El auditor interno en la gestión de riesgos del negocio(*)

Revista Nº 32 Oct.-Dic. 2007

José Antonio Lara Rojano 

(Colombia) 

Contador público 

Magíster en Administración de Empresas Universidad de los Andes 

Certificado internacionalmente como auditor interno y en auto evaluación del control interno por The Institute Internal Auditors. Miembro principal de Junta Directiva del IIA Colombia. 

1. Introducción

Durante los últimos años, la importancia de fortalecer el gobierno corporativo en la gestión de riesgo se ha incrementado notablemente. Las organizaciones están bajo presión para identificar todos los riesgos de negocios que ellas enfrentan —sociales, éticos y ambientales, así como financieros y operacionales—y explicar cómo los gestionan para llevarlos a niveles aceptables. Mientras tanto, el uso de marcos de gestión de riesgo se ha incrementado, debido a que las organizaciones reconocen sus ventajas sobre enfoques menos coordinados de gestión de riesgo.

La administración del riesgo hoy día representa una de las principales herramientas gerenciales para lograr los objetivos del negocio. Los administradores, la junta directiva, la alta dirección y el personal administrativo cada vez están más preocupados sobre cómo los riesgos pueden afectar las estrategias y operaciones de la empresa. Los auditores internos, como expertos en riesgos, son una herramienta fundamental para la gestión de estos. En este artículo se busca analizar el rol del auditor interno en la gestión del riesgo empresarial.

2. Antecedentes

La evolución que ha tenido la actividad de auditoría en los últimos años ha llevado a que los profesionales de la auditoría interna se preocupen crecientemente por tener un mejor entendimiento de los negocios. A finales de los noventa, The Institute Internals Auditors —en adelante, IIA—, a través de la Fundación para la Investigación de la Auditoría, adelantó una investigación sobre las tendencias de los negocios y lo que esperaban los administradores de la actividad de auditoría interna. De este estudio surgieron una nueva definición de auditoría interna, la emisión de nuevas normas y un nuevo Código de Ética, que conforman el marco obligatorio que deben utilizar los auditores internos en la prestación de sus servicios. El nuevo enfoque le da al auditor interno un rol de consultor de la organización en temas de gestión de riesgos, control y gobierno.

Tres eventos relacionados con el riesgo están teniendo un impacto directo en los auditores internos:

— Publicación del nuevo marco para la gestión del riesgo empresarial (ERM), emitido por The Committee of Sponsoring Organizations of the Treadway Commission, más conocida como COSO.

— Adopción de las normas del IIA, que requieren una evaluación de riesgo en la planificación anual de auditoría.

— Adopción de las normas del IIA, que requieren una evaluación de riesgo en la planificación de una asignación de auditoría.

3. Elementos esenciales en la gestión del riesgo

La gestión de riesgo empresarial (ERM) es un proceso estructurado, consistente y continuo, implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan la posibilidad de que ella logre sus objetivos.

Dentro de este contexto, el consejo de administración, la dirección y demás personal de la organización tienen roles y responsabilidades diferentes, pero complementarios —que más adelante analizaremos—, dentro del proceso de gestión de riesgos.

Los elementos claves en el proceso de gestión de riesgos, según lo definido en el marco para la administración del riesgo empresarial emitido por COSO, son los siguientes:

Medio ambiente interno. El medio ambiente interno comprende el temperamento o idiosincrasia de una organización. Establece la base sobre cómo se ven y afrontan los riesgos por las personas de la organización, incluyendo la filosofía sobre la gestión de riesgos y el interés por lidiar con estos, la integridad y los valores éticos y el medio ambiente en el cual operan.

Este es un elemento clave para el proceso de gestión del riesgo, por cuanto establece el tono de la organización para la implementación y éxito del proceso. No hay que olvidar que la administración de riesgos es una cultura que debe permear la organización, y que, dentro de las responsabilidades del consejo de administración y de la alta dirección, además de implementar el proceso, está la de promoverlo con sus actuaciones y comportamientos.

Dentro del medio ambiente interno, hay que considerar la filosofía de administración de riesgos, la integridad y los valores éticos, el rol del consejo de administración, las competencias requeridas para el personal, la estructura organizacional, la asignación de autoridad y responsabilidad, los estándares y políticas de contratación de recursos humanos y el nivel de riesgo que está dispuesta a asumir la entidad en su búsqueda de valor. Este último es un elemento esencial, cuando se definen las estrategias a desarrollar en el tratamiento del riesgo.

— Determinación de objetivos. Los objetivos deben existir antes de que la administración pueda identificar eventos potenciales que afecten su logro. El ERM asegura que la administración implemente un proceso para definir objetivos, y que los objetivos seleccionados apoyen y estén de acuerdo con la misión de la entidad y sean consistentes con su interés por los riesgos.

Este es uno de los elementos más importantes en la gestión del riesgo empresarial, en la medida que de este se derivan las estrategias que debe adelantar la organización para el tratamiento del riesgo. Es tan importante que dentro de la definición se prevé que la esencia del proceso de gestión de riesgos es el logro de los objetivos del negocio.

En este sentido, se requiere que la dirección de la empresa defina claramente su misión y visión y que, en función de estos, desarrolle sus objetivos estratégicos, seleccione sus estrategias de negocio y fije los objetivos de las áreas funcionales o procesos de la organización. Para ello, debe considerar las políticas de administración implementadas en la empresa —procesos o funcionales—, de manera que todo el personal de la organización tenga claridad sobre cuáles son los riesgos que pueden afectar el logro de sus objetivos estratégicos y operacionales.

