Manual curso analisis_riesgos_2012 (1)
Upcoming SlideShare
Loading in...5
×
 

Manual curso analisis_riesgos_2012 (1)

on

  • 1,271 views

 

Statistics

Views

Total Views
1,271
Views on SlideShare
1,259
Embed Views
12

Actions

Likes
1
Downloads
113
Comments
0

1 Embed 12

http://asofisprofis.unam.mx 12

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Manual curso analisis_riesgos_2012 (1) Manual curso analisis_riesgos_2012 (1) Document Transcript

  • Curso: Análisis de riesgos Instituto de Capacitación yUnidad General de Administración Desarrollo en Fiscalización Superior  1
  •  OBJETIVO GENERAL: Al término del curso, el servidor público de la ASF será capaz de: Discutir casos concretos de fiscalización que puedan caracterizar hechos relacionados con el análisis y evaluación de riesgos, y establecer el impacto que conllevan para la entidad y para la auditoría, los niveles de aceptación del riesgo, con el fin de proponer medidas de control basadas en el marco de riesgo/control más adecuado. 2
  • INDICE Introducción 41 Fundamentos y marco conceptual de la administración (gestión) de riesgos 51.1 Definición de eventos, riesgos y oportunidades 51.2 Administración de riesgos 51.3 Consecución de objetivos y componentes 61.4 Responsabilidades en la administración de riesgos 82 Evaluación e impacto de riesgos 102.1 Identificación de eventos 102.2 Evaluación y priorización de los riesgos 143 Respuesta a los riesgos 173.1 Tipos de respuesta a los riesgos 173.2 Aceptación de los riesgos por parte de la administración 184 Evaluación de los riesgos, para la fiscalización 194.1 Normas y criterios internacionales de fiscalización y el análisis de riesgos 194.1.1 Normatividad - Organización Internacional de Entidades Fiscalizadoras Superiores 19 (INTOSAI)4.1.2 Normas Internacionales de Auditoría – International Federation of Accountants 214.2 Importancia del análisis de riesgos en la fiscalización 24 Bibliografía 25 3
  • IntroducciónLas entidades existen con el fin último de generar valor para sus grupos de interés, en el sector público,particularmente el servicio a los ciudadanos. En la consecución de ese fin, todas enfrentan incertidumbre y el reto esdeterminar cuánta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos deinterés.Esa incertidumbre implica enfrentarse a riesgos pero también la posibilidad de aprovechar oportunidades, y en supropia dirección pueden afectar el logro de los fines de la entidad.Al paso del tiempo, diferentes disciplinas profesionales han desarrollado una variedad de definiciones y perspectivasen cuanto a los riesgos, su identificación y valoración.Con el objeto de integrar modelo conceptual común para la administración de riesgos, proporcionando directricespara la evaluación y mejora en la identificación de riesgos y los procedimientos de análisis de los mismos, elCommittee of Sponsoring Organizations of the Treadway Commission (COSO) desarrollo el Marco Integrado sobreAdministración de Riesgos (ERM, por sus siglas en inglés).Dicho comité formado está integrado por representantes de la American Accounting Association, American Instituteof Certified Public Accountants, Financial Executives International, Institute of Management Accountants y TheInstitute of Internal Auditors, La relevancia y autoridad del Comité COSO, ha sido demostrada con el Marco Integradode Control Interno, hoy aceptado como referencia conceptual común alrededor del mundo tanto en el ámbito delsector privado, como del sector público.Las siguientes definiciones corresponden al Marco Integrado sobre Administración de Riesgos. El análisis de riesgospara efectos de éste curso se plantea dentro del contexto de éste Marco. 4
  • 1. Fundamentos y marco conceptual de la administración (gestión) de riesgosObjetivo:Identificar de manera general que es riesgo, la administración de riesgos, el modelo internacional y suscomponentes, así como, las responsabilidades en la administración de los riesgos.1.1 Definición de eventos, riesgos y oportunidadesUn evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta a la consecuciónde objetivos y que puede tener un impacto negativo o positivo o de ambos tipos a la vez.Los eventos de signo negativo constituyen riesgos. Por ello, riesgo es la posibilidad de que un evento ocurra y afectedesfavorablemente al logro de objetivos.Los eventos con impacto positivo pueden compensar otros impactos negativos o representar oportunidades. Por ello,oportunidad es la posibilidad de que un evento ocurra y afecte positivamente a la consecución de objetivos.1.2 Administración de riesgosLa administración de riesgos se ocupa de los riesgos y oportunidades que afecta a la creación de valor o supreservación. Se define de la siguiente manera:“La administración de riesgos es un proceso efectuado por el Órgano de Gobierno de una entidad, su dirección yrestante personal, aplicado en la definición de la estrategia en toda la entidad, diseñado para identificar eventospotenciales que puedan afectar a la organización y administrar los riesgos dentro del riesgo aceptado,proporcionando una seguridad razonable sobre la consecución de los objetivos de la entidad.”1La administración de riesgos incluye:  Alinear el riesgo aceptado y la estrategia,  Mejorar las decisiones de respuesta a los riesgos,  Reducir sorpresas y pérdidas operativas,  Identificar y gestionar la diversidad de riesgos para toda la entidad,  Aprovechar las oportunidades,  Mejorar la utilización de capital.1 Ver Administración de Riesgos Corporativos - Marco Integrado, Committee of Sponsoring Organizations oftheTreadway Commission, 2005. 5
  • 1.3 Consecución de objetivos y componentesConsecución de objetivosDentro del Contexto de misión y visión establecida en una entidad, su dirección establece los objetivos estratégicos,selecciona la estrategia y fija objetivos alineados que fluyen en cascada en toda la entidad. Los objetivos a que nosreferimos en éste contexto se pueden clasificar en cuatro categorías:  Estratégicos: Objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo.  Operativos: Objetivos vinculados al uso efectivo y eficiente de recursos.  Reporte: Confiabilidad de los reportes.  