4.
Justificación:
Metodológica, Académica y Práctica
Justificación Metodológica
Para lograr los
objetivos propuestos de la presente monografía, se utilizará el método de
investigación descriptivo ya que la investigación requiere el análisis de
conceptos, normativa, manuales y otros específicos además de la revisión de la
información acumulada relacionada al objeto de investigación para obtener datos
y conclusiones.
Justificación Académica
El presente trabajo
corresponde a la aplicación de los conocimientos adquiridos en el Diplomado
Intermedio en Normas Internacionales de Contabilidad y Auditoría Gubernamental
que forma parte de la Maestría de Auditoria Gubernamental y Control de Gestión,
realizando un análisis que permitirá desarrollar un modelo de auditoria basada
en riesgo para la unidad de auditoria de SEDEM.
Justificación Práctica
La presente
monografía es una propuesta para que la Unidad de Auditoría Interna del
Servicio de Desarrollo de las Empresas Publicas Productivas SEDEM pueda
considerar la importancia de efectuar auditorías basadas en riesgos para la
identificación y administración de riesgos y, de esta manera, advertir los
riesgos que afectan a los objetivos de la entidad.
La elaboración de un
modelo de auditoría basado en riesgos para la Unidad de Auditoría Interna del
Servicio de Desarrollo de las Empresas Publicas Productivas SEDEM,
proporcionará los lineamientos que enmarquen y guíen la ejecución de las
auditorias, la identificación, análisis y evaluación de los riesgos.
Por otra parte,
proporcionar información a las autoridades de la Unidad de Auditoría Interna
del Servicio de Desarrollo de las Empresas Publicas Productivas SEDEM, respecto
a los riesgos que afectan a la Entidad, coadyuvara a que los mismos puedan
tomar las decisiones, respecto a las consecuencias positivas y negativas, y la
probabilidad de que estas consecuencias puedan ocurrir.
5.
Marco
teórico/conceptual
5.1. Definición de Riesgo
La Norma
Internacional de Auditoria 315 Identificación y Evaluación del riesgo por error
material lo define como aquello que podría afectar negativamente a la entidad,
textualmente lo define: “riesgo derivado de condiciones, hechos,
circunstancias, acciones u omisiones significativas que podrían afectar negativamente
a la capacidad de la entidad para conseguir sus objetivos y ejecutar sus
estrategias o derivado del establecimiento de objetivos y estrategias
inadecuadas.” El riesgo de negocio es más amplio que el riesgo es más amplio
que el riesgo de incorreciones materiales en los estados financieros” (Federacion
Internacion de Contabildad (IFAC), 2013, pág. 2)
Por su parte, la Organización
Latinoamericana y del Caribe de Entidades de Fiscalización Superior (Olacefs) define
riesgo como: “Es la posibilidad de que un evento no deseado pueda suceder; es
la oportunidad o posibilidad que algo vaya a pasar y que tenga un impacto
negativo en los objetivos. Es medido en términos de consecuencias y
probabilidad. Es también una fuente de daño potencial o una situación con
potencial para causar pérdidas” (Organización Latinoamericana y del Caribe de
Entidades de Fiscalización Superior (Olacefs, 2014).
Específicamente para
el sector público se define como riesgo como: “falta de realización o de éxito de
las actividades de las administraciones públicas, incluidos programas,
estrategias de programas y objetivos. También pueden afectar al sector publico
riesgos ligados a circunstancias como el clima político, el interés público, el
carácter sensible de los programas o la posible falta de conformidad con la legislación
o las normas aplicables”, según lo establecido en la ISSAI 1000 Introducción General
a las Directrices de auditoría financiera de la INTOSAI.
Una concepción generalmente
aceptada en el gremio de auditoria es considerar el riesgo como aquella
posibilidad de que un evento no planeado puede suceder y que posea un impacto
positivo o negativo en el cumplimiento de los objetivos de la institución, de
tal manera que debemos poner atención no solo en las eventualidades negativas, son
también en las eventualidades positivas para la institución pero que pueden
influir en la consecución de sus objetivos.
5.2. Administración de Riesgo
Según el Comité
Basel sobre Supervisión Bancaria (1999, Pág. 433), la Administración de riesgos
es el término aplicado a un método lógico y sistemático de establecer el
contexto, identificar, analizar, tratar, monitorear y comunicar los riesgos
asociados con una actividad, función o proceso de una forma que permita a las
organizaciones minimizar pérdidas y maximizar oportunidades. Es tanto
identificar oportunidades como evitar o mitigar pérdidas.