En este punto es donde se pueden encontrar las primeras y principales fallas en un proceso de gestión de riesgos, porque las compañías en muchos casos no le dan la importancia que merece a la definición de su misión, visión y estrategias de negocio y, en otros casos, estas son definidas, pero no son comunicadas efectivamente a la organización.

Cuando esto sucede, la organización no puede establecer un proceso de gestión de riesgo efectivo, porque se les dificulta a los responsables de las operaciones identificar los riesgos asociados a los objetivos estratégicos y operacionales de la empresa. Es posible que existan políticas y procedimientos, pero estos no necesariamente abordan con eficiencia y eficacia el logro de los objetivos del negocio, dado que no son conocidos por el personal de la organización.

— Identificación de eventos. Los eventos internos y externos que afectan el logro de los objetivos de una entidad se deben identificar, distinguiendo entre riesgos y oportunidades. Las oportunidades son canalizadas hacia los procesos, para determinar objetivos o estrategias de la administración.

Un evento es un incidente o acontecimiento procedente de fuentes externas que afecta la consecución de los objetivos y que puede tener un impacto positivo o negativo. Estos eventos son identificados en primera instancia cuando se establecen la misión, visión y objetivos estratégicos y operativos de la empresa. Al desarrollar el análisis conocido como la mátrix DOFA, en el cual se analizan las debilidades, oportunidades, fortalezas y amenazas, lo que se hace es identificar los eventos que pueden afectar a la organización y, a partir de esta identificación, la compañía establece sus objetivos y estrategias de negocio. En este análisis, las debilidades y fortalezas están asociadas con los aspectos internos del negocio y las amenazas y oportunidades, con los aspectos externos.

En segunda instancia, los eventos deben ser identificados en la medida que se desarrollen las estrategias de la organización, de manera que se tengan en cuenta los cambios en el entorno, en las estructuras y los procesos de aquella.

Los eventos negativos que se logren identificar en este proceso, son los riesgos que deben administrar, según el apetito al riesgo que haya definido el consejo de administración y la dirección.

— Evaluación de riesgos. Los riesgos se analizan considerando la probabilidad y el impacto, como base para determinar cómo se deben manejar, y se evalúan de acuerdo con pautas de inherencia y residualidad.

La evaluación de riesgos le permite a la entidad considerar de qué manera la pueden impactar los eventos potenciales en su consecución de los objetivos. Estos eventos deben ser evaluados desde las perspectivas de probabilidad e impacto, utilizando una combinación de métodos cuantitativos y cualitativos. La primera representa la posibilidad de que ocurra un evento y la segunda el efecto de este sobre la entidad.

En la evaluación de los eventos se debe considerar el impacto que tengan sobre los objetivos de negocios individuales o en conjunto con otros objetivos, así como el impacto que puedan tener sobre una unidad de negocio, filial, división o sobre la entidad como un todo.

En este proceso se deben considerar tanto el riesgo inherente —definido como aquel que pueda afectar la organización en ausencia de acciones de la dirección para modificar su probabilidad e impacto—, como el riesgo residual —definido como el riesgo que permanece, una vez que la dirección ha desarrollado sus respuestas a los riesgos—.

La evaluación de riesgos debe ser aplicada, en primera instancia, a los riesgos inherentes y, una vez que el riesgo es tratado, la dirección debe considerar el riesgo residual, para evaluar si este está acorde con el apetito al riesgo de la organización.

— Respuesta a los riesgos. La administración selecciona las respuestas a los riesgos —evitarlos, aceptarlos, disminuirlos o compartirlos—, desarrollando un conjunto de acciones para alinear los riesgos con las tolerancias de riesgos de la entidad y el interés o apetito por ellos.

Este proceso se adelanta una vez la dirección ha evaluado los riesgos relevantes que puedan afectar el logro de los objetivos del negocio. Consiste en definir si los riesgos identificados en el proceso deben ser evitados, transferidos, compartidos o aceptados. Al determinar el camino a seguir con el tratamiento del riesgo, la dirección debe evaluar la probabilidad e impacto del riesgo, así como los costos y beneficios que conlleva su tratamiento. La estrategia debe conducir a seleccionar una respuesta al riesgo que reduzca el riesgo residual a las tolerancias definidas por la organización.

— Actividades de control. Se establecen políticas y procedimientos y se implementan para ayudar a asegurar que las respuestas a los riesgos se aplican efectivamente. Las políticas y procedimientos que se definan deben atender las respuestas definidas por la dirección para la administración de los riesgos del negocio. Los procedimientos son las acciones llevadas a cabo por las personas responsables de los procesos para cumplir con las políticas definidas y así lograr los objetivos de la empresa.

Las actividades de control se definen en función de los objetivos de control y estos, a su vez, lo están en función de los riesgos identificados. Los principales objetivos de control sobre los cuales se deben definir las políticas y procedimientos son los siguientes:

• Autorización: todas las transacciones son autorizadas apropiadamente por la administración.

• Veracidad: las transacciones son apropiadamente calculadas.

• Valuación o asignación: aplicación de principios apropiados de medición y reconocimiento.

• Inclusión completa: todas las transacciones válidas son registradas.

• Clasificación: las transacciones son correctamente clasificadas

• Existencia: todas las transacciones registradas realmente ocurrieron y fueron registradas una solo una vez.