Cumplimiento: Objetivos relativos al cumplimiento de leyes y regulaciones aplicables.Considerando las directrices de INTOSAI dada su importancia en el ámbito del sector gubernamental un objetivoimportante a considerar en forma explícitamente separada es:  Salvaguarda de activos: Objetivos relacionados con la salvaguarda de los recursos contra pérdida, uso indebido y daño.Componentes de la administración de riesgosDe acuerdo con éste Marco, la administración de riesgos consta de ocho componentes relacionados entre sí, que sederivan de la manera en que la dirección conduce la entidad y cómo están integrados en el proceso de gestión. Estoscomponentes son:  Ambiente interno – Abarca el tono de una organización y establece la base de cómo el personal de la entidad percibe y trata los riesgos, incluyendo la filosofía de administración de riesgo y el riesgo aceptado, la integridad, valores éticos y el ambiente en el cual ellos operan.  Establecimiento de Objetivos – Los objetivos deben existir antes de que la dirección pueda identificar potenciales eventos que afecten su consecución. La administración de riesgos asegura que la dirección ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misión de la entidad y están en línea con ella, además de ser consecuente con el riesgo aceptado.  Identificación de eventos – Los eventos internos y externos que afectan a los objetivos de la entidad deben ser identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten hacia la estrategia de la dirección o los procesos para fijar objetivos.  Evaluación de riesgos – Los riesgos se analizan considerando su probabilidad e impacto como base para determinar cómo deben ser administrados. Los riesgos son evaluados sobre una base inherente y residual.  Respuesta al riesgo – La dirección selecciona las posibles respuestas – evitar, aceptar, reducir o compartir los riesgos – desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al riesgo de la entidad.  Actividades de control – Las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las respuestas a los riesgos se llevan a cabo efectivamente. 6
  •  Información y comunicación – La información relevante se identifica, captura y comunica en forma y plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicación efectiva debe producir en un sentido amplio, fluyendo hacia abajo, a través y hacia arriba de la entidad.  Monitoreo – La totalidad de la administración de riesgos es monitoreada y se efectúan las modificaciones necesarias. Este monitoreo se lleva a cabo mediante actividades permanentes de la dirección, evaluaciones independientes o ambas actuaciones a la vez.Para efectos metodológicos de aprendizaje, el contenido de este curso se concentra en el segundo a quintocomponentes. El resto de los componentes son más ampliamente revisados en el curso Evaluación del ControlInterno.Las cuatro o cinco categorías de objetivos – estratégicos, operativos, reporte y cumplimiento (y salvaguarda deactivos, en su caso) – están representados por columnas verticales, los ocho componentes por filas horizontales, ylas unidades de la entidad por la tercera dimensión. Este gráfico refleja la capacidad de centrarse sobre la totalidadde la administración de riesgos de una entidad o bien por categoría de objetivos, componente, unidad o cualquiersubconjunto deseado. Relación Objetivos – Componentes – Unidades, de la entidad1.4 Responsabilidades en la administración de riesgosComo ya lo comentamos desde la definición, la administración de los riesgos es efectuada por diversas personasimplicadas cada una con responsabilidades importantes, sin embargo, hay quienes realizan y tienen un rol directo y 7
  • quienes contribuyen a la identificación de eventos y la mejora del proceso desde una perspectiva indirecta, sin asumiruna responsabilidad en si misma.Por ello podemos dividir el rol de su participación en:  Personal de la Entidad y  Terceros Personal de la EntidadJunta de Gobierno, Órgano de Gobierno Proporciona monitoreo, asesoramiento y orientación a la alta dirección. Al selecciona al equipo directivo define integridad y valores éticos. Es consciente del riesgo aceptado por la entidad y está de acuerdo con él y lo contrasta con el portafolio de riesgos. Se mantiene informado de los riesgos más significativos y de si la dirección está respondiendo adecuadamente.Dirección Es responsable de la administración de riesgos en la entidad. Los altos directivos a cargo de las unidades organizacionales tienen la responsabilidad de administrar los riesgos relacionados con los objetivos de sus unidades.Administrador de Riesgos (CRO) Trabaja junto a otros directivos para establecer una administración efectiva en sus respectivas áreas de responsabilidad. Monitorea el progreso de la gestión de riesgos, sirve como un canal complementario de reporte.Auditores Internos Juegan un rol clave en la evaluación de la efectividad – y mejoramientos recomendados – de la administración de riesgos.Otro personal de la entidad Responsables de la administración de riesgos en el ámbito de sus funciones, lo que debería ser una parte explícita o implícita en su descriptivo del puesto. 8
  • TercerosAuditores Externos Aportan a la Junta de Gobierno u Órgano similar y a la dirección una perspectiva única, independiente y objetiva que puede contribuir al logro de sus objetivos de información financiera externa, principalmente, por parte de una entidad.Legisladores y Reguladores Afectan la administración de riesgos a través de requisitos para establecer mecanismos de administración de riesgos o controles internos o bien mediante inspección de determinadas entidades.Terceros en Interacción con la Entidad Clientes, proveedores, socios de negocio, y otros terceros que colaboran en los negocios son una fuente de información importante usada en las actividades de administración de riesgos.Proveedores de servicios tercerizados (Outsourcing) Aunque los proveedores externos realicen actividades para cada entidad y por su cuenta, las respectivas direcciones no abdicar de su responsabilidad de administración de riesgos correspondientes y deberían implantar un programa para monitorear esas actividades.Analistas Financieros, Agencias Calificadoras y medios Las actividades investigadoras y de seguimiento dede comunicación dichos terceros pueden proporcionar ideas sobre cómo otros perciben el funcionamiento de la entidad, las estrategias innovadoras operativas o financieras que pueden mejorar el rendimiento y las tendencias del sector. 9
