Sistemicidad del gobierno, la gestión y el aseguramiento en el contexto del riesgo

Revista N° 37 Ene.-mar. 2009

Ricardo Vásquez Bernal (Colombia)

Contador Público y Magíster en Economía, Pontificia Universidad Javeriana

Magíster en Finanzas, Universidad Complutense de Madrid

Autor de la metodología Riskocam (Risk Oriented Control and Management)

Ex presidente del Consejo Técnico de la Contaduría Pública

Socio de BakerTilly Consulting - Colombia

Introducción

El compromiso y la responsabilidad social y financiera que deben asumir las empresas, a lo largo y ancho del mundo frente a los usuarios y comunidades, es un factor externo clave que ha puesto de presente la importancia de desarrollar marcos que aseguren que sus operaciones, su gestión y el control desarrollado se subordinen a cánones de transparencia, eficiencia, cumplimiento y preservación de riqueza, por el impacto que pueden generar, de manera directa, en los mercados, agentes, grupos de interés, flujos de información y de recursos.

Son varios los ejes regulatorios reconocidos a nivel global que propenden por la articulación y efectividad de estos cánones en el ámbito empresarial y que operan como marcos de regulación y buenas prácticas internacionales —estándares—, por lo menos, para aquellas empresas que pretenden participar activamente frente a los recursos, productos, clientes, servicios y mercados a nivel internacional, en condiciones de competitividad. Estos estándares varían desde condiciones de organización, operación e información para la administración del riesgo hasta estándares para la gestión de la calidad y del control, pasando por la generación y divulgación de información para los usuarios externos(1).

De manera particular, si se miran, por ejemplo, los estándares de gobierno corporativo(2) son claves las exigencias por imponer esquemas que privilegien la transparencia, el compromiso de los cuerpos directivos y la divulgación de información ante terceros. Así mismo, los estándares de riesgo, definidos por Basilea II(3), hacen precisas consideraciones técnicas para la medición de pérdidas potenciales sobre los patrimonios y la definición de acciones requeridas a nivel organizacional y funcional, que se suman a las responsabilidades de la gestión empresarial para acometer acciones tendientes a prevenir y controlar el lavado de activos. Este marco se cierra con la condición impuesta por dos importantes estándares reconocidos a nivel mundial para las empresas: auditoría financiera y contabilidad, que intervienen como prácticas que deben seguirse para el aseguramiento de la razonabilidad de los reportes divulgados y la aplicación de criterios de reconocimiento, medición y revelación de la información financiera de aplicación global.

Paralelo a este ámbito de la arquitectura internacional, se ciernen sobre las empresas otras prácticas de aseguramiento y desempeño, que como estándares resultan fundamentales para la actividad de las compañías. En materia del aseguramiento, son los estándares de auditoría interna(4), de control (COSO-ERM)(5) y de gestión de riesgos. En materia del desempeño, son las prácticas de gestión de la calidad y gestión estratégica que adoptan las empresas para el mejoramiento de sus procesos, planes de acción y cumplimiento de objetivos, que se suman a las ya conocidas tensiones del desempeño (Dodd y Favaro 2007).

Perseguir el aseguramiento, en forma particular, le implica atender a la empresa grandes objetivos, desde la perspectiva de los estándares advertidos, que se refieren, en suma, al cumplimiento normativo, la razonabilidad de los reportes divulgados, la salvaguarda de los activos y la eficiencia de los procesos, los cuales requieren un entendimiento, por lo menos, de orden y aplicación sistémica o de los estándares de auditoría interna, control y riesgo, para evitar que sean operados de manera desarticulada, que en la mayoría de los casos implica altos costos de procesos, metodologías, recursos y tecnología con bajos impactos, que son protuberantes si se miden en términos de su capacidad para identificar y monitorear los riesgos del aseguramiento: incumplimiento normativo, falta de transparencia de los reportes, pérdida de activos e ineficiencia de los procesos, que sobresalen frente a la reciente quiebra de empresas y distorsiones de los mercados financieros internacionales.

El aporte de este documento se centra, precisamente, en la argumentación teórica y el esbozo de elementos técnicos que pueden facilitar la interacción sistémica de las acciones de aseguramiento —auditoría interna, control y aseguramiento tecnológico sobre los procesos, la información y los recursos(6)— con los procesos de gestión de riesgos y las responsabilidades del gobierno corporativo, tomando como referencia el marco de los estándares internacionales. Para conseguirlo, se presenta, primero, el marco de referencia de los estándares advertidos y, segundo, se desarrollan lineamientos que permitan desarrollar una metodología de integración sistémica.

1. Gobierno corporativo frente a la gestión de riesgos

Los estándares de gobierno corporativo enuncian las prácticas y principios que deben considerarse para la dirección y control de empresas frente a los intereses de terceros y accionistas. Especifican derechos y responsabilidades entre los diferentes participantes que mantienen algún interés en la empresa, tales como dirección, gerencia, accionistas, empleados y otros agentes, a través de los cuales se establecen los objetivos de la compañía, los medios para alcanzarlos y la forma de hacer un seguimiento a su desempeño. Así, son relevantes los principios de gobierno corporativo y las reglas de Sarbanes-Oxley de aplicación en Estados Unidos.

Principios de gobierno corporativo. Los principios de gobierno corporativo emitidos por la Organización para la Cooperación y el Desarrollo Económico —OCDE— son un conjunto de estándares o buenas prácticas que constituyen “un elemento clave para aumentar la eficacia económica y potenciar el crecimiento, así como para fomentar la confianza de los inversionistas, (...) abarca toda una serie de relaciones entre el cuerpo directivo de una empresa, su consejo directivo, sus accionistas y otras partes interesadas, (...) proporciona una estructura para el establecimiento de objetivos por parte de la empresa, y determina los medios que pueden utilizarse para alcanzar dichos objetivos y para supervisar su cumplimiento(7).

Estos principios(8), en suma, se refieren a los siguientes aspectos:

Marco eficaz de gobierno. Esta es una responsabilidad que trasciende la jurisdicción de las empresas en tanto se refiere a la existencia de reglamentos y requisitos legales para imponer un efectivo marco de gobierno en el que se promueva la transparencia y eficacia de los mercados (OCDE 2004: 17, num. I).

Derechos de los accionistas. Establece que el marco de gobierno debe amparar y facilitar el ejercicio del derecho de los accionistas a participar en los beneficios de la empresa y en la toma de decisiones, de informarse sobre las normas que rigen las juntas y sobre los convenios y agrupaciones de capital con fines de adquisición significativa de acciones. Así mismo, desarrolla condiciones para que se garantice un tratamiento equitativo a todos los accionistas (OCDE 2004: 18-19, nums. II y III).