• Período correcto: las transacciones son registradas en el periodo al que corresponden.

• Salvaguarda de activos: los activos están protegidos contra hurto, daño y acceso o uso no autorizado.

• Segregación de responsabilidades: adecuada segregación entre la autorización de la transacción, el registro y el mantenimiento del activo.

Un aspecto clave de las actividades de control es que estas se estructuren en función de la eficiencia y eficacia. Lo primero está relacionado con el costo-beneficio del control con respecto al riesgo que está administrando y lo segundo con que el control se ejecute tal como fue diseñado.

— Información y comunicación. Se identifica la información importante, se captura y se comunica en un formato y en un esquema de tiempo que permita a las personas cumplir sus responsabilidades. La comunicación efectiva también ocurre en un sentido más amplio, fluyendo hacia abajo, a través y hacia arriba de la organización.

Esta fase del proceso de gestión de riesgos es fundamental, si se considera que los sistemas de información implementados por la empresa generan información de tipo interno y externo que ayudan a la administración y a los empleados a gestionar los riesgos y a la toma de decisiones relacionadas con la consecución de los objetivos.

Por otra parte, un sistema de comunicación efectivo a través de toda la organización permite que el personal de la empresa reciba un mensaje claro desde la alta dirección, con respecto a sus responsabilidades en la gestión de riesgos del negocio. Igualmente, permite a las personas entender su rol en la gestión de riesgos corporativos y cómo su trabajo afecta el trabajo de otros en la organización para el logro de los objetivos estratégicos y operacionales. También se prevé que la información fluya de una manera oportuna y confiable hacia terceros relacionados con la organización, conocidos como grupos de interés o stakeholders.

— Monitoreo. Todo el manejo de riesgos empresariales es controlado y se hacen las modificaciones necesarias. El control se realiza mediante actividades administrativas continuas, evaluaciones separadas o ambas.

Un marco de administración de riesgos que no sea monitoreado adecuada y oportunamente pone en riesgo el logro de los objetivos del negocio. El monitoreo es la herramienta necesaria para medir si las actividades de control establecidas por la empresa están funcionando eficazmente y permite que la administración tome los correctivos necesarios de manera oportuna. De igual manera, la administración debe velar para que los demás componentes del marco de administración de riesgos funcionen adecuadamente.

El monitoreo se efectúa a través de evaluaciones permanentes, las cuales se dan a través de autoevaluaciones o seguimiento en línea de las operaciones y actividades del negocio y por medio de evaluaciones independientes, las cuales son realizadas en función de la efectividad del monitoreo permanente. Las evaluaciones independientes son realizadas por personas no responsables de los procesos evaluados y son llevadas a cabo principalmente por los auditores internos y los auditores externos.

El monitoreo es importante por cuanto las organizaciones requieren modificar su proceso de gestión de riesgos en función de los cambios en el entorno, en el personal, en las estructuras, en la orientación de la sociedad o inclusión o eliminación de procesos de negocio.

Otro aspecto importante del monitoreo es que la información de las deficiencias importantes sea comunicada a las personas apropiadas dentro de la organización, esto es, a aquellas personas que estén en capacidad de tomar las medidas necesarias para su corrección.

4. Roles y responsabilidades en la gestión del riesgo

El consejo de administración tiene la responsabilidad de asegurarse de que los riesgos son gestionados. En la práctica, el consejo delega en el equipo gerencial la operación del marco de gestión de riesgo, quienes son los responsables de realizar las actividades de implementación y monitoreo del marco readministración de riesgos. La organización puede definir que exista una función separada que coordine y maneje estas actividades, aplicando destrezas y conocimientos especiales.

Todos los miembros de la organización juegan un rol en el aseguramiento del éxito de la gestión del riesgo, pero la responsabilidad principal de su identificación y manejo recae sobre la dirección o gerencia.

Los consejos de administración y los comités de auditoría cumplen una función de supervisión para determinar que existan apropiados procesos de gestión de riesgos y que estos procesos sean adecuados y eficaces.

La dirección y el consejo de administración son los responsables de los procesos de gestión de riesgos y control de su organización. Sin embargo, los auditores internos que actúan con un rol de consultores pueden asistir a la organización en la identificación, evaluación, e implantación de metodologías de gestión de riesgos y controles dirigidos a aquellos riesgos.Dentro de este rol, los auditores internos deben brindar asistencia tanto a la dirección como al comité de auditoría, aportando examen, evaluación, informe y recomendación de mejoras sobre la adecuación y eficacia de los procesos de gestión de riesgos.

5. Objetivos claves del proceso de gestión de riesgos

De acuerdo con lo definido en el consejo para la práctica profesional 2110-1, emitido por el Instituto de Auditores Internos, los cinco objetivos claves de un proceso de gestión de riesgos son los siguientes:

• Los riesgos originados en las estrategias y actividades del negocio están identificados y tienen prioridades.

• La dirección y el consejo de administración han determinado el nivel de riesgos aceptables para la organización, incluyendo la aceptación de riesgos asignados para cumplir los planes estratégicos de aquella.

• Las actividades para mitigar los riesgos están diseñadas e implantadas con el fin de reducir, o bien manejar el riesgo, a los niveles que fueron determinados como aceptables para la dirección y el consejo.

• Se realizan actividades de supervisión para reevaluar periódicamente el riesgo y la eficacia de los controles establecidos para administrarlos.

