruente con ella, que la utilizada para considerar el
impacto potencial de un riesgo sobre la consecución de un objetivo concreto.
14
15. A menudo, las estimaciones de probabilidad de riesgo y su impacto se determinan usando datos procedentes de
eventos anteriores observables, que proporcionan una base más objetiva que las estimaciones totalmente subjetivas.
Los datos generados internamente a partir de la experiencia propia de la entidad pueden reflejar un menor sesgo
subjetivo personal y proporcionan mejores resultados que los datos procedentes de fuentes externas.
Sin embargo, incluso cuando los datos generados internamente sean una entrada primara, los datos externos
pueden resultar útiles como punto de contraste o para mejorar el análisis. Por ejemplo, la dirección de una entidad
que evalúa el riesgo de paradas en la producción por fallas de los equipos, primero estudia la frecuencia e impacto
de fallas anteriores de su propio equipo productivo. A continuación complementa dichos datos con datos
comparativos de la industria, lo que permite una estimación más exacta de la probabilidad e impacto de las fallas, y
una programación más efectiva del mantenimiento preventivo. Se debe ser cauto cuando se usan eventos pasados
para establecer previsiones futuras, ya que los factores que influyen en los eventos pueden cambiar con el tiempo.
La dirección formula a menudo juicios subjetivos sobre la incertidumbre y, al hacer esto, debe reconocer sus
limitaciones inherentes. Los resultados de investigaciones psicológicas indican que las personas que toman
decisiones a varios niveles de capacidad, incluyendo los directivos de la entidad, tienen demasiada confianza en su
capacidad de estimación y no reconocen el volumen de incertidumbre que realmente existe. Los estudios muestran
un marcado sesgo de confianza excesiva, que lleva a intervalos de confianza inadecuadamente estrechos respecto a
las estimaciones o probabilidades, tal como se aplican, por ejemplo, en las metodologías de valuación de riesgos.
Esta inclinación hacia el exceso de confianza al estimar la incertidumbre puede minimizarse mediante el uso efectivo
de datos empíricos generados interna o externamente. En ausencia de éstos, una aguda conciencia de la
penetración de los sesgos puede ayudar a mitigar los efectos de ese exceso de confianza.
Las tendencias humanas respecto a la toma de decisiones se muestran de otra forma, pues no es infrecuente que
las personas tomen diferentes opciones en búsqueda de ganancias antes que en evitar pérdidas. Al reconocer estas
tendencias, los directivos pueden estructurar la información para reforzar el riesgo aceptado y el comportamiento
hacia el riesgo en toda la entidad. De acuerdo a como la información se presente o enmarque, se puede afectar
significativamente la interpretación de la información y su visión, así como la asociación a riesgos u oportunidades.
La metodología de evaluación de riesgos de una entidad consiste en una combinación de técnicas cualitativas y
cuantitativas. La dirección aplica a menudo técnicas cualitativas cuando los riesgos no se prestan por si mismos a la
cuantificación o cuando no están disponibles datos suficientemente creíbles para una evaluación cuantitativa o la
obtención y análisis de ellos no resulte efectiva por su costo. Las técnicas cuantitativas típicamente aportan más
precisión y se usan en actividades más complejas y sofisticadas, para complementar las técnicas cualitativas.
Las técnicas cuantitativas de evaluación normalmente exigen un mayor grado de esfuerzo y rigor y a veces emplean
modelos matemáticos. Estas técnicas dependen mucho de la calidad de los datos e hipótesis de soporte y resultan
más relevantes para riesgos con un historial y una frecuencia de variabilidad conocidos, pues permiten una
proyección fiable.
15
16. 3
3
Ver Guía para las Normas del Control Interno del Sector Público - Información adicional sobre la Administración de
Riesgos de la Entidad, Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), 2007
16
17. 3 Respuesta a los riesgos
Objetivo: Revisar los diferentes tipos de respuesta a los riesgos identificados, así como, las
acciones realizadas en aquellos casos en los que la dirección acepta riesgos.
3.1 Tipos de respuesta a los riesgos
Las respuestas a los riesgos se incluyen en las siguientes categorías4:
Evitar – Supone salir de las actividades que generen riesgos. Evitar el riesgo puede implicar el cese de
una línea de producto, frenar la expansión hacia un nuevo mercado geográfico o la venta de una división.