Derechos de las partes interesadas. Implica reconocer los derechos de partes interesadas, tales como empleados, de manera que se permita señalar mecanismos que favorezcan su participación y manifestaciones en torno a prácticas ilegales o no éticas (OCDE 2004: 21, num. IV).

Revelación oportuna de información. Revelación oportuna y precisa de todas las cuestiones materiales relativas a la sociedad, incluyendo la situación financiera, los resultados, la titularidad y el gobierno de la empresa. De manera particular, se incorpora el requisito de informar no solo sobre los resultados financieros, sino también sobre los factores de riesgo previsibles (OCDE 2004: 22-23, principio V).

Responsabilidades del consejo directivo. El marco debe garantizar la orientación estratégica de la empresa, el control efectivo de la dirección ejecutiva por parte del consejo y la responsabilidad de este frente a la empresa. Son funciones específicas del consejo, además de disponer de la información estratégica necesaria, la revisión de la estrategia de la empresa, de la política de riesgos, el control de la eficacia de las prácticas de gobierno, la remuneración y selección de directivos, la integridad de la información, la disponibilidad de sistemas de control adecuados y de sistemas de riesgo, conforme a las leyes (OCDE 2004: 24-25, principio IV).

Si bien estos principios desarrollan aspectos de valor regulatorio —bajo la responsabilidad de normas y reglamentos que deben ser objeto de emisión por parte de las autoridades competentes en los estados nacionales, como puede ser el caso del primer principio— es pertinente considerar su importancia, en tanto hacen referencia a la calidad y responsabilidad de los sistemas de gobierno empresarial y, de manera especial, en el contexto del análisis de riesgo, a las responsabilidades de los consejos directivos y a la revelación de información.

En efecto, el principio de “responsabilidades del consejo directivo” —en tanto enuncia la necesidad de que el consejo actúe disponiendo de la información completa e integra, para que tomen decisiones justas y éticas— precisa una serie de funciones indelegables, como la revisión y orientación de la estrategia, la formulación de las políticas de riesgo, el control de la eficacia de las prácticas de gobierno y la supervisión y revisión de la integridad de la información contable, así como de la disponibilidad de sistemas de control y sistemas de gestión de riesgos adecuados y ajustados a las normas.

Visto de manera general, la responsabilidad que se determina para el consejo directivo, en materia del riesgo, parece ser una función más. Sin embargo, orientar la estrategia implica considerar el efecto de continuidad y sostenibilidad futura (riesgo estratégico), que debe materializarse en la formulación de políticas de riesgo (riesgos del negocio), que a su vez deben ser monitoreadas y controladas (control del riesgo residual) para prevenir o administrar impactos de pérdidas significativas, lo cual exige desarrollar un sistema de administración de riesgos.

Con esta perspectiva, se entiende que la responsabilidad del consejo es significativa, por cuanto la estrategia, el control, la supervisión y la política no son elementos independientes, aunque a decir verdad, muchas empresas así operan, y desafortunadamente se dan cuenta muy tarde de que estos objetos tenían un fin común.

Igualmente, el principio de “divulgación de datos y transparencia” impone la condición de garantizar la revelación oportuna y precisa de todos los aspectos materiales relativos a la sociedad, incluyendo la situación financiera, los resultados, la titularidad y el gobierno de la empresa.

Desarrollar este último principio, también puede ser visto como una función más de los consejos o juntas directivas de procurar que la información revelada cumpla con atributos de transparencia. No obstante, significa asumir la profunda responsabilidad ante terceros de que la información divulgada es razonable y transparente frente a marcos de referencia de contabilidad, lo cual exige intervenciones eficaces con el apoyo de los cuerpos de auditoría, control y riesgo sobre los procesos de generación de información.

Ley Sarbanes-Oxley. Aunado a los principios expuestos, y como referencia frente al contexto de riesgo que se analiza, es de especial importancia incorporar las responsabilidades que en materia de gobierno corporativo ha impuesto la Ley Sarbanes-Oxley para las empresas que reporten su información en los mercados públicos de Estados Unidos. Esta ley se desarrolló para fortalecer la confianza de los inversionistas en las empresas denominadas de interés público(9), mediante la constitución de gobiernos corporativos más responsables y transparentes.

Dicha ley formuló la creación de una comisión(10) con el fin de supervisar a los auditores de las empresas de interés público, vigilando que la información financiera y los reportes de auditoría sean razonables. Las condiciones de aseguramiento que impone la norma se precisan en las siguientes necesidades:

a) La evaluación de la estructura y los procedimientos de control interno, que permitan determinar si se cubren razonablemente las operaciones y disposiciones de los activos de la empresa;

b) La intervención de la alta dirección para la autorización de ingresos y gastos importantes; y

c) El diseño e implementación de sistemas de información contable y sistemas de información financiera. En particular, se establece en el marco que los directivos y consejeros deben potenciar su nivel de supervisión y apegarse a estrictos códigos de conducta, así como cumplir con cierta documentación, tareas y limitaciones(11).

Es pertinente la incorporación de esta ley, por cuanto ahonda mucho más en la reflexión anterior sobre la responsabilidad del gobierno en materia del riesgo, que aquí se manifiesta en actividades específicas como la evaluación del sistema de control frente al riesgo, la evaluación y seguimiento de operaciones importantes y las intervenciones en los procesos de contabilidad y aseguramiento.

En desarrollo de estas obligaciones que emanan de la Ley Sarbanes-Oxley, también es pertinente citar las responsabilidades que han venido exigiendo organismos del mercado de valores, como NYSE(12) y Nasdaq, para las instituciones de interés público que operan en dichos mercados, en tanto imponen: la necesidad de contar con miembros independientes en los consejos directivos, cuando no son entidades controladas; adelantar reuniones ejecutivas independientes de la administración; nominar un comité de prácticas corporativas y de compensaciones remuneratorias; contar con un comité de auditoría independiente y eficaz; disponer de códigos de ética y de conducta y disponer de un sistema de vigilancia de los conflictos de interés.

Acuerdo de Basilea I y II. Los estándares de Basilea enuncian prácticas y criterios de identificación y medición de la tipología de pérdidas por exposición a riesgos, así como mecanismos específicos de medición de impactos e instrucciones para la construcción de modelos predictivos, que en su contenido desarrollan responsabilidades para los cuerpos directivos y la alta administración.

Los aportes del Comité de Basilea(13), en virtud de los acuerdos I y II, son reconocidos respecto a las regulaciones financieras y de supervisión tendientes a determinar las adecuaciones de capital sobre la base de los riesgos asumidos por las entidades bancarias(14). No obstante, son una fuente importante para determinar e incorporar las acciones específicas que en materia de gestión de riesgo debe acometer una institución, más allá de su carácter o naturaleza, en la medida en que enuncia los roles y responsabilidades que en esta materia debe cumplir la alta dirección.