• El consejo y la dirección reciben informes periódicos sobre los resultados de los procesos de gestión de riesgos. Los procesos de gobierno corporativo de la organización deben proporcionar comunicaciones periódicas a las partes interesadas sobre los riesgos, estrategias de administración de riesgos y controles establecidos.

Para cumplir con estos objetivos, cada uno de los actores o integrantes de la organización tienen roles y responsabilidades clave, los cuales se enunciarán a continuación:

— Junta directiva y comité de auditoría: tienen un rol de supervisión para determinar lo apropiado del proceso de administración de riesgos de la organización y que este proceso sea adecuado y efectivo.

— Dirección: es responsable de todas las actividades de una entidad, incluyendo la administración de riesgos corporativos. Estas responsabilidades varían en los diferentes niveles organizacionales según las características de la entidad.

— Partes externas: algunas de las partes externas, como los clientes, proveedores, socios, auditores externos, reguladores y analistas financieros, a menudo suministran información útil para llevar a cabo el manejo de riesgos empresariales, pero no son responsables de la efectividad ni son parte del manejo de riesgos de la entidad.

— Oficial de riesgos: el funcionario de riesgos, el funcionario financiero, el auditor interno y otros generalmente tienen las responsabilidades básicas de apoyo.

— Auditores internos: asisten a la junta directiva, al comité de auditoría y a la alta dirección, en el proceso, mediante el monitoreo, evaluación, examen, reporte y recomendaciones de mejoramiento de este (ver normas de auditoría interna y consejos para la práctica profesional citados en este escrito).

— Demás personal de la organización: es responsable de ejecutar la administración de riesgos empresariales de acuerdo con los objetivos y protocolos establecidos.

6. Brindando aseguramiento en el ERM

Uno de los requerimientos claves del consejo de administración o sus equivalentes es asegurarse de que el proceso de gestión de riesgo está trabajando efectivamente y que los riesgos claves están siendo manejados en niveles aceptables. Es posible que tal aseguramiento provenga de diferentes fuentes. El aseguramiento de la gerencia es fundamental, y debe ser complementado de forma objetiva, para lo cual auditoría interna es una fuente clave. Otras fuentes incluyen a los auditores externos y revisiones de especialistas independientes. La auditoría interna provee aseguramiento normalmente en tres áreas:

• Procesos de gestión de riesgos, tanto en su diseño como en su forma de trabajar;

• Gestión de aquellos riesgos clasificados como “claves”, incluyendo efectividad de los controles y otras respuestas a estos; y

• Confiabilidad, evaluaciones apropiadas de riesgos, reportes de riesgo y estatus de controles.

7. Rol de la auditoría interna en el proceso de administración de riesgos

De acuerdo con las Normas de auditoría interna y los Consejos para la práctica profesional emitidos por The Institute Internal Auditors, el auditor interno debe considerar el proceso de gestión de riesgos desde dos perspectivas:

La primera la encontramos en las normas 2100 y 2110, relacionadas con la naturaleza del trabajo de la actividad de auditoría interna, que prevén que esta debe evaluar y contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno y asistir a la organización mediante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control. Para ello, debe utilizar un enfoque sistemático y disciplinado.

La segunda, la encontramos en las normas 2010 y 2201, las cuales se refieren a como el Director Ejecutivo de Auditoría y los auditores internos deben considerar los riesgos del negocio en la estructuración del plan global de auditoría y para trabajos específicos.

7.1. Rol de la auditoría interna en el proceso de gestión de riesgos

En lo que respecta al rol de auditoría interna, en cuanto al proceso de gestión de riesgos, se analizarán los aspectos más importantes establecidos en el Consejo para la práctica profesional 2110-3 emitido por The Institute Internal Auditors.

Lo primero a observar es que la gestión de riesgos es una responsabilidad clave de la dirección y que esta, para alcanzar sus objetivos de negocio, debe asegurarse de que existan y funcionen procesos de gestión de riesgos sólidos. Es claro que el rol de la dirección es implementar y monitorear que las actividades de control diseñadas para administrar los riesgos que afronta la organización para el logro de sus objetivos, sean diseñadas de manera eficiente y que se lleven a cabo efectivamente. En este sentido, la actividad de auditoría interna es un ente asesor de la administración, dentro de su rol de consultoría y aseguramiento.

Por otra parte, los consejos de administración y comités de auditoría cumplen una función de vigilancia para determinar que existan procesos de gestión de riesgos apropiados y que esos procesos sean adecuados y eficaces. El auditor interno, dentro de su dependencia funcional del consejo y/o comités de auditoría, mantiene una comunicación directa con estos y los retroalimenta sobre la eficacia de los procesos de gestión de riesgo, control y gobierno, de manera que ellos puedan dar cumplimiento a sus obligaciones como entes de vigilancia de tales procesos.

Los auditores internos, por su parte, deben colaborar con la dirección y el comité de auditoría, mediante el examen, evaluación, informe y recomendación de mejoras sobre la adecuación y eficacia de los procesos de gestión de riesgos.

La dirección y el consejo de administración son los responsables de los procesos de gestión de riesgos y controles de su organización. Sin embargo, los auditores internos, cumpliendo un rol de consultores, pueden ayudar a esta última a identificar, evaluar e implantar metodologías de gestión de riesgos y controles. En este sentido, es importante aclarar que dentro de las funciones que realiza el auditor interno en el proceso de gestión de riesgos, este no debe asumir un rol de “propietario de los riesgos”, es decir, no debe asumir responsabilidades con respecto a la identificación, mitigación y vigilancia de los riesgos, ya que tal rol es propio de la dirección. Lo que debe hacer el auditor es obtener confirmación de la dirección con respecto a esta responsabilidad.