Reducir – Implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo o ambos
conceptos a la vez. Esto implica típicamente a algunas de las miles de decisiones administrativas
cotidianas.
Compartir – La probabilidad o el impacto del riesgo se reducen trasladando o, de otro modo,
compartiendo una parte del riesgo. Las técnicas comunes incluyen la contratación de seguros, la realización
de operaciones de cobertura o la tercerización de una actividad.
Aceptar – No se emprende ninguna acción que afecte a la probabilidad o el impacto del riesgo.
La respuesta de evitar el riesgo sugiere que no se identificó ninguna opción de respuesta que redujera el impacto y
probabilidad hasta un nivel aceptable. Las respuestas de reducir o compartir reducen el riesgo residual a un nivel en
línea con las tolerancias de riesgo deseadas, mientras que una respuesta de aceptación sugiere que el riesgo
inherente ya está dentro de las tolerancias de riesgo.
Para muchos riesgos, las opciones de respuesta adecuadas son evidentes y bien aceptadas. Por ejemplo, para el
riesgo de perder la disponibilidad de los sistemas informáticos, una opción típica de respuesta es la implantación de
un plan de continuidad del negocio. Para otros riesgos, las opciones disponibles pueden no ser tan evidentes, lo que
exigirá investigación y análisis.
Al determinar la respuesta a los riesgos, la dirección debería tener en cuenta lo siguiente:
Los efectos de las respuestas potenciales sobre la probabilidad y el impacto del riesgo – y que opciones
de respuesta están en línea con las tolerancias al riesgo de la entidad.
Los costos versus los beneficios de las respuestas potenciales.
Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va más allá del tratamiento de
un riesgo concreto.
Los recursos siempre presentan restricciones y las entidades pueden considerar los costos y beneficios derivados de
opciones alternativas de respuesta a este tipo de riesgo. Las medidas de costo beneficio para la puesta en práctica
de respuestas se realizan con varios niveles de precisión. Las oportunidades pueden identificarse al contemplar las
respuestas a los riesgos.
4
Ver Administración de Riesgos Corporativos - Marco Integrado, Committee of Sponsoring Organizations of
theTreadway Commission, 2005.
17
18. 3.2 Aceptación de los riesgos por parte de la dirección
Como lo hemos revisado en los puntos anteriores, la responsabilidad de la administración de riesgo es de la
dirección de cada entidad, sin embargo, al no implementar las medidas necesarias para mitigar los riesgos la
dirección asume un riesgo mayor al tolerable o acordado con los organismos de gobierno. De acuerdo, con la
normatividad5 para la práctica de auditoría interna, a los auditores internos les corresponde dar el seguimiento
oportuno a este tipo de aspectos, a fin de que sean reportados al órgano de gobierno apropiado.
Los auditores internos determinan si la dirección ha seguido las medidas o implementado la recomendación. El
auditor interno determina si se alcanzaron los resultados deseados, o si la dirección o la junta de gobierno han
asumido el riesgo de no adoptar las medidas o implementar la recomendación.
El seguimiento es un proceso por el cual los auditores internos evalúan la adecuación, eficacia y oportunidad de las
medidas tomadas por la dirección con relación a las observaciones y recomendaciones del trabajo, incluso aquellas
efectuadas por los auditores externos y otros. Este proceso también incluye determinar si la alta dirección o el
Órgano de gobierno han asumido el riesgo de no tomar medidas correctivas sobre las observaciones informadas.
El estatuto de la actividad de auditoría interna debería definir la responsabilidad del seguimiento. El director ejecutivo
de auditoría (DEA) determina la naturaleza, oportunidad y alcance del seguimiento, teniendo en cuenta los siguientes
factores:
La relevancia de las observaciones y recomendaciones informadas.
El grado de esfuerzo y costo necesarios para corregir la situación informada.
El impacto que puede derivarse si no se lleva a cabo la acción correctiva.
La complejidad de la acción correctiva.
El período involucrado.
El DEA es el responsable de programar las actividades de seguimiento, como parte de la programación de trabajos a
realizar. La programación del seguimiento se basa en el riesgo y la exposición al mismo, así como en el grado de
dificultad y la cantidad de tiempo necesaria para implantar la acción correctiva.
