El auditor interno, el administrador en la gestión de riesgos corporativos
| Autor | Nelson Díaz Muñoz |
| Cargo del Autor | Contador Público |
| Páginas | 169-195 |
-
Contador Público, especialista en auditoría de sistemas, docente de ciencias económicas e ingeniería de sistemas para las cátedras de auditoría financiera, papeles de trabajo para auditoría, auditoría operacional y finanzas. Experiencia docente de más de 17 años. Jefe de la sección de auditoría financiera y de sistemas en la caja de compensación familiar CAFAM. Experiencia de más de 22 años en el campo de la auditoría y el control.
Page 169
Administrar los riesgos de manera integral implica una proyección en dos vías: una la empresa como una corporación que se dedica a satisfacer necesidades de los clientes y aumentar sus valores agregados y por otro lado el auditor quien desea hacer más trabajo con menos recursos.
Esto sucede no sólo porque la empresa se ve amenazada por la competencia sino que ella también exige a todos sus integrantes una mayor productividad, de esta exigencia no se escapan los auditores por lo tanto ellos también deben priorizar las áreas de riesgo para realizar trabajos con una mejor oportunidad.
La integralidad debe ser la percepción de toda la organización no sólo hacia su entorno sino también sobre aquellos aspectos internos que deben funcionar como la maquinaria de un reloj para que el negocio dé a sus clientes los productos y servicios en los momentos en que estos sean requeridos por ellos, pero estos objetivos se ven amenazados en su cumplimiento por diferentes tipos de riesgos, categorizados como: estratégicos, operativos, financieros del recurso humano, o de la categoría que el negocio considere.
Page 170
Pero lastimosamente los objetivos del negocio no se están logrando fácilmente, pues las empresas u organizaciones no aplican herramientas ni metodologías para eliminar las causas de esas actividades negativas que afectan sus logros. La definición básica de RIESGO, de acuerdo con el diccionario Larousse1, es la posibilidad de que se produzca una desgracia o contratiempo. Por lo tanto en mi concepto el riesgo es negativo, durante el desarrollo temático éste será el enfoque, contrario a lo que algunos autores mencionan del riesgo “positivo”2.
Para poder hablar de riesgos corporativos o riesgos del negocio o riesgos integrales, es importante contar con algunos aspectos importantes:
• Un buen sistema de control interno, ejemplo COSO.
• Objetivos claramente definidos al nivel de las estrategias, el mercadeo, la tecnología, el recurso humano, los procesos,
• Auditorías basadas en riesgo
• Auditores líderes
• Metodologías para auditar los riesgos
• Metodologías corporativas de gestión de riesgos
• Experiencia empresarial o corporativa con el manejo de los riesgos, ya sea que se hayan trabajado por procesos o corporativos
• Responsables sobre la gestión de los riesgos
Administrar o gestionar los riesgos del negocio o los riesgos corporativos será una ventaja competitiva única que las empresas no deben dejar pasar por alto, pero son los auditores internos los responsables directos para que la administración basada en riesgos funcione y dé un valor agregado para el cumplimiento de los objetivos organizacionales, y son ellos porque poseen el conocimiento y la experiencia para poderlo realizar, como lo veremos a continuación.
En mi concepto para que se puedan generar metodologías para la administración integral de los riesgos, el auditor debe haberlas asimilado con anterioridad, es decir, trabajar el riesgo desde sus diferentes ópticas como el quehacer cotidiano porque forma parte del proceso metodológico es importante aclarar que este proceso no es individualizado sino compartido con los auditados en otras palabras el enriquecimiento del proceso lo da el compartir los análisis y conclusiones con los dueños o responsables de los procesos auditados así:
Page 171
Todos los trabajos que proyecte el auditor se deben establecer con planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna, dichos planes deberán ser consistentes con las metas de la organización, y estarán basados en una evaluación de riesgos, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo3.
| Área - Proceso Actividades | |||||||||||||
| Impacto | Sanciones Legales | Costo | Cliente Interno | Cliente Externo | |||||||||
| Valor | % | Valor | % | Valor | % | Valor | % | Valor | % | Total | Porcentaje | Puesto | |
| 1 | |||||||||||||
| 2 | |||||||||||||
| 3 | |||||||||||||
Una herramienta empleada en la planeación por la organización en la que presto mis servicios consiste en una matriz en donde al nivel de las columnas se relacionan lo factores de riesgos y a nivel de las filas los procesos auditables, esta metodología4 permite compararlos bajo una misma base de factores de riesgos, como impacto económico, sanciones legales, afectación a clientes (internos y externos).