La elaboración de evaluaciones e informes sobre los procesos de gestión de riesgos de la organización es, generalmente, de alta prioridad para la auditoría. Evaluar los procesos de riesgos de la dirección es distinto del requerimiento de que los auditores utilicen análisis de riesgos para planificar sus auditorías. Sin embargo, la información originada en un proceso de gestión de riesgos integral, incluyendo la identificación de las inquietudes de la dirección y del consejo de administración, puede ayudar al auditor interno en la planificación de las actividades de auditoría.

Es preciso aclarar que la evaluación del riesgo de la dirección se hace con el fin de valorar lo adecuado de este proceso para orientar a la administración sobre posibles deficiencias que se puedan identificar sobre el proceso de gestión de riesgo y, así, la dirección pueda tomar las acciones que considere pertinentes en función del apetito al riesgo que haya definido.

Por otra parte, la evaluación del riesgo que desarrolla la actividad de auditoría interna para el trabajo de planificación está orientada a identificar las áreas y procesos de mayor riesgo, con el fin de orientar y asignar los escasos recursos con que cuenta la actividad. Aunque uno y otro proceso no son excluyentes, no hay que perder de vista cuál es el objetivo primario de cada uno.

El director ejecutivo de auditoría debe obtener un entendimiento de las expectativas de la dirección y el consejo, respecto de la actividad de auditoría interna en el proceso de gestión de riesgos de la organización. Este entendimiento debe estar codificado en los estatutos de la actividad de auditoría interna y del comité de auditoría.

Es clave que la dirección y el consejo definan claramente cuál es el rol que la actividad de auditoría interna jugará dentro del proceso de gestión de riesgos de la empresa. Tal como se prevé en este Consejo para la práctica profesional de auditoría interna, el rol de la actividad debe estar definido en el estatuto, de manera que esta pueda prestar servicios de consultoría en caso de ser requerido por la dirección. De no estar definido este tipo de trabajos dentro del estatuto de la actividad, no se podrá prestar este servicio a la organización, según lo definido por las normas de auditoría interna y los consejos para la práctica profesional.

Las responsabilidades y actividades deben estar coordinadas entre los distintos grupos y personas que tengan un rol en la gestión de riesgos de la organización. Estas responsabilidades y actividades deben estar apropiadamente documentadas en los planes estratégicos, políticas del consejo, directivas de gestión, procedimientos operativos y otros tipos de instrumentos de gobierno de la organización.

De acuerdo con las mejores prácticas internacionales, para que exista un gobierno eficaz, se requiere que haya una adecuada coordinación entre los diferentes entes de gestión y control de la organización, a saber, el consejo de dirección, la dirección, la auditoría interna y la externa. Esta conexión se puede visualizar en la figura 1.

 

CONT32-07-EL AUDITORIN-FIGU1-.JPG
 

 

A continuación se indican ejemplos de algunas de las actividades y responsabilidades que deben estar documentadas:

— El establecimiento de directivas estratégicas puede ser facultad del consejo o de un comité;

— La “propiedad” de los riesgos puede ser asignada a nivel de dirección superior;

— La aceptación del riesgo residual puede ser facultad del nivel de dirección ejecutiva;

— Las actividades continuas de identificación, evaluación, mitigación y vigilancia pueden ser asignadas al nivel operativo; y

— La evaluación y aseguramiento periódicos hacia los demás deben ser facultad de la actividad de auditoría interna.

Se espera que los auditores internos identifiquen y evalúen las exposiciones al riesgo significativas en el curso normal de sus tareas. En este sentido, es claro que el auditor interno no puede realizar su labor sin considerar las exposiciones al riesgo que enfrenta la organización y sus procesos. Uno de los elementos esenciales en el trabajo de auditoría interna, en el nuevo escenario donde se desenvuelve, es la identificación y evaluación de los riesgos. Si un auditor interno desempeña sus funciones desde la perspectiva de las actividades de control implementadas, sin considerar los riesgos asociados con el proceso o proyecto que está auditando, no agregará valor a su organización, por cuanto no estará en capacidad de determinar si los controles implementados cubren los riesgos asociados desde una perspectiva de costo-beneficio. A lo sumo, estaría validando la eficacia del control, pero no sabrá si este control es eficiente debido a que no conocerá los riesgos inherentes del proceso o proyecto evaluado.

El rol de la actividad de auditoría interna en el proceso de gestión de riesgos de una organización puede variar a través del tiempo y puede encontrarse en algún punto en el rango que va desde:

• No cumplir ninguna función hasta

• Auditar el proceso de gestión de riesgos como parte del plan de auditoría interna hasta

• Una colaboración y participación activa y continua en el proceso de gestión de riesgos, tal como la participación en comités de vigilancia, actividades de supervisión e informes de situación hasta

• Manejar y coordinar el proceso de gestión de riesgos.

El rol que juegue el auditor interno dentro de la gestión de riesgos dependerá del grado de madurez de la empresa con respecto al riesgo, de la cultura organizacional, la habilidad del personal de auditoría interna y las costumbres y condiciones locales del país. En todo caso, es necesario que dicho rol esté incluido dentro de su estatuto, el cual debe ser aprobado por el consejo de dirección o comité de auditoría y por la dirección.