Cuando el DEA juzgue que la respuesta oral o escrita de la dirección indique que la medida tomada es suficiente con
relación a la importancia relativa de la observación o recomendación, los auditores internos pueden hacer el
seguimiento como parte del siguiente trabajo.
Los auditores internos determinan si las medidas tomadas sobre las observaciones y recomendaciones solucionan
los problemas de fondo. Las actividades de seguimiento deberían estar apropiadamente documentadas.
5
Ver Normas para la Práctica de Auditoría Interna, The Institute of Internal Auditors, 2008
18
19. 4 Evaluación de los riesgos, para la fiscalización
Objetivo: Puntualizar, a través de la normativa internacional (INTOSAI e IFAC), la importancia de
la evaluación de los riesgos y su impacto en las labores de fiscalización y auditoría, aplicando
los conceptos revisados en los puntos anteriores.
4.1 Normas y criterios internacionales de fiscalización y el análisis de riesgos
4.1.1 Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI)
La Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI) proporciona normatividad6 para
la fiscalización pública, de los cuales, respecto a la fiscalización y análisis de riesgos destacan los siguientes:
Postulados Básicos de la Fiscalización Pública
La obligación de rendir cuentas, por parte de las personas o entidades que manejan recursos públicos, está
cada vez más en la conciencia de todos por lo que hay una mayor necesidad de que dicha obligación se cumpla
de forma correcta y eficaz.
La implantación, en el seno de las Administraciones Públicas, de unos sistemas idóneos de obtención de
datos, de control, de evaluación y de presentación de informes facilitará el proceso de rendición de cuentas. La
dirección es responsable de que la forma y el contenido, tanto de los informes financieros como de los de
cualquier otro tipo, sean correctos y adecuados.
Las autoridades correspondientes deben garantizar la promulgación de normas de contabilidad aceptables,
relativas a los informes financieros y a su publicación, adecuadas a las necesidades de la Administración, y las
entidades fiscalizadas deben fijarse objetivos específicos y mensurables y determinar qué niveles de rendimiento
se han de lograr.
La aplicación coherente de normas de contabilidad aceptables ha de dar lugar a una presentación correcta
de la situación y de los resultados de las operaciones financieras.
La existencia de un sistema de control interno apropiado reduce al mínimo el riesgo de errores e
irregularidades
6
Ver Normas de Auditoría, Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), 2001
19
20. Diligencia debida
El uso y aplicación de las diferentes especialidades técnicas debe ser de una calidad apropiada a la
complejidad de cada fiscalización. Los auditores deben estar atentos a las deficiencias en el control, a las
insuficiencias en la contabilidad, a las operaciones erróneas e irregulares, y a los resultados o situaciones que
pueden ser indicativos de fraude, gastos inadecuados o ilícitos, operaciones no autorizadas, despilfarro,
ineficiencia o falta de probidad.
Normas de Procedimiento en la Fiscalización Pública
Las normas de procedimiento aplicables a todo tipo de auditorías son:
El auditor debe planear sus tareas de manera tal que se asegure la realización de una auditoría de alta
calidad y que ésta sea obtenida con la economía, eficiencia, eficacia y prontitud debidas.
El trabajo realizado por el personal de auditoría en cada nivel, y en cada fase de la fiscalización, debe ser
adecuadamente supervisado durante la auditoría y la documentación obtenida debe ser revisada por un
miembro experimentado del equipo fiscalizador.
El auditor, para determinar la extensión y el alcance de la fiscalización, debe examinar y valorar el grado de
fiabilidad del control interno pueden afectar indirecta y sustancialmente los valores que figuran en los estados
financieros o los resultados de la auditoría de regularidad.
En la auditoría operacional o de gestión conviene evaluar la conformidad a las leyes y reglamentos vigentes
ya que ello es necesario para cumplir los objetivos de la fiscalización. El auditor debe diseñar la fiscalización de
manera que ofrezca una garantía razonable de que se detecten los actos ilícitos que pudieran afectar
significativamente a los objetivos de la auditoría. Asimismo, el auditor debe prestar especial atención a las
situaciones o transacciones susceptibles de entrañar actos ilícitos que pudieran afectar indirectamente los
resultados de la fiscalización.