Una de las principales ventajas de trabajar la planeación con base en los riesgos es que las auditorías se priorizan con base en las situaciones de riesgo del negocio y sirven posteriormente en la construcción de los mapas de riesgo con los auditados.
Es en esta fase donde el auditor y auditado aprovechan la sinergia al máximo al unir los conocimientos técnicos del auditor con la experiencia y conocimiento de los auditados al nivel de los riesgos de los procesos del negocio, las causas que los originan, los efectos o riesgos resultantes y los controles existentes para mitigarlosPage 172 o en su defecto la propuesta de nuevos controles que eviten o mitiguen los efectos negativos de los riesgos.
Con esta metodología no se trabaja el riesgo de auditoría porque se considera que compete más al Auditor encargado de emitir un dictamen, y lo estaríamos restringiendo a un campo meramente financiero.5
La metodología se complementa con la elaboración de tres matrices: actividades del proceso vs. sus causas de riesgo, el objetivo es priorizar cuales riesgos impactan más sobre el proceso y cuales actividades se ven en mayor grado afectadas por los riesgos.
| Actividades | |||||||||||||||
| A | B | C | D | E | F | G | H | I | J | K | L | Totales | Porcentaje | Puesto | |
| 1 | |||||||||||||||
| 2 | |||||||||||||||
| 3 | |||||||||||||||
| Totales | |||||||||||||||
| Porcentaje | |||||||||||||||
| Puesto | |||||||||||||||
La naturaleza del trabajo del auditor interno está en evaluar y contribuir a la mejora de los sistemas de gestión de riesgos, control y gobierno, asistiendo a la organización en la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control debe supervisar y evaluar la eficacia del sistema de gestión de riesgos de la organización. Las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información con relación a lo siguiente:6
• Confiabilidad e integridad de la información financiera y operativa
• Eficacia y eficiencia de las operaciones
• Protección de activos
• Cumplimiento de leyes, regulaciones y contratos.
Los anteriores puntos los evalúa el auditor con los auditados en la segunda matriz de Riesgos vs. las causas que originan los riesgos, el objetivo es determinar qué situaciones son las que pueden materializar más la ocurrencia del riesgo, con el objetivo de concentrarnos solo en las causas raizales, dado que el proceso para todas sería muy dispendioso y no justificaría realizarlo para todas las causas de los riesgos.
Page 173
Determinadas las causas que más influyen en la generación de los riesgos auditado y auditor proceden a validar con la tercera matriz de causas de riesgos vs. controles existentes, cómo se pueden mitigar o eliminar las causas, si los controles existentes son suficientes o si hay necesidad de proponer nuevos controles.
Es importante recordar que toda esta metodología de auditoría se trabaja con el acompañamiento del auditado.
Analizada la participación conjunta de auditado y auditor durante el proceso de auditoría, detallaré a continuación la manera como se deben manejar los Riesgos de negocio o lo que también es conocido como ERM Enterprise Risk Management.7 o conocido también como administración de riesgos Corporativos o administración de riesgos del Negocio.
| Causas | |||||||||||||||
| A | B | C | D | E | F | G | H | I | J | K | L | Totales | Porcentaje | Puesto | |
| 1 | |||||||||||||||
| 2 | |||||||||||||||
| 3 | |||||||||||||||
| Totales | |||||||||||||||
| Porcentaje | |||||||||||||||
| Puesto | |||||||||||||||
La Administración del riesgo es un término aplicado a un método lógico y sistemático que establece el contexto, identificación, análisis, evaluación, tratamiento, monitoreo y comunicación sobre los riesgos asociados con una determinada actividad, función o proceso, con el fin de capacitar a las organizaciones para minimizar sus pérdidas y maximizar sus oportunidades...
Para continuar leyendo
Solicita tu prueba