Tal es el caso del segundo pilar denominado “proceso del examen supervisor”, que, más que señalar aspectos que deben ser objeto de evaluación por parte del ente fiscalizador, establece y fomenta el perfeccionamiento de las técnicas de gestión y de control aplicado por las instituciones, en este caso, financieras. Esto es, mediante la formulación de cinco características que, según Basilea II, constituyen un proceso riguroso(15):

Vigilancia del consejo de administración. La dirección debe estar comprometida con los procesos internos de la organización y tener la capacidad para entender los riesgos asumidos por la institución, así como comprender la forma en que estos se relacionan con los niveles de capital exigidos. Es importante que la dirección defina los riesgos que la institución está dispuesta a asumir. Los requerimientos de capital que se determinen deben ser consistentes con los objetivos estratégicos de la institución.

Evaluación rigurosa del capital. Las políticas y procedimientos aplicados por la institución deben garantizar que son capaces de identificar y medir los riesgos que esta asume y que además del nivel de capital los modelos utilizados incorporan el enfoque estratégico del negocio. Se requiere, a su vez, de instancias de auditoría que verifiquen la correcta ejecución de los procesos.

Evaluación integral de los riesgos. El proceso de evaluación de riesgos debe incorporar todos los riesgos de importancia que afectan a las instituciones, incluso los que no pueden ser medidos con exactitud, debiendo, en consecuencia, desarrollarse un proceso de estimación de los mismos.

Seguimiento e información. Los procesos formales deben considerar sistemas de seguimiento de las exposiciones de riesgo y de los cambios de perfil de riesgo. Se requiere que la dirección sea periódicamente informada, de manera que esté habilitada para evaluar la tendencia de los riesgos relevantes, la racionalidad de los supuestos de los modelos y su coherencia con los planes estratégicos.

Examen del sistema de control interno. Las instituciones deben contar con estructuras formales de control interno y la administración debe garantizar, que se dispone de un plan de seguimiento de las observancias de las políticas internas, que la base de datos es consistente y que los escenarios son razonables y se relacionan con los niveles de riesgo. La organización deberá ser capaz de verificar la efectividad de sus sistemas de control interno.

Estas responsabilidades pueden parecer las mismas que se definen para los consejos directivos en el gobierno corporativo, y en efecto así puede ser. Sin embargo, se decantan con precisión las tareas que en materia de gestión de riesgo le compete a la alta dirección, como son el entendimiento de los riesgos que asume y sus impactos, y su clara intervención en los sistemas y procesos de administración del riesgo.

2. Proceso de la gestión del riesgo

La definición de las prácticas, estándares y principios que deben configurar las empresas para desarrollar un adecuado sistema de gestión del riesgo se encuentran precisadas en diferentes estándares de administración del riesgo, que si bien no hacen parte de la arquitectura financiera internacional, sí son un requerimiento básico para atender las prácticas de gobierno corporativo y de divulgación en la información contable.

Estos estándares entienden la gestión de riesgos como “un proceso, desarrollado por el consejo de directores, la administración y el personal, aplicado en la formulación de estrategias en la empresa, diseñado para identificar eventos potenciales que pueden afectar la entidad y para manejar los riesgos mediante acciones de cobertura y monitoreo (...) que provean razonable aseguramiento, de acuerdo con los objetivos institucionales”(16).

Considerar la gestión del riesgo como un proceso no es un simple adjetivo, por cuanto así visto implica considerar elementos tales como contextos y fases que se deben implementar para garantizar la eficiencia de los resultados alineados con la responsabilidad de diferentes niveles de la administración y los objetivos estratégicos.

El enfoque de etapas y fases es, justamente, la propuesta de diferentes estándares nacionales de administración del riesgo emitidos por distintos Estados(17), con el propósito de determinar un marco genérico propio de la gestión del riesgo como un proceso. En efecto, advierten que la “gestión del riesgo tiene que ser un proceso continuo y en constante desarrollo que se lleve a cabo en toda la estrategia de la empresa y en su aplicación (...). Debe tratar metódicamente todos los riesgos sobre las actividades pasadas, presentes y futuras. Debe estar integrada en la cultura de la empresa con una política eficaz y un programa dirigido por la alta dirección. Tiene que convertir la estrategia en objetivos tácticos y operacionales, asignando responsabilidades en toda la empresa”(18).

Con estos parámetros también se entiende como “un método lógico y sistemático compuesto por un conjunto de fases que se inician en la determinación del contexto para la formulación de los objetivos estratégicos, la valoración de los riesgos, el análisis de los riesgos, la evaluación de los riesgos, el tratamiento de los riesgos, el informe y la comunicación de los riesgos, la estructura de la administración de riesgos y la supervisión de los riesgos” (AIRMIC, ALARM e IRM 2003: 5, num. 2.2).

Es preciso, entonces, considerar los elementos principales que configuran una eficiente gestión del riesgo, tal como lo hacen los estándares(19):

“a) Establecer el contexto:

Establecer el contexto estratégico, organizacional y de gestión del riesgo en el cual ocurrirá el resto del proceso. Es conveniente que se establezcan criterios contra los cuales se va a evaluar el riesgo, y se debe definir la estructura del análisis. b) Identificar riesgos: Identificar qué, por qué y cómo pueden surgir elementos como base para análisis posterior. c) Analizar riesgos: Determinar los controles existentes y analizar los riesgos en términos de consecuencia y posibilidad en el contexto de estos controles. El análisis debe considerar la gama de consecuencias potenciales y la posibilidad de que estas ocurran. Se pueden combinar la consecuencia y la posibilidad para producir un nivel estimado de riesgo. d) Evaluar los riesgos: Comparar los niveles estimados de riesgo, contra los criterios pre-establecidos. Esto posibilita que los riesgos sean clasificados de modo que se identifiquen prioridades de gestión. Si los niveles de riesgo establecido son bajos, entonces los riesgos pueden encajar en una categoría aceptable, y es posible que no se requiera tratamiento. e) Tratar los riesgos: Aceptar y monitorear los riesgos de baja prioridad. Para los demás riesgos, desarrollar e implementar un plan de gestión específico que incluya considerar el suministro de recursos. f) Monitorear y revisar: Monitorear y revisar el desempeño del sistema de gestión del riesgo y los cambios que pudieran afectarlo. g) Comunicar y consultar: Comunicar y consultar con las partes interesadas, internas y externas, según sea apropiado, en cada etapa del proceso de gestión del riesgo y con relación al proceso en conjunto”.