  • 2 Evaluación e impacto de riesgos Objetivo: Distinguir los pasos metodológicos que se requieren realizar para la evaluación de los riesgos, a través de la identificación, valuación y priorización de los riesgos.2.1 Identificación de eventosTodas las entidades, sin hacer caso de tamaño, estructura, naturaleza o clase de industria, enfrentan riesgos entodos los niveles de sus organizaciones. Los riesgos afectan la habilidad de la entidad para sobrevivir; laadministración debe determinar cuánto riesgo es prudente aceptar, y se esfuerza por mantenerlos dentro de esosniveles.La definición de objetivos2 es una condición previa para la valoración de riesgo. Primero que todo, deben definirse losobjetivos a fin de que la administración pueda identificar los riesgos y tomar las acciones necesarias paraadministrarlos. La definición de objetivos puede ser un proceso altamente estructurado o informal. Los objetivospueden definirse explícitamente, o ser implícitos, tal como mantenerse en un nivel pasado de desempeño. Losobjetivos a menudo están representados por la misión de la entidad y por la declaración de valores. El conocimientode las fortalezas y debilidades de la entidad, y de las oportunidades y amenazas, conducen hacia una estrategiaglobal. Generalmente el plan estratégico es establecido de manera amplia, teniendo que ver con el nivel alto deasignación de recursos y prioridades.De la estrategia amplia de la entidad fluyen objetivos más específicos. A nivel de la entidad están enlazados eintegrados con los objetivos más específicos establecidos para actividades varias, tales como ventas, producción eingeniería, asegurando que ellos sean consistentes. Tales sub-objetivos u objetivos de nivel de actividad incluyen elestablecimiento de metas y deben relacionarse con los objetivos de líneas de producto, mercado, financiación yutilidades.Definiendo objetivos en los niveles de la entidad y de actividad, en una entidad puede identificar los factores críticosde éxito. Esos son asuntos claves que den ser correctos si las metas se planearon para ser alcanzadas. Los factorescríticos de éxito se aplican para la entidad, para una unidad de negocios, una función, un departamento o unindividuo. La definición de objetivos le facilita a la administración identificar los criterios de medición del desempeño,centrándose en los factores críticos de éxito.A pesar de la diversidad de objetivos, en adición a los estratégicos, pueden establecerse ciertas categoríasprincipales:  Objetivos de operaciones: Hacen referencia a la efectividad y eficiencia de las operaciones de la entidad, incluyendo objetivos de desempeño y rentabilidad, así como, recursos de salvaguarda contra pérdidas. Varían dependiendo de la selección de los administradores respecto de estructura y desempeño.2 Ver Control Interno – Informe COSO, Committee of Sponsoring Organizations of the Treadway Commission, ECOEEdiciones 2005 10
  •  Objetivos de información: Hacen referencia a la preparación de estados financieros que sean confiables, incluyendo la prevención de información financiera fraudulenta. El enfoque más reciente incluye también la confiabilidad de la información no financiera.  Objetivos de cumplimiento. Estos objetivos hacen referencia a la adhesión a las leyes y regulaciones a las cuales la entidad está sujeta. Dependen de factores externos, tales como regulaciones ambientales, y tienden a ser similares para todas las entidades en algunos casos y para toda una industria en otros casos.El proceso de identificación y análisis de riesgos es un proceso iterativo; los administradores se deben centrarcuidadosamente en los riesgos en todos los niveles de la entidad y realizar las acciones necesarias paraadministrarlos.El desempeño de una entidad puede estar en riesgo a causa de factores internos o externos. Esos factores, a suturno, pueden afectar tanto los objetivos establecidos como los implícitos. Los riesgos se incrementan en la medidaen que los objetivos difieren crecientemente del desempeño pasado. En un número de áreas de desempeño, unaentidad, a menudo, no define explícitamente los objetivos globales puesto que considera aceptable su desempeño.Aunque en esas circunstancias no hay allí un objetivo explícito o escrito, existe un objetivo implícito de no cabio ocomo es. Esto no significa que un objetivo implícito, con riesgos internos o externos, por ejemplo, permita ver comoaceptable el servicio que una entidad preste a sus clientes. Tampoco quiere decir que puedan deteriorarse lasprácticas de un competidor tal y cómo son percibidas por sus clientes.Mirando si un objetivo está establecido o es implícito, el proceso de valoración de riesgos de una entidad puedeconsiderar los que pueden ocurrir. Es importante que la identificación de riesgos sea integral. Debe considerar todaslas interacciones significativas – de bienes, servicios e información- entre una entidad y las partes externasrelevantes. Esas partes externas incluyen proveedores, inversionistas, acreedores, accionistas, empleados, clientes,compradores, intermediarios y competidores, tanto potenciales como actuales, lo mismo que medios decomunicación.La identificación de riesgos es un proceso iterativo y a menudo está integrado con el proceso de planeación.También es útil considerar los riesgos desde una aproximación, hoja de papel en blanco, y no relacionar únicamentelos riesgos de la revisión previa.Los riesgos del nivel global de la entidad pueden provenir de factores externos o internos. 11
  • Factores externos Factores internosEconómicos - Disponibilidad del capital, No pago de Infraestructura - Disponibilidad de activos, capacidad deemisión de deuda, concentración, liquidez, mercados activos, acceso al capital, complejidadfinancieros, desempleo, competencia, etc.Medio ambiente - Emisiones y residuos, Energía, Personal - Capacidad del personal, Actividadcatástrofes naturales, desarrollo sostenible Fraudulenta, Salud y seguridadPolíticos - Cambios de gobierno, legislación, regulación Procesos - Capacidad, diseño, ejecución, proveedores/subordinadosSociales - Demografía, Comportamiento del consumidor, Tecnología - Integridad de datos, selección de sistemas,terrorismo, Responsabilidad Social Corporativa, Disponibilidad de datos y sistemas, desarrollo,privacidad producción, mantenimiento.Tecnológicos - Tecnología emergente, comercioelectrónico, Interrupciones, Datos externosSe han identificado muchas técnicas para valorar riesgos. La mayoría, desarrolladas por auditores internos yexternos para determinar el alcance de sus actividades, implican el uso de métodos cualitativos o cuantitativos parapriorizar e identificar las actividades altamente riesgosas. Otras prácticas incluyen: revisiones periódicas de losfactores económicos e industriales que afectan los negocios, conferencias de los administradores principales sobreplaneación de negocios y reuniones con analistas industriales. Los riesgos se pueden identificar en conexión con lapreparación de presupuestos de corto y largo plazo y con planeación estratégica.Algunos factores a considerar incluyen: experiencias pasadas