Asimismo, según
Lepage, Luis (2002, Pág. 17), la Administración del Riesgo es el proceso
continuo y sistemático de identificación del riesgo, su medición, análisis,
control, prevención, reducción, evaluación y financiamiento.
Esta administración
conlleva las siguientes actividades:
-
Identificación
del Riesgo Relevantes a la misión, proceso, otros (Riesgos asociados). Medición
del Riesgo, establecer límites según tipo de sanción, condiciones del mercado.
-
Prevenir
las pérdidas operaciones. Con un sistema interno proactivo que identifique
causas.
-
Atenuar
o mitigar la pérdida ya ocurrido el evento. Predecir y proyectar riesgos
-
Destinar
fondos que cubran los riesgos operacionales
La importancia de la
administración del Riesgo Operativo reside en el beneficio que trae consigo la
capacidad de reacción que se deriva del adecuado monitoreo, eficiente control,
exactitud y velocidad con que la información es capturada y reportada.
El proceso para
administrar los riesgos implica diseñar e implantar mecanismos adecuados de
control interno, a fin de mitigarlos de manera eficaz; a su vez, para que la
Auditoría Interna agregue valor a la entidad, debe interactuar, sin comprometer
su independencia, con el grupo directivo que decide las estrategias para
enfrentar los riesgos. La participación de Auditoría Interna, de acuerdo con el
Plan basado en riesgos, está dirigida a opinar con objetividad sobre el proceso
de administración de los riesgos e impulsar proactivamente las mejoras que éste
requiera.
5.3. Mapa de Riesgo
“El Mapa de Riesgo
nos ayuda a identificar todos los riesgos que afectan a la empresa y ponerlos
sobre el escritorio de quien toma decisiones, permite mantener la atención de
la dirección sobre aquellos factores que definimos como importantes para que la
empresa genere un valor agregado y rentabilidad. Permite especialmente pensar
en lo que deberíamos hacer en caso de que alguno de los factores de riesgo nos
afecte de manera negativa” Preve, L. (2011); Gestión de Riesgo. Un Enfoque
Estratégico. Argentina: Buenos Aires, Pág. 64.
Los mapas de riesgos
constituyen una herramienta que permite organizar la información de la
organización relacionada con los riesgos, con el propósito de visualizarlos,
medir su impacto y establecer estrategias para su manejo.
Beneficios del Mapa de Riesgos
-
Identificar. - Para que afloren los riesgos
ocultos que amenazan a la empresa, tanto interna como externamente. La gestión
del riesgo está ligada a la gestión del conocimiento.
-
Medir. - Tan importante como descubrir el
riesgo, es medir la probabilidad de que ocurra y su severidad, puesto que “lo
que no se mide, no se gestiona”.
- Monitorear. - Una
vez que se identifica y se mide, el mapa de riesgos de la organización nos
ayudará a determinar las distintas estrategias para gestionar los riesgos. Han
de ser instrumentos vivos que nos ayuden a mantener un nivel aceptable de
riesgo en nuestro negocio
5.4. Matriz de Riesgo
Una matriz de
riesgos es una sencilla pero eficaz herramienta para identificar los riesgos
más significativos inherentes a las actividades de una empresa, tanto de
procesos como de fabricación de productos o puesta en marcha de servicios. Por
lo tanto, es un instrumento válido para mejorar el control de riesgos y la
seguridad de una organización. Bruno, B. (2010). Matriz de Riesgo Operacional.
Ed. DGRV, Pág. 25.
A través de este
instrumento se puede realizar un diagnóstico objetivo y global de empresas de
diferentes tamaños y sectores de actividad. Asimismo, mediante la matriz de
riesgo es posible evaluar la efectividad de la gestión de los riesgos, tanto
financieros como operativos y estratégicos, que están impactando en la misión
de una determinada organización.
Características de la matriz de riesgo
Con el fin de
garantizar su eficacia y utilidad, una matriz de riesgo debe tener las
siguientes características:
ü
Debe
ser flexible.
ü
Sencilla
de elaborar y consultar.
ü Que permita realizar un
diagnóstico objetivo de la totalidad de los factores de riesgo. Ser capaz de
comparar proyectos, áreas y actividades.
Pasos para la
elaboración de una matriz de riesgo:
1)
Identificación
de riesgos
El primer paso
consiste en la identificación de las actividades principales de una
organización y de los riesgos inherentes a éstas. De una manera general, se
puede entender como riesgos la posibilidad de que a una empresa le sea
imposible cumplir con alguno de sus objetivos.