En algunos casos, el auditor podrá encontrar que la organización no tiene establecido un proceso de gestión de riesgos. En estos casos, las prácticas avaladas por The Institute Internals Auditors prevén que el auditor interno debe presentar el hecho ante la dirección, con sugerencias para establecer tal proceso.

7.2. La evaluación de riesgos en la planeación de auditoría

En el Consejo para la práctica profesional 2010–2: enlace del plan de auditoría con los riesgos y exposiciones, se encuentran los aspectos más relevantes de la evaluación de riesgos que debe considerar el auditor interno en el proceso de planificación y que se pasarán a analizar:

La estrategia de riesgos de la organización debe estar reflejada en el diseño del plan de trabajo de la actividad de auditoría interna. Debe aplicarse un enfoque coordinado para aumentar las sinergias entre los procesos de gestión de riesgos de la organización y de auditoría interna.

Aquí se identifica claramente que los procesos de gestión de riesgos de la organización son diferentes a los de auditoría interna, según se había enunciado anteriormente. Sin embargo, se debe considerar la coordinación del trabajo con el fin de lograr sinergias, evitar la duplicación de labores y sobrecostos para la empresa. Los aspectos más importantes del Consejo arriba mencionado son los siguientes:

— El plan de trabajo de la actividad de auditoría interna debe diseñarse con base en una evaluación de riesgos y exposiciones que puedan afectar a la organización. En definitiva, los objetivos principales de auditoría son los de proporcionar a la dirección la información que pueda mitigar las consecuencias negativas asociadas con el cumplimiento de los objetivos de la organización, así como una evaluación de la eficacia de las actividades de gestión de riesgos de la dirección. El grado o materialidad de la exposición puede ser visto como riesgo mitigado al establecer actividades de control.

— El universo de auditoría puede incluir componentes del plan estratégico de la organización. Al incorporar esos componentes, el universo de auditoría considerará y reflejará los objetivos del plan general de negocios. Los planes estratégicos probablemente también reflejarán la actitud de la organización hacia el riesgo y el grado de dificultad para cumplir con los objetivos planificados. El universo de auditoría estará normalmente influenciado por los resultados del proceso de gestión de riesgos. El plan estratégico de la organización debe haber sido creado teniendo en cuenta el ambiente en el cual ella opera. Estos mismos factores ambientales probablemente impactarán en el universo de la auditoría y la evaluación del riesgo relativo.

— Los cambios en la dirección de la gestión, objetivos, énfasis y enfoques deben reflejarse en las actualizaciones del universo de la auditoría y el plan de trabajo relacionado. Es aconsejable evaluar dicho universo al menos una vez al año, con el fin de que refleje las estrategias y la dirección más actualizadas de la organización. En algunas situaciones, es posible que los planes de auditoría puedan tener que actualizarse frecuentemente (por ejemplo, trimestralmente), en respuesta a los cambios en el ambiente de actividades de gestión de la organización.

— El calendario de trabajo de auditoría debe estar basado, entre otros factores, en las prioridades de una evaluación de riesgos y exposiciones. Establecer prioridades es necesario para tomar decisiones al asignar los recursos relativos basados en la significatividad del riesgo y la exposición. Existe una gran variedad de modelos de riesgo para ayudar al director de auditoría interna a establecer prioridades entre las áreas potenciales a auditar. La mayoría de los modelos de riesgo utilizan factores de riesgo, para establecer la prioridad de los trabajos, tales como: impacto financiero, liquidez de activos, competencia de la gerencia, calidad de los controles internos, grado de cambio o estabilidad, tiempo transcurrido desde la última auditoría, complejidad, relaciones del personal y gubernamentales, etc. Al llevar a cabo trabajos de auditoría, los métodos y técnicas para probar y validar exposiciones deben reflejar la materialidad del riesgo y la probabilidad de ocurrencia.

— En la información y comunicación a la dirección deben transmitirse conclusiones de gestión de riesgos y recomendaciones para reducir las exposiciones a los mismos. Con el fin de que la dirección comprenda claramente el grado de exposición, es indispensable que el informe de auditoría identifique la importancia y consecuencias de esta, para lograr los objetivos.

En este Consejo para la práctica profesional se puede ver la importancia que tiene la evaluación de riesgos por parte de la auditoría interna para efectos de planificar su trabajo. Esta evaluación es de tal magnitud que, si no se realiza la actividad de auditoría interna, no podrá focalizar sus recursos en aquellas áreas de mayor interés para la organización. No se puede perder de vista que los objetivos del trabajo de la actividad de auditoría interna deben estar soportados en los objetivos de la organización, para, de esta manera, poder agregar valor a la misma, que es uno de los requerimientos de la nueva definición de auditoría interna.

8. Declaración de Posición emitida por los institutos de auditores internos del Reino Unido e Irlanda 2002, relacionada con el rol de auditoría interna en la gestión de los riesgos

Como se puede observar, la actividad de auditoría interna desarrolla roles de aseguramiento y consultoría, con los cuales contribuye a la gestión de riesgo de formas variadas. Dentro de este contexto es importante considerar algunos de los aspectos más relevantes de la Declaración de posición emitida por el Instituto de Auditores Internos del Reino Unido e Irlanda en el año 2002. En este documento se prevé que el rol principal de los auditores internos, con relación al proceso de gestión de riesgos, es proveer aseguramiento objetivo al consejo sobre la efectividad de la gestión de riesgos. Igualmente, investigaciones han demostrado que la junta de directores y los auditores internos están de acuerdo en que las dos formas más importantes como la auditoría interna provee valor a la organización es brindando aseguramiento objetivo de que los principales riesgos de negocio están siendo manejados apropiadamente y de que la gestión de riesgo y el marco de control interno están operando efectivamente.