sobre fallas en la consecución de objetivos; calidad delpersonal, existencia de actividades distribuidas geográficamente, de manera particular en el extranjero; significado deuna actividad para la entidad y complejidad de una actividad.En adición a la identificación de riesgos a nivel de la entidad, deben identificarse también los riesgos a nivel deactividad. El tratar con los riesgos a este nivel ayuda a centrar la valoración de riesgos en las principales unidades denegocio o en funciones clave tales como: ventas, producción, desarrollo de tecnología o en investigación y desarrollo.La valoración exitosa de los riesgos a través de la actividad también contribuye a mantener niveles aceptables en elnivel global de la entidad.En la mayoría de las instancias, para un objetivo establecido o implícito, se pueden identificar diferentes riesgos. Enun proceso de consecución, por ejemplo una entidad puede tener un objetivo relacionado con el mantenimiento de unadecuado inventario de materias primas. Los riesgos de no conseguir el objetivo de actividad pueden incluir bienesque no cumplen con las especificaciones, o no poder ser adquiridos en las cantidades necesarias, a tiempo o aprecios aceptables. Esos riesgos pueden afectar la manera como se manejan las especificaciones para comprarbienes a los vendedores, el uso y propiedad de los presupuestos de producción, identificación de fuentes alternativasde proveedores y prácticas de negociación. 12
  • Las causas potenciales para fallar en la consecución de un objetivo varía entre lo obvio hasta lo oscuro, y de losignificativo a lo insignificante en el efecto potencial. Ciertamente, aparentemente es fácil identificar los riesgos queafectan significativamente la entidad. Para evitar el sobredimensionamiento de los riesgos relevantes, estaidentificación es mejor hacerla aparte de la valoración de la probabilidad de ocurrencia de los riesgos. Existen, sinembargo, limitaciones prácticas en el proceso de identificación, y a menudo es difícil determinar dónde dibujar lalínea de separación. No tiene mucho sentido considerar el riesgo de la caída de un meteoro desde el espacio sobrelas instalaciones de la entidad, mientras que puede ser razonable considerar el riesgo de choque de un aeroplanocontra una instalación localizada cerca del aeropuerto. 13
  • 2.2 Evaluación y priorización de los riesgosAl evaluar los riesgos, la dirección considera los eventos esperados e inesperados. Muchos de éstos son rutinarios yrecurrentes y ya se contemplan en los programas de gestión y presupuestos operativos, pero otros son inesperados.La dirección evalúa el riesgo de los eventos potenciales inesperados y, si todavía no lo ha hecho, los eventosesperados que puedan tener un impacto significativo en la entidad.Aunque el término “evaluación de riesgos” se aplica a veces en relación con una actividad puntual, en el contexto dela administración de riesgos su componente con esa misma denominación constituye una continua e iterativacantidad de acciones que tiene lugar a través de la entidad.El riesgo al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad oimpacto, se denomina riesgo inherente. El riesgo residual es el que permanece después de que la direccióndesarrolle sus respuestas a los riesgos. La evaluación de riesgos es aplicada primero a los riesgos inherentes, unavez la respuesta a los riesgos ha sido incorporada, la dirección considera el riesgo residual.La incertidumbre de los eventos potenciales se evalúa desde dos perspectivas – probabilidad e impacto. La primerarepresenta la posibilidad de que ocurra un evento determinado, mientras que la segunda refleja su efecto. Ambostérminos se aplican de forma común, aunque algunas entidades usen otros, tales como frecuencia, severidad,seriedad o consecuencia. A veces, las palabras, adquieren connotaciones más específicas y el concepto“probabilidad” puede indicar tanto la posibilidad de que ocurra cierto evento en términos cualitativos como alta, mediay baja o derivados de otras escalas de medida o bien en términos cuantitativos como porcentaje, frecuencia yocurrencia o derivados de otras métricas numéricas.Es una tarea difícil y llena de retos la determinación de cuánta atención hay que prestar a la evaluación de la gamade riesgos a los que se enfrenta una entidad. La dirección reconoce que generalmente no merece ulteriorconsideración un riesgo con poca probabilidad de ocurrencia y escaso impacto potencial. Por otro lado, exige unaatención considerable un riesgo con alta probabilidad de ocurrencia y significativo impacto potencial. Lascircunstancias entre ambos externos normalmente requieren juicios difíciles. Es importante que el análisis searacional y cuidadoso.El horizonte de tiempo usado para evaluar los riesgos debería ser consecuente con el horizonte de tiempo de laestrategia y objetivos correspondientes. Como estos dos conceptos apuntan en muchas entidades a horizontes detiempo entre el corto y medio plazo, la dirección se centra naturalmente en los riesgos asociados con estos plazos detiempo. Sin embargo, algunos aspectos de la orientación y objetivos estratégicos se extienden hasta el largo plazo.Como resultado, la dirección necesita ser consciente de las franjas de tiempo más largas y no ignorar los riesgos quepueden aparecer.Por ejemplo, una entidad puede tener en cuenta el riesgo de interrupción de sus operaciones a causa de unterremoto. Sin un horizonte de tiempo específico para la evaluación de riesgos, la probabilidad de que un terremotosupere los seis grados en la escala de Ritcher es alta, quizá con una certeza virtual. Por otro lado, la probabilidad deque un terremoto de tal intensidad suceda dentro de dos años es sustancialmente menor, al establecer un horizontede tiempo, la entidad entiende mejor la importancia relativa del riesgo y mejora su capacidad para comparar riesgosmúltiples.La dirección usa a menudo medidas de desempeño para determinar el grado de consecución de objetivos ynormalmente aplica la misma unidad de medida, u otra congruente con ella, que la utilizada para considerar elimpacto potencial de un riesgo sobre la consecución de un objetivo concreto. 14