Cualquier indicación de la existencia de irregularidades, actos ilegales, fraude o algún error que podrían
tener efectos materiales sobre la auditoría en curso deberían motivar al auditor de prolongar los procedimientos
para poder verificar o disipar ese tipo de sospechas. La auditoría de la regularidad constituye un aspecto
esencial de la fiscalización pública. Uno de los objetivos más importantes que este tipo de auditoría asigna a la
EFS es el de velar, con todos los medios disponibles, por la integridad y validez del presupuesto y de las
cuentas públicas. Gracias a ello, el Parlamento o la autoridad destinataria de los informes de auditoría están en
condiciones de constatar con certeza la magnitud y la evolución de las obligaciones financieras del Estado. A tal
fin, la EFS procederá al examen de las cuentas y de los estados financieros de la Administración con objeto de
asegurar que todas las operaciones, y sólo ellas, han sido debidamente contraídas, ordenadas, liquidadas y
registradas. Si no se detecta ninguna irregularidad, la fiscalización concluye ordinariamente con una
"aprobación" .
Para fundamentar las opiniones y las conclusiones del auditor relativas a la organización, al programa, a la
actividad o a la función fiscalizada, deben aportarse pruebas adecuadas, pertinentes y razonables.
En la auditoría de regularidad y financiera, y en cualquier otra clase de auditoría cuando proceda, los
auditores deben examinar las cuentas para determinar si se han cumplido normas de contabilidad aceptables
para la presentación o la publicación de los informes financieros. El examen de las cuentas debe realizarse de
manera que proporcione una base racional para poder expresar una opinión sobre ellas.
Planeación
20
21. En la planeación de una fiscalización, los pasos que normalmente se dan, son los siguientes:
reunir información sobre la entidad fiscalizada y su organización, con el fin de determinar los riesgos y
valorar la importancia relativa
definir los objetivos y el alcance de la fiscalización
llevar a cabo un análisis preliminar para determinar los métodos que han de adoptarse y la naturaleza y
extensión de las investigaciones que después habrán de realizarse
destacar los problemas especiales previstos cuando se planificó la auditoría
elaborar un presupuesto y un programa de la fiscalización
determinar las necesidades de personal y formar el equipo que ha de realizar la fiscalización y
dar a conocer a la entidad fiscalizada el alcance, los objetivos y los criterios de valoración adoptados en
relación con la fiscalización y discutirlos con ella si fuese necesario.
4.1.2 Normas Internacionales de Auditoría – International Federation of Accountants
La Federación Internacional de Contadores (IFAC) ha desarrollado normas (estándares7) aplicables a la
realización de auditorías externas, las aplicables a partir del 15 de diciembre de 2009 y que se
relacionan con al análisis de riesgos, destacan lo siguiente:
ISA 300 Planeación de una auditoría de estados financieros
El auditor debe desarrollar un plan de auditoria que debe incluir una descripción de:
La naturaleza, oportunidad y extensión de los procedimientos de evaluación de riesgos planeados, como se
determina bajo ISA 315.4
La naturaleza, oportunidad y extensión de los procedimientos de auditoría al nivel de afirmaciones,
conforme a lo determinado en ISA 330.5
Otros procedimientos de auditoría planeados que sean requeridos para cumplir con las ISAs.
A2. La planeación no es una fase discreta de una auditoría, sino como un proceso continuo e iterativo que
frecuentemente inicia poco después (o en conexión con) la terminación de la auditoría previa y continua hasta la
terminación de la auditoría actual. La planeación, sin embargo, incluye consideraciones de tiempo de ciertas
actividades y procedimientos de auditoría que necesitan ser completados antes de la ejecución de los procedimientos
de auditoría. Por ejemplo, la planeación incluye la necesidad de considerar antes de la identificación y evaluación de
riesgos de errores materiales, aspectos tales como:
Los procedimientos analíticos a ser aplicados como procedimientos de evaluación de riesgos.
7
International Standards on Audit, International Federation of Accountants 2010
21
22. Obtener una comprensión general del marco legal y regulatorio aplicable a la entidad y como la entidad está
cumpliendo con ese marco.
La determinación de la materialidad.
El involucramiento de expertos.
La aplicación de otros procedimientos de evaluación de riesgos.