Puede considerarse que estos elementos son comunes a diferentes propuestas regulatorias, aunque el estándar de gestión europeo propone, en forma más precisa, la definición de los objetivos estratégicos de la organización tomando como referencia el establecimiento del contexto y aplica el concepto de la etapa de valoración de riesgos al proceso general de análisis y evaluación de riesgos, con un marco como el que se propone a continuación:

Análisis de riesgos. El estándar europeo incorpora en este tema la identificación, descripción y estimación de riesgos. En el primero, se “propone identificar la exposición de una empresa a la incertidumbre”, para lo cual se requiere de un conocimiento detallado de la empresa, del mercado en el que opera, del entorno legal, social, político y cultural, así como el desarrollo de una visión común y coherente de su estrategia y de sus objetivos. En el segundo, se plantea como objetivo la descripción de los riesgos identificados en una forma estructurada que evidencie la consecuencia y probabilidad de cada uno de los riesgos. En el tercer aspecto, se establece el criterio de estimación cuantitativo, cualitativo o semicuantitativo, en términos de probabilidad de ocurrencia y efectos (AIRMIC, ALARM e IRM 2003: 6-9, num. 4º).

Evaluación de riesgos. “Cuando el proceso de análisis de riesgos se ha llevado a cabo, es necesario comparar los riesgos estimados con los criterios de riesgo establecidos por la empresa. Los criterios de riesgo pueden incluir costos y beneficios asociados, requisitos legales, factores socioeconómicos y medioambientales, preocupaciones de los interesados, entre otros. Por tanto, se usa la evaluación de riesgos para tomar decisiones acerca de la importancia de los riesgos para la empresa y sobre si se debe aceptar o tratar un riesgo específico” (AIRMIC, ALARM e IRM 2003: 10, num. 5º).

Tratamiento de los riesgos. Define el estándar europeo el tratamiento de riesgos como el proceso que consiste en “seleccionar y aplicar medidas para modificar el riesgo. (...) incluye, como principal elemento, el control o mitigación de riesgos, pero también se extiende mas allá, por ejemplo, a la elusiónde riesgos, a la transferencia de riesgos, a la financiación de riesgos, entre otros (...)” (AIRMIC, ALARM e IRM 2003: 10, num. 6º).

Informe y comunicación de riesgos. La existencia de información interna es necesaria para los diferentes niveles de la administración, como puede ser el consejo, las unidades de negocios y los individuos responsables de las tareas y acciones claves. De igual forma, la comunicación externa implica la responsabilidad de la empresa de informar metódica y sistemáticamente a sus interesados y terceros las políticas de control de riesgos y su efectividad (AIRMIC, ALARM e IRM 2003: 11-12, nums. 7.1 y 7.2).

Estructura y administración de los riesgos. El estándar europeo establece la necesidad de una estructura conformada por: a) una política de gestión de riesgos, donde se debe definir el enfoque, nivel de aceptabilidad, compromiso y forma de gestionar el riesgo; b) la formalización del papel del consejo de administración de manera que se enuncien sus responsabilidades, para determinar la dirección estratégica y crear el entorno y estructuras de operación eficaz; c) el papel de las unidades de negocio en materia de considerar las responsabilidades, metas y proyectos; d) el papel de la función de gestión de riesgos desde el punto de vista de la estructura y dirección; e) el papel de la auditoría interna y f) los recursos y aplicación para el óptimo desarrollo de la gestión (AIRMIC, ALARM e IRM 2003: 12-14, nums. 8.1 a 8.6).

Supervisión y revisión del proceso de gestión de riesgos. Una gestión de riesgos efectiva requiere una “estructura de informe y revisión para asegurar que los riesgos están identificados y evaluados eficazmente, que se lleven a cabo los controles oportunos y que las reacciones son apropiadas. Se deben efectuar con regularidad auditorías de la política y de conformidad con los estándares, así como revisiones del rendimiento de los estándares para identificar oportunidades de mejora” (AIRMIC, ALARM e IRM 2003: 14, num. 9º).

Desde el enfoque de ISO, un set de estándares que están jugando un rol significante son el código de prácticas para la administración de la seguridad de la información(20) y los requerimientos para sistemas de administración de seguridad de la información, que se estrechan significativamente con la administración del riesgo.

Cuatro aspectos claves del estándar orientados al riesgo son(21): i) el requerimiento a las organizaciones para que definan y documenten su método de evaluación de riesgos, ii) la metodología aplicada debe asegurar que la evaluación de riesgos produce resultados comparables y reproducibles, iii) la evaluación del riesgo debe ser regularmente examinada en intervalos planeados y iv) debe haber una relación demostrada entre los controles seleccionados para la evaluación del riesgo y los procesos de cobertura o tratamiento.

El valor agregado del estándar ISO 27001 es que contribuye a desarrollar un método para la administración del riesgo que se basa en la selección, implementación, evaluación y monitoreo de la fortaleza de los controles y su documentación. Los pasos que el estándar establece se orientan a un esquema de planeación, ejecución, monitoreo y retroalimentación (Brenner 2007):

Planeación. Implica la definición de la metodología de riesgo, la identificación de los riesgos, el análisis y evaluación, el tratamiento de acciones de cobertura, selección de controles y controles objetivos y la identificación de riesgos residuales aceptados por la administración.

Ejecución. Se refiere a la asignación de acciones, recursos, roles y responsabilidades de la administración, la correlación de los planes de tratamiento de riesgos con los riesgos identificados, la implementación de controles, la definición de medidas de efectividad del control e implementación de procedimientos para la detección de los riesgos.

Monitoreo. Es la ejecución del examen de procedimientos para establecer la efectividad de los controles.

Retroalimentación. Implementación de mejoramientos identificados, toma de acciones preventivas y correctivas, examen de lecciones aprendidas y comunicación de acciones tomadas.

3. Aseguramiento frente a la gestión de riesgos

El aseguramiento, entendido como las acciones de la administración para garantizar niveles residuales de riesgo bajo o en términos más concretos para garantizar la cobertura de los riesgos, se analizará en función de las prácticas, estándares y principios que configuran los estándares de control interno basados en la metodología COSO-ERM, los estándares de auditoría interna, los estándares de auditoría de los sistemas de información y los objetivos de control de información y tecnología relacionada, que, si bien, no son parte de la arquitectura de regulación internacional, sí resultan claves para sustanciar las responsabilidades que impone a las empresas.

Estándares de sistemas de control interno. Los estándares internacionales para sistemas de control encuentran una referencia muy importante en el trabajo que adelantó el Committee of Sponsoring Organizations —COSO—(22), que en un principio estructuró los elementos claves de un sistema y recientemente adoptó una revisión enfocada a incorporar la administración de riesgos(23).