  • A menudo, las estimaciones de probabilidad de riesgo y su impacto se determinan usando datos procedentes deeventos anteriores observables, que proporcionan una base más objetiva que las estimaciones totalmente subjetivas.Los datos generados internamente a partir de la experiencia propia de la entidad pueden reflejar un menor sesgosubjetivo personal y proporcionan mejores resultados que los datos procedentes de fuentes externas.Sin embargo, incluso cuando los datos generados internamente sean una entrada primara, los datos externospueden resultar útiles como punto de contraste o para mejorar el análisis. Por ejemplo, la dirección de una entidadque evalúa el riesgo de paradas en la producción por fallas de los equipos, primero estudia la frecuencia e impactode fallas anteriores de su propio equipo productivo. A continuación complementa dichos datos con datoscomparativos de la industria, lo que permite una estimación más exacta de la probabilidad e impacto de las fallas, yuna programación más efectiva del mantenimiento preventivo. Se debe ser cauto cuando se usan eventos pasadospara establecer previsiones futuras, ya que los factores que influyen en los eventos pueden cambiar con el tiempo.La dirección formula a menudo juicios subjetivos sobre la incertidumbre y, al hacer esto, debe reconocer suslimitaciones inherentes. Los resultados de investigaciones psicológicas indican que las personas que tomandecisiones a varios niveles de capacidad, incluyendo los directivos de la entidad, tienen demasiada confianza en sucapacidad de estimación y no reconocen el volumen de incertidumbre que realmente existe. Los estudios muestranun marcado sesgo de confianza excesiva, que lleva a intervalos de confianza inadecuadamente estrechos respecto alas estimaciones o probabilidades, tal como se aplican, por ejemplo, en las metodologías de valuación de riesgos.Esta inclinación hacia el exceso de confianza al estimar la incertidumbre puede minimizarse mediante el uso efectivode datos empíricos generados interna o externamente. En ausencia de éstos, una aguda conciencia de lapenetración de los sesgos puede ayudar a mitigar los efectos de ese exceso de confianza.Las tendencias humanas respecto a la toma de decisiones se muestran de otra forma, pues no es infrecuente quelas personas tomen diferentes opciones en búsqueda de ganancias antes que en evitar pérdidas. Al reconocer estastendencias, los directivos pueden estructurar la información para reforzar el riesgo aceptado y el comportamientohacia el riesgo en toda la entidad. De acuerdo a como la información se presente o enmarque, se puede afectarsignificativamente la interpretación de la información y su visión, así como la asociación a riesgos u oportunidades.La metodología de evaluación de riesgos de una entidad consiste en una combinación de técnicas cualitativas ycuantitativas. La dirección aplica a menudo técnicas cualitativas cuando los riesgos no se prestan por si mismos a lacuantificación o cuando no están disponibles datos suficientemente creíbles para una evaluación cuantitativa o laobtención y análisis de ellos no resulte efectiva por su costo. Las técnicas cuantitativas típicamente aportan másprecisión y se usan en actividades más complejas y sofisticadas, para complementar las técnicas cualitativas.Las técnicas cuantitativas de evaluación normalmente exigen un mayor grado de esfuerzo y rigor y a veces empleanmodelos matemáticos. Estas técnicas dependen mucho de la calidad de los datos e hipótesis de soporte y resultanmás relevantes para riesgos con un historial y una frecuencia de variabilidad conocidos, pues permiten unaproyección fiable. 15
  • 33 Ver Guía para las Normas del Control Interno del Sector Público - Información adicional sobre la Administración deRiesgos de la Entidad, Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), 2007 16
  • 3 Respuesta a los riesgos Objetivo: Revisar los diferentes tipos de respuesta a los riesgos identificados, así como, las acciones realizadas en aquellos casos en los que la dirección acepta riesgos.3.1 Tipos de respuesta a los riesgosLas respuestas a los riesgos se incluyen en las siguientes categorías4:  Evitar – Supone salir de las actividades que generen riesgos. Evitar el riesgo puede implicar el cese de una línea de producto, frenar la expansión hacia un nuevo mercado geográfico o la venta de una división.  Reducir – Implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo o ambos conceptos a la vez. Esto implica típicamente a algunas de las miles de decisiones administrativas cotidianas.  Compartir – La probabilidad o el impacto del riesgo se reducen trasladando o, de otro modo, compartiendo una parte del riesgo. Las técnicas comunes incluyen la contratación de seguros, la realización de operaciones de cobertura o la tercerización de una actividad.  Aceptar – No se emprende ninguna acción que afecte a la probabilidad o el impacto del riesgo.La respuesta de evitar el riesgo sugiere que no se identificó ninguna opción de respuesta que redujera el impacto yprobabilidad hasta un nivel aceptable. Las respuestas de reducir o compartir reducen el riesgo residual a un nivel enlínea con las tolerancias de riesgo deseadas, mientras que una respuesta de aceptación sugiere que el riesgoinherente ya está dentro de las tolerancias de riesgo.Para muchos riesgos, las opciones de respuesta adecuadas son evidentes y bien aceptadas. Por ejemplo, para elriesgo de perder la disponibilidad de los sistemas informáticos, una opción típica de respuesta es la implantación deun plan de continuidad del negocio. Para otros riesgos, las opciones disponibles pueden no ser tan evidentes, lo queexigirá investigación y análisis.Al determinar la respuesta a los riesgos, la dirección debería tener en cuenta lo siguiente:  Los efectos de las respuestas potenciales sobre la probabilidad y el impacto del riesgo – y que opciones de respuesta están en línea con las tolerancias al riesgo de la entidad.  Los costos versus los beneficios de las respuestas potenciales.  Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va más allá del tratamiento de un riesgo concreto.Los recursos siempre presentan restricciones y las entidades pueden considerar los costos y beneficios derivados deopciones alternativas de respuesta a este tipo de riesgo. Las medidas de costo beneficio para la puesta en prácticade respuestas se realizan con varios niveles de precisión. Las oportunidades pueden identificarse al contemplar lasrespuestas a los riesgos.4 Ver Administración de Riesgos Corporativos - Marco Integrado, Committee of Sponsoring Organizations oftheTreadway Commission, 2005. 17