Una vez establecidas
todas las actividades, ya es posible prever los posibles riesgos y los motivos
o factores que intervienen en su manifestación y grado, distinguiéndose en
riesgos intrínsecos, que serían aquellos que provienen directamente de la propia
empresa, y extrínsecos, factores de incertidumbre provocados por eventos
externos o macro económicos que pueden tener un impacto sobre la actividad de
nuestra empresa.
2)
Evaluar
la probabilidad de que se acabe confirmando el riesgo
El siguiente paso
consistiría en determinar la probabilidad de que, efectivamente, el riesgo
ocurra, así como un cálculo de los efectos potenciales del mismo. Se trata, por
lo tanto, de una valorización del riesgo, lo cual implica un análisis conjunto
e interrelacionado de la probabilidad de ocurrencia y del efecto en los
resultados globales de la empresa.
Los riesgos se
pueden valorar en términos cualitativos o cuantitativos, utilizando normalmente
valores numéricos o estadísticos, lo que ayuda a tener una base sólida para que
la dirección o responsables de la empresa o negocio puedan tomar las decisiones
pertinentes.
3)
Representación
de la matriz de riesgos
La verdadera
utilidad de la matriz de riesgos radica en que ofrezca la posibilidad de tener
una idea general de los riesgos de una empresa y la posibilidad de que ocurran
con tan solo echarle un vistazo.
Por este motivo, la
representación de la matriz debe ser en forma de tablas no demasiado complejas
donde aparezcan los riesgos, probabilidad de ocurrencia, gravedad de los mismos
y, si se desea, acciones para solucionarlos y mitigarlos. Existen aplicaciones
informáticas específicas para facilitar su elaboración.
En conclusión, una
matriz de riesgo constituye una herramienta de control y de gestión muy
interesante para identificar actividades empresariales, asociándolas a riesgos
diferenciados por tipo y nivel y a los factores exógenos y endógenos
relacionados con estos riesgos. Todo ello permite la organización de un Sistema
Integral de Gestión de Riesgo.
Elaboración de una Matriz de Riesgos
Según Frett, Nahun,
en la constitución de una matriz de riesgos es necesario identificar los
riesgos potenciales que afrontan las entidades y esta dependerá de la industria
en la que desarrollan sus actividades con lo cual será imposible establecer una
matriz estándar. Pueden existir factores internos (propios de la entidad) y
externos como factores políticos, sociales y económicos. Para realizar la
matriz de riesgos se puede seguir con los siguientes pasos para su elaboración:
ü
Identificar
los riesgos.
ü Clasificación de las operaciones
o procesos conforme a los riesgos potenciales. Desglose de las operaciones por
subprocesos o actividades.
ü
Determinar
la probabilidad e impacto y evaluación de los riesgos.
ü Establecer actividades de
control como respuesta a los riesgos. Nahun, F. (2012). Auditoría Basada en
Riesgos: Una Guía Práctica para Alcanzar el éxito en su Gestión. Perú: Lima.
Matriz de evaluación de riesgos semaforizada
Porras, C. (2015),
manifiesta que con la escala de la frecuencia y del impacto, se efectúa una
calificación cuantitativa de los riesgos; ya que con la matriz de evaluación de
riesgos semaforizada se valora los eventos de manera cualitativa, permitiendo
de esta forma evaluar como aceptables, tolerables, moderados o inaceptables, de
acuerdo con el valor asignado a su frecuencia e impacto.
Figura 2.1 Cuadro: Matriz de evaluación de riesgos
semaforizada
|
ALTA
|
3
|
3
|
RIESGO MODERADO:
Prevenir el
riesgo
|
6
7
|
RIESGO IMPORTANTE:
Prevenir el
riesgo Proteger la Entidad Compartir
|
8
9
|
RIESGO INACEPTABLE:
Evitar el
riesgo Prevenir el riesgo Proteger el riesgo Proteger la Entidad
Compartir
|
|
MEDIA
|
2
|
2
|
RIESGO TOLERABLE:
Aceptar el
riesgo Prevenir el riesgo
|
4
5
|
RIESGO MODERADO:
Prevenir el
riesgo Proteger la Entidad Compartir
|
6
7
|
RIESGO IMPORTANTE
Prevenir el
riesgo Proteger la Entidad Compartir
|
|
BAJA
|
1
|
1
|
RIESGO ACEPATBLE
Aceptar el
riesgo
|
2
|
RIESGO TOLERABLE
Proteger la
Entidad Compartir
|
3
|
RIEGO MODERADO:
Proteger la
Entidad Compartir
|
|
VALOR
|
1
|
2
|
3
|
||||
|
IMPACTO
|
BAJO
|
MEDIO
|
ALTO
|
||||
Fuente: Porras Cornelio (2015)
5.5. Auditoría Interna
Según Cuellar
Guillermo (2004, Pág. 17), la auditoría interna es el examen crítico,
sistemático y detallado de un sistema de información de una unidad económica,
realizado por un profesional con vínculos laborales con la misma, utilizando
técnicas determinadas y con el objeto de emitir informes y formular sugerencias
para el mejoramiento de la misma. Estos informes son de circulación interna y
no tienen trascendencia a los terceros pues no se producen bajo la figura de la
fe pública. La imparcialidad e independencia absolutas no son posibles en el
caso del auditor interno, puesto que no puede divorciarse completamente de la
influencia de la alta administración.