El enfoque de un sistema de control enfocado a riesgos, determinado por este estándar, precisa la existencia de ocho componentes interrelacionados dentro del proceso de la administración, que debe ser objeto de evaluación frente a los objetivos empresariales y las unidades de negocio, de manera integrada(24).

Ambiente interno. Abarca el talante de una organización y establece cómo el personal de la entidad debe percibir y tratar los riesgos, incluyendo la filosofía para su gestión, el riesgo aceptado, la integridad y valores éticos y el entorno en que se actúa. Las variables que conforman este tópico están determinadas por la filosofía de administración de riesgos, los grados de exposición de riesgos, la existencia de comités directivos, los valores éticos, las competencias, la estructura organizacional, la asignación de autoridad y responsabilidad y estándares adecuados de recursos humanos.

Establecimiento de objetivos. Se refiere a la preexistencia de objetivos estratégicos a fin de que se puedan identificar los potenciales eventos que pueden afectar su consecución. La gestión de los riesgos corporativos asegura que la administración haya establecido un proceso para la formulación de los objetivos y que los objetivos seleccionados apoyen la misión de la entidad, además de ser consecuentes con el riesgo aceptado. Las variables que conforman este tópico son los objetivos estratégicos, el alineamiento de objetivos, la exposición al riesgo y la tolerancia al riesgo determinada por la administración.

Identificación de eventos. Se refiere a que los acontecimientos internos y externos que afectan a los objetivos de la entidad deben ser identificados, diferenciando el impacto de riesgos y oportunidades sobre las estrategias de la dirección o los procesos críticos. Las variables que conforman este tópico son los eventos, los factores influyentes, las técnicas de identificación de eventos, las interdependencias de los eventos y la formulación de riesgos y oportunidades.

Evaluación de riesgos. Incorpora la necesidad de que los riesgos se analicen considerando su probabilidad e impacto como base para determinar cómo deben ser gestionados y evaluados desde una doble perspectiva, inherente y residual. Son variables, en consecuencia, claves de este componente la determinación del riesgo inherente y residual, la probabilidad e impacto del riesgo, las técnicas de evaluación y la correlación de eventos.

Respuesta al riesgo. Se trata de considerar la responsabilidad de la dirección para seleccionar las posibles respuestas —evitar, aceptar, reducir o compartir los riesgos—, desarrollando una serie de acciones para alinearlas con el riesgo aceptado y las tolerancias al riesgo admitido por una entidad. La evaluación de respuestas y selección de acciones y reacciones son variables críticas de este componente.

Actividades de control. Precisa que las políticas y procedimientos deben establecerse e implantarse para asegurar que las respuestas a los riesgos se llevan a cabo eficazmente. Así, la integración de las acciones de respuesta al riesgo, los tipos de actividades de control, las políticas y procedimientos y los controles sobre sistemas de información terminan siendo variables críticas del componente.

Información y comunicación. La información relevante debe identificarse, captarse y comunicarse en forma y plazos adecuados para permitir al personal asumir sus responsabilidades. Una comunicación eficaz debe producirse en un sentido amplio, fluyendo en todas las direcciones dentro de la entidad.

Supervisión. La integridad y totalidad de la gestión de los riesgos corporativos debe supervisarse, realizando las modificaciones oportunas cuando se requieran. Esta supervisión debe llevarse a cabo mediante actividades permanentes de la dirección, evaluaciones independientes o ambas actuaciones a la vez. Así, el componente considera como variables críticas las actividades de monitoreo y las evaluaciones independientes.

Dado que el nuevo alcance de este estándar se enfoca más a la administración del riesgo puede verse que su estructura se complementa con los elementos de un estándar de gestión de riesgos, como se evidencia a continuación:

Tabla 1

Alineación de los estándares de riesgo

Estándar COSO-ERM
Estándar europeo de gestión de riesgos
Estándar australiano de gestión de riesgos
Ambiente interno
Estructura y administración de los riesgos
Establecimiento del contexto y objetivos
Establecimiento de objetivos
Establecimiento de objetivos

Identificación de eventos
Análisis de riesgos
Identificación y análisis de riesgos
Evaluación del riesgo
Evaluación del riesgo
Evaluación de riesgos
Respuesta al riesgo
Tratamiento de los riesgos
Tratamiento de los riesgos
Actividades de control


Información y comunicación
Informe y comunicación de riesgos
Comunicación y consulta
Supervisión y monitoreo
Supervisión y revisión
Monitoreo y revisión

Esta comparación pone en evidencia, sin duda, y como su nombre lo propone (COSO-ERM), cómo el enfoque de los estándares más que perseguir el examen del sistema de control propone un sistema de gestión de riesgos, en el cual el primero termina siendo uno de los elementos a considerar para la administración del riesgo(25).

Estándares internacionales de auditoría interna. La auditoría interna, siguiendo lineamientos de los estándares internacionales(26), se reconoce como “una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización”; así mismo contribuye a cumplir los objetivos organizacionales, “aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”(27).

Las actividades de auditoría relacionadas con los servicios de aseguramiento comprenden la evaluación de las evidencias de los exámenes practicados para “proporcionar una opinión o conclusión independiente respecto de un proceso, sistema u otro asunto”(28) haciendo especial referencia a las exposiciones inherentes del riesgo, la suficiencia de los controles y las declaraciones para asegurar niveles residuales de riesgo bajo. Por su parte, los servicios de consultoría son, por su naturaleza, recomendaciones y acciones de apoyo a la administración(29).

Por su parte, los estándares están constituidos por un conjunto de normas sobre atributos que tratan “las características de las organizaciones y los individuos que desarrollan actividades de auditoría interna”, normas sobre desempeño que “describen la naturaleza de las actividades de auditoría interna y proveen criterios de calidad para evaluar el desempeño de estos servicios” y las normas sobre implantación que establecen en forma discriminada las acciones para el eficiente desarrollo de las actividades de aseguramiento y de consultoría.

Normas sobre atributos. Los estándares sobre atributos identifican aspectos de propósito, autoridad y responsabilidad de la auditoría interna que deben definirse en estatutos y aprobarse por las autoridades corporativas; así mismo, identifican condiciones de independencia y objetividad en el cumplimiento de su trabajo y de diligencia, pericia y cuidado profesional en la realización de los trabajos que deben estar sometidos a programas de aseguramiento de calidad y cumplimiento.

Normas sobre desempeño. Los estándares sobre desempeño se refieren a las acciones de administración de la auditoría orientadas a añadir valor a la organización. Estas acciones de administración de la auditoría se identifican, entre otros, con el establecimiento de planes(30) basados en los riesgos y consistentes con las metas de la organización, para lo cual debe asegurarse un nivel óptimo de recursos, así como el establecimiento de políticas y procedimientos para guiar la actividad de auditoría interna(31) y la coordinación, comunicación(32) e información de los resultados a la dirección.