  • 3.2 Aceptación de los riesgos por parte de la direcciónComo lo hemos revisado en los puntos anteriores, la responsabilidad de la administración de riesgo es de ladirección de cada entidad, sin embargo, al no implementar las medidas necesarias para mitigar los riesgos ladirección asume un riesgo mayor al tolerable o acordado con los organismos de gobierno. De acuerdo, con lanormatividad5 para la práctica de auditoría interna, a los auditores internos les corresponde dar el seguimientooportuno a este tipo de aspectos, a fin de que sean reportados al órgano de gobierno apropiado.Los auditores internos determinan si la dirección ha seguido las medidas o implementado la recomendación. Elauditor interno determina si se alcanzaron los resultados deseados, o si la dirección o la junta de gobierno hanasumido el riesgo de no adoptar las medidas o implementar la recomendación.El seguimiento es un proceso por el cual los auditores internos evalúan la adecuación, eficacia y oportunidad de lasmedidas tomadas por la dirección con relación a las observaciones y recomendaciones del trabajo, incluso aquellasefectuadas por los auditores externos y otros. Este proceso también incluye determinar si la alta dirección o elÓrgano de gobierno han asumido el riesgo de no tomar medidas correctivas sobre las observaciones informadas.El estatuto de la actividad de auditoría interna debería definir la responsabilidad del seguimiento. El director ejecutivode auditoría (DEA) determina la naturaleza, oportunidad y alcance del seguimiento, teniendo en cuenta los siguientesfactores:  La relevancia de las observaciones y recomendaciones informadas.  El grado de esfuerzo y costo necesarios para corregir la situación informada.  El impacto que puede derivarse si no se lleva a cabo la acción correctiva.  La complejidad de la acción correctiva.  El período involucrado. El DEA es el responsable de programar las actividades de seguimiento, como parte de la programación de trabajos arealizar. La programación del seguimiento se basa en el riesgo y la exposición al mismo, así como en el grado dedificultad y la cantidad de tiempo necesaria para implantar la acción correctiva.Cuando el DEA juzgue que la respuesta oral o escrita de la dirección indique que la medida tomada es suficiente conrelación a la importancia relativa de la observación o recomendación, los auditores internos pueden hacer elseguimiento como parte del siguiente trabajo.Los auditores internos determinan si las medidas tomadas sobre las observaciones y recomendaciones solucionanlos problemas de fondo. Las actividades de seguimiento deberían estar apropiadamente documentadas.5 Ver Normas para la Práctica de Auditoría Interna, The Institute of Internal Auditors, 2008 18
  • 4 Evaluación de los riesgos, para la fiscalización Objetivo: Puntualizar, a través de la normativa internacional (INTOSAI e IFAC), la importancia de la evaluación de los riesgos y su impacto en las labores de fiscalización y auditoría, aplicando los conceptos revisados en los puntos anteriores.4.1 Normas y criterios internacionales de fiscalización y el análisis de riesgos4.1.1 Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI)La Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI) proporciona normatividad6 parala fiscalización pública, de los cuales, respecto a la fiscalización y análisis de riesgos destacan los siguientes:Postulados Básicos de la Fiscalización Pública La obligación de rendir cuentas, por parte de las personas o entidades que manejan recursos públicos, está cada vez más en la conciencia de todos por lo que hay una mayor necesidad de que dicha obligación se cumpla de forma correcta y eficaz. La implantación, en el seno de las Administraciones Públicas, de unos sistemas idóneos de obtención de datos, de control, de evaluación y de presentación de informes facilitará el proceso de rendición de cuentas. La dirección es responsable de que la forma y el contenido, tanto de los informes financieros como de los de cualquier otro tipo, sean correctos y adecuados. Las autoridades correspondientes deben garantizar la promulgación de normas de contabilidad aceptables, relativas a los informes financieros y a su publicación, adecuadas a las necesidades de la Administración, y las entidades fiscalizadas deben fijarse objetivos específicos y mensurables y determinar qué niveles de rendimiento se han de lograr. La aplicación coherente de normas de contabilidad aceptables ha de dar lugar a una presentación correcta de la situación y de los resultados de las operaciones financieras. La existencia de un sistema de control interno apropiado reduce al mínimo el riesgo de errores e irregularidades6 Ver Normas de Auditoría, Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), 2001 19
  • Diligencia debida El uso y aplicación de las diferentes especialidades técnicas debe ser de una calidad apropiada a la complejidad de cada fiscalización. Los auditores deben estar atentos a las deficiencias en el control, a las insuficiencias en la contabilidad, a las operaciones erróneas e irregulares, y a los resultados o situaciones que pueden ser indicativos de fraude, gastos inadecuados o ilícitos, operaciones no autorizadas, despilfarro, ineficiencia o falta de probidad.Normas de Procedimiento en la Fiscalización PúblicaLas normas de procedimiento aplicables a todo tipo de auditorías son: El auditor debe planear sus tareas de manera tal que se asegure la realización de una auditoría de alta calidad y que ésta sea obtenida con la economía, eficiencia, eficacia y prontitud debidas. El trabajo realizado por el personal de auditoría en cada nivel, y en cada fase de la fiscalización, debe ser adecuadamente supervisado durante la auditoría y la documentación obtenida debe ser revisada por un miembro experimentado del equipo fiscalizador. El auditor, para determinar la extensión y el alcance de la fiscalización, debe examinar y valorar el grado de fiabilidad del control interno pueden afectar indirecta y sustancialmente los valores que figuran en los estados financieros o los resultados de la auditoría de regularidad. En la auditoría operacional o de gestión conviene evaluar la conformidad a las leyes y reglamentos vigentes ya que ello es necesario para cumplir los objetivos de la fiscalización. El auditor debe diseñar la fiscalización de manera que ofrezca una garantía razonable de que se detecten los actos ilícitos que pudieran afectar significativamente a los objetivos de la auditoría. Asimismo, el auditor debe prestar especial atención a las situaciones o transacciones susceptibles de entrañar actos ilícitos que pudieran afectar indirectamente los resultados de la fiscalización. Cualquier indicación de la existencia de irregularidades, actos ilegales, fraude o algún error que podrían tener efectos materiales sobre la auditoría en curso deberían motivar al auditor de prolongar los procedimientos para poder verificar o disipar ese tipo de sospechas. La auditoría de la