La figura 2, presentada en la Declaración de posición arriba enunciada, presenta el rango de los roles que debe cumplir la actividad de auditoría interna dentro del marco de administración de riesgos, para que esta sea profesional y efectiva. Igualmente, plantea los roles importantes que no debe realizar la actividad. Los factores claves tomados en cuenta están relacionados con la independencia y objetividad de la actividad de auditoría interna y las oportunidades de mejorar los procesos de gestión de riesgo, control y gobierno de la organización.

revista32.JPG
 

Las actividades de la izquierda de la figura 2 son todas actividades de aseguramiento. Ellas forman parte del objetivo amplio de dar aseguramiento sobre la gestión de riesgo. Una función de auditoría interna cumpliendo con las normas para el ejercicio profesional de la auditoría interna puede y debe realizar por los menos algunas de estas actividades. Si la auditoría interna no ha adoptado todavía el enfoque basado en riesgo representado por las actividades de aseguramiento en la izquierda de la figura 2, no podría estar equipada para realizar las actividades de consultoría del centro.

El centro de la figura 2 presenta el rol de consultoría que la auditoría interna puede realizar en relación con el proceso de administración del riesgo. En general, mientras más a la derecha del cuadro se aventure el auditor, mayores deben de ser las salvaguardadas que son requeridas para asegurarse de que la objetividad e independencia son mantenidas. Algunos de los roles de consultoría que la auditoría interna puede realizar son:

— Poner a disponibilidad de la gerencia herramientas y técnicas usadas por auditoría interna para analizar riesgos y controles;

— Ser un defensor de la introducción del proceso de administración del riesgo en la organización, aportando su experiencia en gestión de riesgo y conocimientos de la organización;

— Proveer consejo, facilitar talleres, entrenar sobre riesgos y controles en la organización y promover el desarrollo de un lenguaje, marco y entendimiento común;

— Actuar como punto central de la coordinación, monitoreo y reporte sobre riesgos; y

— Apoyar a la gerencia en su trabajo, a través de identificar mejores vías para mitigar un riesgo.

El factor clave en la decisión sobre si los servicios de consultoría son compatibles con el rol de aseguramiento es determinar si el auditor interno está asumiendo alguna responsabilidad gerencial. En el caso del proceso de administración de riesgos, la auditoría interna puede proveer servicios de consultoría, mientras no tenga un rol simultáneo en la gestión de riesgos —esa es una responsabilidad de la gerencia—y mientras la alta dirección endose y apoye el proceso de administración de riesgos. Se recomienda que, cada vez que auditoría interna actúe ayudando al equipo gerencial en el establecimiento y mejora de los procesos de gestión de riesgo, su plan de trabajo incluya una estrategia clara y un tiempo asignado para transferir la responsabilidad de estas actividades a los miembros del equipo gerencial. Hay que tener en cuenta que este rol debe estar claramente definido en el estatuto de la actividad de auditoría interna, para que pueda ser prestado por los auditores internos.

La actividad de auditoría interna puede ampliar su participación en el proceso de administración del riesgo, como se muestra en la figura 2, siempre y cuando se cumplan las siguientes condiciones:

• Debe estar claro que la gerencia mantiene la responsabilidad de la gestión de riesgo.

• La naturaleza de la responsabilidad de auditoría interna debe ser documentada en los estatutos de auditoría y aprobada por el comité de auditoría.

• Auditoría interna no debe gestionar ningún riesgo a favor de la gerencia.

• Auditoría interna debe proveer consejo, motivar y soportar las decisiones realizadas por la dirección, en vez de tomar decisiones de riesgo por ellos mismos.

• Auditoría interna tampoco puede brindar aseguramiento objetivo en ninguna parte del marco de administración de riesgos de la cual sea responsable. Tal aseguramiento debe ser provisto por otra parte sustancialmente calificada (Norma 1130).

• Cualquier trabajo más allá de las actividades de aseguramiento debe reconocerse como una asignación de consultoría y la implementación de normas relativas a tales asignaciones deben seguirse (normas 2010.C1, 2110.C1 & C2, 2120.C1 & C2, 2130.C1, 2201.C1, 2210.C1, 2220.C1, 2240.C1 y 2330.C1).

9. Rol del auditor interno en los procesos de control y gobierno

Como complemento a lo anterior, es importante mencionar que dentro de la naturaleza del trabajo de la actividad de auditoría interna también se incluye en las normas el rol que juega el auditor interno en los procesos de gobierno y controles de la siguiente manera:

Norma 2120 - control: la actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de estos, promoviendo la mejora continua.

Norma 2130 - gobierno: la actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos:

• Promover la ética y los valores apropiados dentro de la organización.

• Asegurar la gestión y responsabilidad eficaces en el desempeño de la organización.

• Comunicar eficazmente la información de riesgo y control a las áreas adecuadas de la organización.

• Coordinar eficazmente las actividades de comunicación y la información entre el consejo de administración, los auditores internos y externos y la dirección.