Los estándares de desempeño establecen, en consecuencia, que la actividad de una auditoría interna “debe evaluar y contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno, utilizando un enfoque sistemático y disciplinado”(33). En desarrollo de esta acción son imperativas las responsabilidades impuestas por el estándar:

Gestión de riesgos. En materia de la gestión de riesgos, “la actividad de auditoría interna debe asistir a la organización mediante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control”(34).

Control. En materia de control, “la actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora continua”(35).

Gobierno corporativo. En materia del gobierno corporativo, “la actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos: Promover la ética y los valores apropiados dentro de la organización. Asegurar la gestión y responsabilidad eficaces en el desempeño de la organización. Comunicar eficazmente la información de riesgo y control a las áreas adecuadas de la organización. Coordinar eficazmente las actividades y la información de comunicación entre el consejo de administración, los auditores internos y externos y la dirección”(36).

Estándares internacionales de auditoría de sistemas de información. Los estándares internacionales de aseguramiento de recursos tecnológicos emanados por ISACA —Information System Auditing and Control Association— son una referencia fundamental frente a las acciones que deben adelantarse para el aseguramiento de los sistemas de información mediante acciones de control y trabajos de auditoría que están incorporados en un conjunto de estándares de obligatorio cumplimiento en materia de los trabajos de auditoría y control de tecnología de la información. La estructura de este marco está conformada por estándares para el ejercicio de la auditoría de los sistemas de información, así como estándares para el ejercicio profesional del control sobre los sistemas de información(37).

En materia de riesgos, los estándares de auditoría establecen que, frente a la planeación(38), el auditor debe documentar y desarrollar un método de auditoría basado en el riesgo(39), para proveer un razonable aseguramiento de que todos los ítems materiales son y serán cubiertos por el examen, así como la función, alcance y el ambiente de los sistemas de información. Se involucra, de igual forma, el estándar de auditoría sobre actos ilegales o irregularidades, en tanto plantea la necesidad de reducir el riesgo de la auditoría a un bajo nivel mediante el examen de estas potencialidades de riesgo por fraudes y sanciones(40).

Aspectos específicos los refiere la guía de planeación de la auditoría enfocada a riesgos cuando establece que debe seleccionarse una metodología de evaluación de riesgo(41) que permita optimizar la toma de decisiones sobre naturaleza, alcance y enfoque de los procedimientos, las áreas o negocios objeto del examen de auditoría, la asignación de recursos, así como la identificación del riesgo inherente(42), riesgo de control y riesgo de detección, proceso que debe quedar documentado en los resultados.

Finalmente, la guía establece que la definición del examen de riesgos que se adelante sobre sistemas de información y datos debe incorporar aspectos tales como: i) el riesgo de disponibilidad de los sistemas relacionados con la falta de capacidad de los sistemas operacionales, ii) el riesgo de seguridad de los sistemas relativos a accesos no autorizados a los sistemas y datos, iii) el riesgo de integridad de los sistemas en términos de su no completitud, inadecuada, inautorizada o inoportuno procesamiento de datos, iv) el riesgo de sostenibilidad de los sistemas inherentes a la inhabilidad para actualizar los sistemas cuando se requiera, de manera que, en forma continua, se asegure la seguridad, integridad y disponibilidad de los sistemas en operación y v) los riesgos de datos derivados de su falta de completitud, integridad, confidencialidad, privacidad y adecuación(43).

Objetivos de control para información y tecnología relacionada. Dada la importancia de la información derivada de procesos y sistemas tecnológicos para el logro de los objetivos, y en particular frente al riesgo involucrado, se han definido una serie de estándares que orientan el nivel de aseguramiento requerido mediante un conjunto de normas, herramientas y procedimientos denominado COBIT —Control Objetives for Information and Related Technology(44)—.

La estructura del COBIT está basada en el principio de que, para proveer la información que la empresa requiere para alcanzar sus objetivos, la empresa necesita administrar y controlar sus recursos de tecnología usando un conjunto estructurado de procesos, con el fin de suministrar los servicios de información requerida(45). Se definen las actividades de los procesos de tecnología de información, agrupados en cuatro dominios: i) planeación y organización, ii) adquisición e implementación, iii) servicio y soporte y iv) monitoreo(46).

4. Objetivos y riesgos del aseguramiento y desempeño

Contexto estratégico del riesgo. La maximización del valor de la riqueza empresarial, o de otra forma la preservación y control de la riqueza existente, puede considerarse un objetivo estratégico de la empresa que unifica o resume los diferentes objetivos y metas que definen las empresas en sus planes estratégicos. La hipótesis es que la exposición de pérdidas de valor económico en la riqueza, es en sí mismo un objetivo estratégico. Así, el valor se maximiza cuando la administración sincroniza las estrategias y objetivos para alcanzar un óptimo balance entre crecimiento y rentabilidad de metas con riesgos asumidos(47) y recursos asignados en el marco de los objetivos empresariales(48).

Como la definición propuesta es formulada por el estándar COSO, puede entenderse alineada con la perspectiva del riesgo estratégico definida para la gestión de riesgo, tomando como referencia el estándar europeo que establece, en materia de los objetivos empresariales, la necesidad de que “las actividades y decisiones empresariales puedan clasificarse en distintas categorías”, que pretenden incorporar los riesgos de los factores internos y externos que afectan la operación de la firma(49). Esas categorías incluyen objetivos tales como los estratégicos, los cuales se refieren a la continuidad en el largo plazo de la firma, y pueden estar condicionados por áreas como la disponibilidad de capital, los riesgos políticos y de país, los cambios legales y de regulación y los cambios en el entorno físico. Los demás objetivos son complementarios y de apoyo al fin estratégico (AIRMIC, ALARM e IRM 2003: 6, num. 4.1).

La alineación que, en principio y en gracia de discusión, se daría en términos de que los objetivos incorporan la continuidad en el largo plazo, determinada por la función de crecimiento y rentabilidad, no parece clara cuando se revisan los objetivos complementarios o específicos.

Objetivos de aseguramiento. El estándar COSO establece categorías de objetivos(50) particulares en los siguientes términos: “La misión de una entidad expresa un conjunto de términos que la institución aspira alcanzar. Cualquier término que use, tal como “visión”, “misión” o “propósito”, es importante que la administración explícitamente establezca la razón de ser institucional. Para esto, la administración declara objetivos estratégicos, formula estrategias y establece objetivos de operaciones relacionadas, objetivos de cumplimiento y objetivos de reporte para la organización...”(51). Son en consecuencia, objetivos del estándar de aseguramiento COSO:

Objetivos de las operaciones. Estos objetivos persiguen la efectividad y eficiencia de las operaciones de la entidad, incluyendo las metas de rentabilidad y desempeño y la salvaguarda de recursos contra las pérdidas”.