Actividades de Planeación - Estrategia Integral de Auditoría
El proceso de establecer la estrategia de auditoría integral asiste al auditor para determinar, sujeto a la terminación
de los procedimientos de evaluación de riesgos del auditor, aspectos tales como:
Los recursos a utilizar para áreas de auditoría específicas, tales como, el uso de apropiados miembros con
experiencia para áreas de alto riesgo o el involucramiento de expertos en temas complejos;
El monto de los recursos a asignar a áreas de auditoría específicas, tales como el número de miembros del
equipo asignado para observar el conteo de inventario de ubicaciones importantes, la extensión de la revisión
del trabajo de los auditores en el caso de auditorías grupales, o el presupuesto de auditoría en horas para
asignar a áreas de alto riesgo;
Cuando los recursos serán utilizados, por ejemplo en una etapa intermedia o en fechas específicas de corte;
y
Cómo tales recursos serán administrados, dirigidos y supervisados, por ejemplo cuando se esperan tener
las reuniones de explicaciones y aclaraciones o presentación de resultados, cómo se espera que efectúen las
revisiones por los socios y gerentes (por ejemplo, en sitio o fuera del lugar) y si se completaran revisiones de
control de calidad del trabajo.
ISA 315 Identificación y evaluación de riesgos de irregularidades materiales a través de la compresión de la entidad y
su ambiente
Definición
Procedimientos de evaluación de riesgos – Los procedimientos de auditoría desarrollados para obtener una
comprensión de la entidad y su ambiente, incluyendo el control interno de la entidad, para identificar y evaluar los
riesgos de errores materiales, ya sea fraude o error, en los estados financieros y a niveles de afirmaciones.
Requerimientos - Actividades Relacionadas y procedimientos de evaluación de riesgos
El auditor debe desarrollar procedimientos de evaluación de riesgos para proporcionar una base para la identificación
y evaluación de riesgos de errores materiales en a nivel de estados financieros y de afirmaciones. Los
procedimientos de evaluación de riesgos por sí mismos, no proporcionan suficiente evidencia de auditoría apropiada
sobre la cual basar la opinión de auditoría.
Los procedimientos de evaluación de riesgos deben incluir lo siguiente:
22
23. (a) Cuestionamientos a la administración, y otros dentro de la entidad quienes a juicio del auditor puedan
tener información que probablemente puede asistirle en la identificación de riesgos de errores materiales debido
a fraude o error.
(b) Procedimientos analíticos.
(c) Observación e inspección.
El auditor debe considerar si la información obtenida del cliente de auditoría en el proceso es relevante para
identificar riesgos de errores importantes.
Si el auditor intenta usar la información obtenida de la experiencia previa del auditor con la entidad y de los
procedimientos de auditoría desarrollados en auditorías anteriores, el auditor debe determinar si han ocurrido
cambios desde la última auditoría que pudieran afectar su relevancia para la auditoría actual.
El proceso de evaluación de riesgos
El auditor debe obtener una comprensión de si la entidad tiene un proceso para:
(a) Identificar riesgos de negocios relevantes a los objetivos de reporte financiero.;
(b) Estimar lo significativo de los riesgos;
(c) Evaluarla probabilidad de su ocurrencia; y
(d) Decidir acerca de acciones para manejar los riesgos.
Si la entidad ha establecido tal proceso (referido aquí como el “proceso de evaluación de riesgos de la entidad”), el
auditor debe obtener una comprensión de este, y los resultados del mismo. Si el auditor identifica riesgos de errores
importantes que la administración fallo en identificar, el auditor debe evaluar si hubo un riesgo subyacente de tal
manera que el auditor esperaría hubiera sido identificado por el proceso de evaluación de riesgos. Si hay tal riesgo,
el auditor debe obtener una compresión de por qué el proceso falló en identificarlo, y evaluar si el proceso es
apropiado en las circunstancias o determinar si hay una deficiencia significativa en el control interno con relación al
proceso de evaluación de riesgos de la entidad.
Si la entidad no ha establecido tal proceso o tiene un proceso ad hoc, el auditor debe discutir con la administración si
los riegos de negocios relevantes a los objetivos de reporte financiero han sido identificados y como ellos los
manejan. El auditor debe evaluar si la ausencia de un proceso de evaluación de riesgos documentado es apropiado
en las circunstancias, o determinar si esto representa una deficiencia significativa en el control interno.