regularidad constituye un aspecto esencial de la fiscalización pública. Uno de los objetivos más importantes que este tipo de auditoría asigna a la EFS es el de velar, con todos los medios disponibles, por la integridad y validez del presupuesto y de las cuentas públicas. Gracias a ello, el Parlamento o la autoridad destinataria de los informes de auditoría están en condiciones de constatar con certeza la magnitud y la evolución de las obligaciones financieras del Estado. A tal fin, la EFS procederá al examen de las cuentas y de los estados financieros de la Administración con objeto de asegurar que todas las operaciones, y sólo ellas, han sido debidamente contraídas, ordenadas, liquidadas y registradas. Si no se detecta ninguna irregularidad, la fiscalización concluye ordinariamente con una "aprobación" . Para fundamentar las opiniones y las conclusiones del auditor relativas a la organización, al programa, a la actividad o a la función fiscalizada, deben aportarse pruebas adecuadas, pertinentes y razonables. En la auditoría de regularidad y financiera, y en cualquier otra clase de auditoría cuando proceda, los auditores deben examinar las cuentas para determinar si se han cumplido normas de contabilidad aceptables para la presentación o la publicación de los informes financieros. El examen de las cuentas debe realizarse de manera que proporcione una base racional para poder expresar una opinión sobre ellas.Planeación 20
  • En la planeación de una fiscalización, los pasos que normalmente se dan, son los siguientes: reunir información sobre la entidad fiscalizada y su organización, con el fin de determinar los riesgos y valorar la importancia relativa definir los objetivos y el alcance de la fiscalización llevar a cabo un análisis preliminar para determinar los métodos que han de adoptarse y la naturaleza y extensión de las investigaciones que después habrán de realizarse destacar los problemas especiales previstos cuando se planificó la auditoría elaborar un presupuesto y un programa de la fiscalización determinar las necesidades de personal y formar el equipo que ha de realizar la fiscalización y dar a conocer a la entidad fiscalizada el alcance, los objetivos y los criterios de valoración adoptados en relación con la fiscalización y discutirlos con ella si fuese necesario.4.1.2 Normas Internacionales de Auditoría – International Federation of AccountantsLa Federación Internacional de Contadores (IFAC) ha desarrollado normas (estándares7) aplicables a larealización de auditorías externas, las aplicables a partir del 15 de diciembre de 2009 y que serelacionan con al análisis de riesgos, destacan lo siguiente:ISA 300 Planeación de una auditoría de estados financierosEl auditor debe desarrollar un plan de auditoria que debe incluir una descripción de: La naturaleza, oportunidad y extensión de los procedimientos de evaluación de riesgos planeados, como se determina bajo ISA 315.4 La naturaleza, oportunidad y extensión de los procedimientos de auditoría al nivel de afirmaciones, conforme a lo determinado en ISA 330.5 Otros procedimientos de auditoría planeados que sean requeridos para cumplir con las ISAs.A2. La planeación no es una fase discreta de una auditoría, sino como un proceso continuo e iterativo quefrecuentemente inicia poco después (o en conexión con) la terminación de la auditoría previa y continua hasta laterminación de la auditoría actual. La planeación, sin embargo, incluye consideraciones de tiempo de ciertasactividades y procedimientos de auditoría que necesitan ser completados antes de la ejecución de los procedimientosde auditoría. Por ejemplo, la planeación incluye la necesidad de considerar antes de la identificación y evaluación deriesgos de errores materiales, aspectos tales como: Los procedimientos analíticos a ser aplicados como procedimientos de evaluación de riesgos.7 International Standards on Audit, International Federation of Accountants 2010 21
  •  Obtener una comprensión general del marco legal y regulatorio aplicable a la entidad y como la entidad está cumpliendo con ese marco. La determinación de la materialidad. El involucramiento de expertos. La aplicación de otros procedimientos de evaluación de riesgos.Actividades de Planeación - Estrategia Integral de AuditoríaEl proceso de establecer la estrategia de auditoría integral asiste al auditor para determinar, sujeto a la terminaciónde los procedimientos de evaluación de riesgos del auditor, aspectos tales como: Los recursos a utilizar para áreas de auditoría específicas, tales como, el uso de apropiados miembros con experiencia para áreas de alto riesgo o el involucramiento de expertos en temas complejos; El monto de los recursos a asignar a áreas de auditoría específicas, tales como el número de miembros del equipo asignado para observar el conteo de inventario de ubicaciones importantes, la extensión de la revisión del trabajo de los auditores en el caso de auditorías grupales, o el presupuesto de auditoría en horas para asignar a áreas de alto riesgo; Cuando los recursos serán utilizados, por ejemplo en una etapa intermedia o en fechas específicas de corte; y Cómo tales recursos serán administrados, dirigidos y supervisados, por ejemplo cuando se esperan tener las reuniones de explicaciones y aclaraciones o presentación de resultados, cómo se espera que efectúen las revisiones por los socios y gerentes (por ejemplo, en sitio o fuera del lugar) y si se completaran revisiones de control de calidad del trabajo.ISA 315 Identificación y evaluación de riesgos de irregularidades materiales a través de la compresión de la entidad ysu ambienteDefiniciónProcedimientos de evaluación de riesgos – Los procedimientos de auditoría desarrollados para obtener unacomprensión de la entidad y su ambiente, incluyendo el control interno de la entidad, para identificar y evaluar losriesgos de errores materiales, ya sea fraude o error, en los estados financieros y a niveles de afirmaciones.Requerimientos - Actividades Relacionadas y procedimientos de evaluación de riesgosEl auditor debe desarrollar procedimientos de evaluación de riesgos para proporcionar una base para la identificacióny evaluación de riesgos de errores materiales en a nivel de estados financieros y de afirmaciones. Losprocedimientos de evaluación de riesgos por sí mismos, no proporcionan suficiente evidencia de auditoría apropiadasobre la cual basar la opinión de auditoría.Los procedimientos de evaluación de riesgos deben incluir lo siguiente: 22