Se necesita brindar
a la entidad nuevas oportunidades en el futuro que le permitan reaccionar a los
diferentes riesgos y estar en constante observación del presente para
desarrollar políticas de administración de riesgos, es aquí donde la auditoría
interna constituye un apoyo fundamental para la organización, pues a través de
un monitoreo y análisis permanente, se pueden emprender en forma oportuna las
acciones que le permitan a la organización alcanzar el éxito.
5.6. Alcance de Auditoría Interna con
Enfoque Basado en Riesgo
El alcance comprende
el examen y valoración de lo adecuado y efectivo de los sistemas de control
interno de una organización y de la calidad de la ejecución al llevar a cabo
las responsabilidades asignadas:
-
Revisión
de la fiabilidad e integridad de la información operativa y de los juicios
utilizados para identificar, medir, clasificar e informar sobre la misma.
-
Revisar
los sistemas establecidos para asegurar el cumplimiento con aquellas políticas,
planes, procedimientos, leyes y regulaciones, que pueden tener un impacto
significativo en las operaciones e informes y determinar si la organización los
cumple.
-
Revisar
las medidas de salvaguarda de activos y, cuando sea apropiado, verificar la
existencia de los mismos.
-
Valorar
la economía y eficacia con que se emplean los recursos.
-
Revisar
las operaciones o programas para asegurar que los resultados son coherentes con
los objetivos y las metas establecidas, y que las operaciones y programas han
sido llevados a cabo como estaba previsto.
5.7. Ventajas de un Modelo de
Auditoría Interna Basado en Riesgos
La ventaja de este
enfoque es que permite adquirir un entendimiento integral de la entidad
incluyendo, las estrategias, los riesgos y los procesos para administrarlos, lo
que resulta en una auditoría efectiva y eficiente.
-
Mayor
control de los procesos
-
Detección
de riesgos efectivo.
-
Supervisión
de actividades.
-
Evaluación
razonable del riesgo.
-
Reconocimiento
del compromiso del alto mando.
-
Refuerzos
de valores éticos (principios y reglas de conducta).
-
Integración
del personal clave entre las diversas áreas.
-
Generación
de valor hacia la organización.
-
Mejorar
el alcance de los objetivos de la organización.
-
Cumplimiento
de los contratos adquiridos.
5.8. Importancia de la Auditoría
Interna Basada en Riesgos
El propósito de la
auditoría interna basada en riesgo es proveer aseguramiento, objetivos
diseñados para agregar valor y mejorar las operaciones de la organización.
Ayuda a la organización a lograr sus metas al brindar un enfoque sistemático y
disciplinado para evaluar y mejorar la efectividad de los procesos de
administración de riesgo, control y gobierno corporativo. Cuellar, (2004).
Evaluar las
exposiciones al riesgo referidas a gobierno, operaciones y sistemas de
información, con relación a: confiabilidad e integridad de la información
financiera y operativa, eficacia y eficiencia de las operaciones, protección de
activos, cumplimiento de leyes, regulaciones y contratos.
Ayuda a la
administración en su gestión, por medio de recomendaciones que perfeccionan de
forma constante a la entidad, y garantiza el cumplimiento de sus objetivos y
metas de manera razonable, derivado del análisis de sus operaciones y procesos.
La auditoría interna
de una organización deba trabajar en estrecha cooperación con los encargados
del sistema de gestión de riesgos. (ISO 31000:2009 – Gestión del Riesgo.
Principios y Directrices).
5.9. Objetivos de la Auditoría
Interna Basada en Riesgos
Los objetivos de auditoría
interna basada en riesgos permitirán:
-
Mejorar
las prácticas de control interno con respecto a las áreas que se encuentran
expuestas a los riesgos.
-
Proporcionar
técnicas que ayuden a las entidades a cumplir sus objetivos
-
Brindar
aseguramiento y optimización de los recursos con que cuenta la entidad,
practicando los principios de eficiencia, eficacia y economía. Cuellar, (2004).