Riesgos que requieren un Consideración especial de auditoría
Como parte de la evaluación de riesgos descrita en el párrafo 25, el auditor debe determinar si, cualquiera de los
riesgos identificados son, a juicio del auditor, un riesgo significativo. En el ejercicio de este juicio, el auditor debe
excluir los efectos de controles identificados relacionados con el riesgo.
En el ejercicio del juicio, en cuanto a cuales riesgos son significativos, el auditor debe considerar al menos lo
siguiente:
23
24. (a) Si el riesgo es un riesgo de fraude;
(b) Si el riesgo está relacionado con recientes cambios significativos económicos, contables u otros
desarrollos, y luego entonces, requiere atención específica.
(c) La complejidad de las transacciones;
(d) Si los riesgos involucran transacciones significativas con partes relacionadas.
(e) El nivel de subjetividad en la medición de la información financiera relacionada con el riesgo,
especialmente aquellas que involucran un rango amplio de medición de incertidumbre; y
(f) Si el riesgo involucre transacciones significativas que están fuera del curso normal del negocio para la
entidad, o que de otra manera aparentan ser inusuales.
Si el auditor ha determinado que existe un riesgo significativo, el auditor debe obtener una comprensión de que los
controles de la entidad relevantes para esos riesgos, incluyendo actividades de control.
4.2 Importancia del análisis de riesgos en la fiscalización
El concepto de riesgo es un tema que está estrechamente relacionado con la función del auditor, sin embargo,
cuando se hace referencia a su desempeño, se asocia a éste con la evaluación de controles que con la evaluación
de riesgos, lo cual no es exacto, ya que en estricto sentido, los controles se establecen para prevenir o reducir
riesgos; por lo tanto, para poder evaluar objetivamente la eficacia de los controles, primero debemos identificar los
riesgos que deben prevenir, detectar o corregir.
“La Evaluación de Riesgos es utilizada para identificar, medir, y priorizar riesgos con el fin de que el mayor esfuerzo
sea realizado para identificar las áreas auditables de mayor relevancia”.
Bajo ese contexto, tanto las declaraciones sobre normas de auditoría, las declaraciones para la práctica profesional
de la auditoría interna y las declaraciones para la práctica profesional de auditoría de sistemas, establecen
lineamientos en materia de riesgos que los auditores deben observar para realizar un buen trabajo y cumplir con sus
responsabilidades.
“El riesgo de auditoría y la importancia de la realización de la misma” señala que la existencia del riesgo de auditoría
está implícita en la frase “en nuestra opinión”, y que el riesgo de auditoría es el riesgo que corre el auditor de no
modificar inadvertidamente y en forma aprobada su opinión sobre los estados financieros que se presenten
incorrectamente en importes considerables. Establece, así mismo, que el auditor debe planear la auditoría para que
el riesgo antes señalado se limite a un nivel bajo que se sea, a su juicio profesional, apropiado para emitir una
opinión sobre los estados financieros, que el riesgo de auditoría puede evaluarse en términos cuantitativos o no
cuantitativos, y que el auditor necesita considerarlo a nivel de cuenta o clase de transacciones individuales.
De igual manera, “la Valuación de Riesgos”, establece que como parte de los planes para llevar a cabo las
responsabilidades de la auditoría, efectuar una valuación de riesgos con relación a su organización, y señala como
elementos del proceso:
Identificación de las actividades auditables.
Identificación de factores de riesgo relevantes a las actividades auditables, y
Valuación de los factores de riesgo.
Bibliografía
24
25. Administración de Riesgos Corporativos - Marco Integrado, Committee of Sponsoring Organizations of theTreadway
Commission, 2005.
Control Interno – Informe COSO, Committee of Sponsoring Organizations of the Treadway Commission, ECOE
Ediciones 2005
Guía para las Normas del Control Interno del Sector Público - Información adicional sobre la Administración de
Riesgos de la Entidad, Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), 2007
Normas para la Práctica de Auditoría Interna, The Institute of Internal Auditors, 2008
Normas de Auditoría, Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), 2001
International Standards on Audit, International Federation of Accountants 2010
25