  •  (a) Cuestionamientos a la administración, y otros dentro de la entidad quienes a juicio del auditor puedan tener información que probablemente puede asistirle en la identificación de riesgos de errores materiales debido a fraude o error. (b) Procedimientos analíticos. (c) Observación e inspección.El auditor debe considerar si la información obtenida del cliente de auditoría en el proceso es relevante paraidentificar riesgos de errores importantes.Si el auditor intenta usar la información obtenida de la experiencia previa del auditor con la entidad y de losprocedimientos de auditoría desarrollados en auditorías anteriores, el auditor debe determinar si han ocurridocambios desde la última auditoría que pudieran afectar su relevancia para la auditoría actual.El proceso de evaluación de riesgosEl auditor debe obtener una comprensión de si la entidad tiene un proceso para: (a) Identificar riesgos de negocios relevantes a los objetivos de reporte financiero.; (b) Estimar lo significativo de los riesgos; (c) Evaluarla probabilidad de su ocurrencia; y (d) Decidir acerca de acciones para manejar los riesgos.Si la entidad ha establecido tal proceso (referido aquí como el “proceso de evaluación de riesgos de la entidad”), elauditor debe obtener una comprensión de este, y los resultados del mismo. Si el auditor identifica riesgos de erroresimportantes que la administración fallo en identificar, el auditor debe evaluar si hubo un riesgo subyacente de talmanera que el auditor esperaría hubiera sido identificado por el proceso de evaluación de riesgos. Si hay tal riesgo,el auditor debe obtener una compresión de por qué el proceso falló en identificarlo, y evaluar si el proceso esapropiado en las circunstancias o determinar si hay una deficiencia significativa en el control interno con relación alproceso de evaluación de riesgos de la entidad.Si la entidad no ha establecido tal proceso o tiene un proceso ad hoc, el auditor debe discutir con la administración silos riegos de negocios relevantes a los objetivos de reporte financiero han sido identificados y como ellos losmanejan. El auditor debe evaluar si la ausencia de un proceso de evaluación de riesgos documentado es apropiadoen las circunstancias, o determinar si esto representa una deficiencia significativa en el control interno.Riesgos que requieren un Consideración especial de auditoríaComo parte de la evaluación de riesgos descrita en el párrafo 25, el auditor debe determinar si, cualquiera de losriesgos identificados son, a juicio del auditor, un riesgo significativo. En el ejercicio de este juicio, el auditor debeexcluir los efectos de controles identificados relacionados con el riesgo.En el ejercicio del juicio, en cuanto a cuales riesgos son significativos, el auditor debe considerar al menos losiguiente: 23
  •  (a) Si el riesgo es un riesgo de fraude; (b) Si el riesgo está relacionado con recientes cambios significativos económicos, contables u otros desarrollos, y luego entonces, requiere atención específica. (c) La complejidad de las transacciones; (d) Si los riesgos involucran transacciones significativas con partes relacionadas. (e) El nivel de subjetividad en la medición de la información financiera relacionada con el riesgo, especialmente aquellas que involucran un rango amplio de medición de incertidumbre; y (f) Si el riesgo involucre transacciones significativas que están fuera del curso normal del negocio para la entidad, o que de otra manera aparentan ser inusuales.Si el auditor ha determinado que existe un riesgo significativo, el auditor debe obtener una comprensión de que loscontroles de la entidad relevantes para esos riesgos, incluyendo actividades de control.4.2 Importancia del análisis de riesgos en la fiscalizaciónEl concepto de riesgo es un tema que está estrechamente relacionado con la función del auditor, sin embargo,cuando se hace referencia a su desempeño, se asocia a éste con la evaluación de controles que con la evaluaciónde riesgos, lo cual no es exacto, ya que en estricto sentido, los controles se establecen para prevenir o reducirriesgos; por lo tanto, para poder evaluar objetivamente la eficacia de los controles, primero debemos identificar losriesgos que deben prevenir, detectar o corregir.“La Evaluación de Riesgos es utilizada para identificar, medir, y priorizar riesgos con el fin de que el mayor esfuerzosea realizado para identificar las áreas auditables de mayor relevancia”.Bajo ese contexto, tanto las declaraciones sobre normas de auditoría, las declaraciones para la práctica profesionalde la auditoría interna y las declaraciones para la práctica profesional de auditoría de sistemas, establecenlineamientos en materia de riesgos que los auditores deben observar para realizar un buen trabajo y cumplir con susresponsabilidades.“El riesgo de auditoría y la importancia de la realización de la misma” señala que la existencia del riesgo de auditoríaestá implícita en la frase “en nuestra opinión”, y que el riesgo de auditoría es el riesgo que corre el auditor de nomodificar inadvertidamente y en forma aprobada su opinión sobre los estados financieros que se presentenincorrectamente en importes considerables. Establece, así mismo, que el auditor debe planear la auditoría para queel riesgo antes señalado se limite a un nivel bajo que se sea, a su juicio profesional, apropiado para emitir unaopinión sobre los estados financieros, que el riesgo de auditoría puede evaluarse en términos cuantitativos o nocuantitativos, y que el auditor necesita considerarlo a nivel de cuenta o clase de transacciones individuales.De igual manera, “la Valuación de Riesgos”, establece que como parte de los planes para llevar a cabo lasresponsabilidades de la auditoría, efectuar una valuación de riesgos con relación a su organización, y señala comoelementos del proceso:  Identificación de las actividades auditables.  Identificación de factores de riesgo relevantes a las actividades auditables, y  Valuación de los factores de riesgo.Bibliografía 24
  • Administración de Riesgos Corporativos - Marco Integrado, Committee of Sponsoring Organizations of theTreadwayCommission, 2005.Control Interno – Informe COSO, Committee of Sponsoring Organizations of the Treadway Commission, ECOEEdiciones 2005Guía para las Normas del Control Interno del Sector Público - Información adicional sobre la Administración deRiesgos de la Entidad, Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), 2007Normas para la Práctica de Auditoría Interna, The Institute of Internal Auditors, 2008Normas de Auditoría, Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), 2001International Standards on Audit, International Federation of Accountants 2010 25