“Los objetivos de las operaciones necesitan reflejar el entorno económico y de negocios en el cual las instituciones operan. Los objetivos requieren, por ejemplo, ser relevantes ante las presiones de calidad, de ciclos de negocios reducidos para ofertar los productos al mercado, o de cambios en tecnología. La administración tiene que asegurar que los objetivos reflejan la realidad y la demanda del mercado, y están expresados en términos de permitir la medición del desempeño. (...) Un conjunto claro de objetivos operacionales provee un punto focal para la dirección de los recursos asignados” (COSO-ERM 2004: 37).

Objetivos de reporte. Estos persiguen la confiabilidad de la información, incluyendo los reportes internos y externos y puede envolver la información financiera y no financiera”.

“... La información confiable soporta la toma de decisiones y el monitoreo de las actividades y el desempeño. Ejemplos de tales reportes incluyen los resultados de los programas de mercadeo, reportes de ventas diarios, calidad de producción, y resultados de satisfacción de clientes y empleados. Los reportes también están relacionados con la información preparada para divulgación a los usuarios externos, tales como los estados financieros y notas complementarias, los reportes de gerencia y los reportes a las autoridades regulatorias” (COSO-ERM 2004: 37).

Objetivos de cumplimiento. Estos son relativos a la adherencia a leyes y regulaciones. Son dependientes de factores externos” (COSO-ERM 2004: 36-37).

“Las entidades tienen que conducir sus actividades y con frecuencia deben tomar acciones específicas, de acuerdo con leyes y regulaciones relevantes. Estos requerimientos pueden estar relacionados con mercados, precios, impuestos, el entorno, el bienestar de los empleados y el comercio internacional. Leyes y regulaciones aplicables establecen estándares mínimos de conducta, los cuales la entidad integra en sus objetivos de cumplimiento”.

De esta suerte, tomando como referencia el COSO para la formulación de riesgos, puede considerarse que las desviaciones en los objetivos estratégicos están correlacionadas con las exposiciones al riesgo de pérdida originado en las operaciones, el cumplimiento de normas y la información.

Estos objetivos de aseguramiento que propone COSO son equiparables a los definidos por los estándares de auditoría interna, cuando desarrollan la función de “supervisar y evaluar la eficacia del sistema de gestión de riesgos de la organización”(52), adelantando un proceso que implica evaluar “las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, así como la adecuación y eficacia de los controles”. Los objetivos del aseguramiento de auditoría son:

• Confiabilidad e integridad de la información financiera y operativa,

• Eficacia y eficiencia de las operaciones,

• Protección de activos, y

• Cumplimiento de leyes, regulaciones y contratos”(53)-(54).

Es contundente admitir que estos objetivos de aseguramiento, anotados, provistos para la auditoría interna, son absolutamente equiparables a los objetivos del estándar del COSO-ERM, incluido el relacionado con la protección de los activos que se incorpora en este último estándar en el objetivo de las operaciones.

Objetivos de desempeño. El estándar de administración de riesgos también establece objetivos complementarios que apoyan el logro de un objetivo estratégico. El problema que se observa es que los objetivos no son de aseguramiento, sino que en su mayoría están referidos a circunstancias específicas de desempeño.

Operacionales. Se refieren a los problemas cotidianos a los que se enfrenta la empresa al esforzarse por conseguir sus objetivos estratégicos.

Financieros. Se refieren a la gestión efectiva y al control de las finanzas de la empresa, así como a los efectos de factores externos como la disponibilidad de crédito, los tipos de cambio de las divisas, los movimientos de las divisas, los movimientos de los tipos de interés y otras exposiciones al mercado.

Gestión del conocimiento. Se trata de la gestión efectiva y del control de los recursos del conocimiento, la producción, protección y comunicación de los mismos. Los factores externos pueden incluir el uso sin autorización o el abuso de la propiedad intelectual, los fallos en el área de energía y la competencia tecnológica. Entre los factores internos se pueden incluir el mal funcionamiento de los sistemas o la pérdida de personal clave.

Cumplimiento. Se refiere a temas como salud y seguridad, medioambiente, descripción comercial, protección del consumidor, protección de datos, prácticas de empleo y temas de regulación” (AIRMIC, ALARM e IRM 2003: 6, num. 4.1).

De estas categorías de riesgo, en principio, puede admitirse que el primero y último resultan coherentes con los objetivos de aseguramiento ya comentados, pero el segundo y tercero, que tratan el tema de la eficiencia financiera y la gestión del conocimiento, nada tienen que ver con el aseguramiento pero sí con el desempeño(55). Y tiene sentido, por cuanto no puede hablarse de un objetivo estratégico de crecimiento y rentabilidad y soportarse a punta de objetivos de aseguramiento, como el cumplimiento de las normas y la consistencia de la información, solo por citar un ejemplo. Se necesita el referente de gestión eficiente de recursos financieros, tecnológicos y de conocimiento para crecer.

La síntesis de lo expuesto permite configurar la tesis de que los objetivos estratégicos de la empresa están determinados por objetivos de aseguramiento y objetivos de desempeño, y por supuesto el enfoque de riesgos debe asumir esta condición. Esto por cuanto las entidades deben realizar actividades dirigidas a añadir valor, generar eficiencias y conducir los procesos de gestión, gobierno y control orientados a alcanzar las metas de desempeño, lo cual impone actividades de aseguramiento conducentes a la evaluación permanente e independiente de los mismos procesos, para identificar y perseguir la cobertura de los riesgos advertidos.

Bajo este contexto, el riesgo de aseguramiento se entendería como la exposición a pérdidas resultantes de las falencias, debilidades e incumplimientos de los objetivos de aseguramiento como los desarrollan los estándares de control interno, de auditoría interna y de auditoría de recursos tecnológicos, en tanto imponen las condiciones de un marco de aseguramiento dependiente de la administración. Mientras, el riesgo de desempeño se entendería como la exposición a pérdidas por desviaciones en los objetivos de desempeño, que para fines de la metodología están definidos por los derroteros planteados en los modelos de gestión y en los estándares de administración del riesgo.

Gráfica 1

CONT37-sistemicidad-a.JPG
CONT37-sistemicidad-a.JPG

Así, diferencias claves entre los denominados riesgos de aseguramiento y de desempeño pueden describirse a continuación:

• Los riesgos sobre aspectos financieros se reconocen parcialmente en el marco del aseguramiento, por cuanto, si bien se trata un riesgo por falencias en los reportes de información, su alcance se limitaría a establecer las vulnerabilidades existentes en la generación de los reportes, sin considerar el impacto mismo de las debilidades de resultados financieros sobre la sostenibilidad empresarial, el cual sí tiene el efecto de ser un objetivo de desempeño.