Las áreas de trabajo relacionadas con los procesos de gestión de riesgos, control y gobierno están íntimamente interconectadas y evaluar y mejorar un sistema es evaluar y mejorar los otros dos al mismo tiempo. Cada grupo de auditoría interna determina cómo cumplir mejor estas actividades, considerando los roles definidos para ella por las normas y el estatuto de auditoría interna, las expectativas de los grupos de interés y la cultura de la organización. Por esta razón, los requerimientos del trabajo pueden variar de una organización a otra.

10. Conclusión

Como se puede observar, los auditores internos juegan un rol importante en el proceso de gestión de riesgos, el cual aunado con los procesos de control y gobierno dan a la actividad de auditoría interna un posicionamiento clave dentro de la organización. Para poder afrontar estos nuevos retos, los auditores internos deben:

• Conocer del negocio donde se desarrolla su organización.

• Conocer los objetivos y estrategias del negocio.

• Estar cerca del Consejo y de la Dirección.

• Ser expertos en riesgos, de manera que puedan identificar los riesgos que afecten el logro de sus objetivos.

• Conocer las normas y consejos para la práctica profesional, emitidos por The Institute Internal Auditors, los cuales indican qué hacer, cómo, cuándo y dónde actuar.

• Conocer los marcos de administración de riesgos.

• Obtener la autorización del Consejo, a través de estatuto de la actividad de auditoría interna, para proveer servicios de consultoría a la organización.

• Reunir las competencias requeridas para la prestación de servicios de consultoría en gestión de riesgos solicitado.

El reto está ahí, debemos estar preparados para afrontarlo.

Glosario de términos

Servicios de aseguramiento: es un examen objetivo de evidencias, hecho con el propósito de proveer una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización. Por ejemplo: trabajos financieros, de desempeño, de cumplimiento, de seguridad de sistemas y de due diligence.

Consejo: es el término ‘consejo’ se refiere al cuerpo de gobierno de una organización, tal como el consejo de administración, el consejo de supervisión, el responsable de un organismo o cuerpo legislativo, el comité o miembros de la dirección de una organización sin ánimo de lucro o cualquier otro órgano de gobierno designado por la organización, a quien pueda reportar funcionalmente el director ejecutivo de auditoría.

Servicios de consultoría: son las actividades de asesoramiento y servicios relacionados proporcionadas a los clientes, cuya naturaleza y alcance estén acordados con estos y estén dirigidos a añadir valor y a mejorar los procesos de gobierno, gestión de riesgos y control de una organización, sin que el auditor interno asuma responsabilidades de gestión. Algunos ejemplos de estas actividades son el consejo, el asesoramiento, la facilitación y el entrenamiento.

Defensor: es aquel quién apoya y defiende a una persona o causa. Por lo tanto, un defensor de la gestión de riesgo promoverá sus beneficios y educará a los miembros de la dirección de la organización, sobre las acciones que ellos necesitan realizar para su implementación, y los animará y apoyará en la realización de esas acciones.

Control: es cualquier medida que tome la dirección, el consejo y otras partes para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.

Empresa: es cualquier organización establecida para alcanzar objetivos determinados.

Gestión de riesgo empresarial (ERM): es un proceso estructurado, consistente y continuo a través de toda la organización para identificar, evaluar, decidir y reportar sobre oportunidades y amenazas que afectan el logro de sus objetivos.

Facilitación: es trabajar con un grupo (o con un individuo) para hacer más fácil el logro de los objetivos o actividad que el grupo ha acordado alcanzar. Esto involucra escuchar, retar, observar, cuestionar y apoyar el grupo y sus miembros. No significa hacer el trabajo o tomar decisiones.

Riesgo: es la posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad.

Apetito de riesgo: es el nivel de riesgo que es aceptable para la junta o la dirección. Este puede ser establecido con relación a la organización como un todo, para diferentes grupos de riesgos o en un nivel de riesgo individual.

Proceso de gestión de riesgos: es un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organización.

Respuestas a riesgos: son los medios a través de los cuales la organización decide gestionar riesgos individuales. Las principales categorías son: tolerar el riesgo, tratarlo, reduciendo su impacto o posibilidad y transferirlo a otra organización o terminar la actividad que lo origina. Los controles internos son una forma de tratar un riesgo.

Evaluación de riesgos: es un proceso sistemático para evaluar e integrar el juicio profesional acerca de probables condiciones y/o eventos adversos. El proceso de evaluación de riesgos debe proveer un medio de organización e integración del juicio profesional para el desarrollo del plan de trabajo de la auditoría.

Riesgo residual: es el riesgo que queda después de haber aplicado todos los controles y las técnicas de administración de riesgo.

Riesgo absoluto: es el riesgo subyacente en el ambiente, es el que está presente cuando la dirección aún no ha implementado actividades de control para administrarlo.

Bibliografía

Committee of Sponsoring Organizations of the treadway Commission. (2005). Enterprise risk management, traducción al español PriceWaterhouseCoopers Colombia, 2005.

The Institute Internal Auditors. (2004). Normas de Auditoría Interna.

––. (2004) El rol de la auditoría interna en la gestión del riesgo empresarial.

The Institute Internal Auditors. (2004-2006). Consejos para la práctica profesional 2010, 2100, 2110 y 2120.

(*) Este documento es producto de las reflexiones del autor como resultado de su experiencia en el manejo y estudio del tema y de su participación en el Congreso de Auditoría Interna celebrado en Bogotá en el mes de septiembre del 2007, organizado por el Instituto de Auditores Internos-Capítulo Colombia.