• Los riesgos sobre aspectos competitivos y del cliente no son reconocidos en el aseguramiento, por cuanto solo en la medida en que se refieran a ineficiencias en los procesos operativos existentes sobre producción, entregas, cartera o ventas podrían tener alguna relación. Es decir, que un riesgo de clientes y mercados, como variable central del desempeño, sería diferente al aseguramiento de los procesos inherentes a operaciones de clientes.

• Los riesgos relativos a aspectos de innovación, capacitación, investigación, aprendizaje y crecimiento, como variables del desempeño, resultan, por decir lo menos, fundamentales frente a desafíos de competitividad y posicionamiento estratégico, pero no se relacionan con el aseguramiento, a menos que se vinculen estrechamente con aspectos propios de los procesos y operaciones, lo cual implica un objetivo con diferente perspectiva.

• Los riesgos del aseguramiento tecnológico, desde el punto de vista de los estándares, se refieren no solamente al examen de los sistemas de información existentes, sino también al grado de eficiencia de la infraestructura tecnológica, lo que puede significar que una institución teniendo asegurados sus recursos de tecnología pueda presentar condiciones de ineficiencia en explotación y aplicación, frente a otros existentes en el mercado, lo cual es un tema de desempeño.

Frente al gobierno corporativo son claves los riesgos de aseguramiento y de gestión estratégica del desempeño, por cuanto, de entrada, son elementos vitales para la intervención y supervisión de las entidades, así como para la orientación estratégica de la empresa. De manera particular, los riesgos de aseguramiento darían cuenta del debido cumplimiento de las normas y de la efectividad y consistencia de los reportes financieros, al paso que los riesgos de desempeño expondrían el grado de desviación de las metas y objetivos del desempeño en el marco de los planes estratégicos.

La pregunta que queda, por ahora, por resolverse es cómo identificar, evaluar, tratar, informar y monitorear —fases de la administración del riesgo— las pérdidas o costos(56) potenciales que pueden producir las desviaciones adversas en objetivos de desempeño y aseguramiento y, por ende, en los objetivos estratégicos, de manera conjunta. Esta respuesta exige la presencia de los cinco sistemas corporativos que configuran la empresa: procesos, control, gestión, riesgo y gobierno, como lo debe desarrollar un método de riesgo enfocado a los sistemas comentados(57).

5. Interrelación sistémica del aseguramiento, gestión de riesgos y gobierno corporativo

La lógica deductiva nos diría que si es clara la responsabilidad y el objetivo del gobierno corporativo frente a la gestión del riesgo y que si también lo son las responsabilidades y objetivos del aseguramiento, debe entenderse una clara interrelación sistémica de los estándares y prácticas estudiados; es decir, entre el gobierno corporativo y sus factores de aseguramiento: auditoría interna, control interno y auditoría de recursos tecnológicos.

Esta interrelación requiere varias condiciones:

1. Que el gobierno corporativo se apoye en los procesos y métodos del aseguramiento para atender sus responsabilidades de control, cumplimiento y confiabilidad de la información.

2. Que el gobierno corporativo se soporte en los procesos de gestión para la identificación, medición, control y monitoreo de los riesgos residuales del desempeño.

3. Que los procesos de gestión del riesgo se apoyen en los procesos y métodos del aseguramiento para tener amplia cobertura en la identificación, medición, control y monitoreo de los riesgos residuales y del desempeño.

4. Que los procesos y métodos del aseguramiento se alineen con los procesos de gestión de riesgo para robustecer la auditoría y el sistema de control interno en materia de la efectividad ante el riesgo.

6. Conclusiones

Perseguir las condiciones de sistemicidad entre el gobierno corporativo, la gestión de riesgos y el aseguramiento hace preciso:

a. Entender y precisar las claras responsabilidades y objetivos del gobierno corporativo frente a las claras responsabilidades y objetivos de los estándares de aseguramiento y de los estándares de gestión del riesgo.

b. Entender y precisar las diferencias entre objetivos de desempeño y objetivos de aseguramiento, para advertir que, en el contexto del riesgo, son diferentes los riesgos de aseguramiento de los riesgos de desempeño.

c. Entender y conciliar el fenómeno de que mientras el gobierno corporativo debe operar sobre los riesgos de desempeño y aseguramiento, los estándares de aseguramiento desarrollan los segundos, mientras que los estándares de gestión del riesgo potencian los primeros.

d. Alinear los métodos y enfoques aplicados por los estándares de aseguramiento con los métodos y acciones aplicados para la gestión de riesgos sobre las actividades y procesos.

Bibliografía

ACT 2002. Sarbanes Oxley.

AIRMIC, ALARM e IRM. (2002). A risk management standard. Traducción de la Federation of European Risk Management Associations, FERMA. (2003) Estándares de gestión de riesgos.

AUSTRALIAN STANDARDS. (1999). Risk Management. Sydney: Australia.

BRENNER, JOEL. (2007). “ISO 27001 - Risk management and compliance”, Risk Management Magazine, January.

BRITISH STANDARD RISK. (2000). BS 6079-3:2000. Project management.

CALANDRO y SCOTT. (2006). “Insights from the balanced scorecard. An introduction to the enterprise risk scorecard”, Measuring Business Excellence.

CANADIAN RISK MANAGEMENT. (1997). Guideline CAN/CSA-Q850-97.

COMITÉ INTERNACIONAL DE BASILEA. (1998-2004). Acuerdos I y II.

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. Enterprise risk management, COSO-ERM (2004).

DODD, DOMINIC Y FAVARO, KEN. (2007). The three tensions. Editorial Norma.

ICONTEC. Norma técnica colombiana. Estándar de administración de riesgos. NTC. 5254.2004.

IFPC INTERNATIONAL GROUP, INC. FORENSIC AUDIT & RESEARCH. (2003) Matriz de riesgo, evaluación y gestión de riesgos.

INFORMATION SYSTEM AUDITING AND CONTROL ASSOCIATION, ISACA. (2004) IS Standards, Guidelines and Procedures for Auditing and Control Professional – ISACA. COBIT. The COBIT Steering Committee and the IT Governance Institute. 3rd edition. COBIT 4.0. The IT Governance Institute.

INTERNATIONAL INTERNAL AUDITING, IIA. (2003) Estándares de auditoría interna.

— (2004) El rol de la auditoría interna en la gestión del riesgo empresarial, septiembre.

INTERNATIONAL STANDARDIZATION ORGANIZATION, ISO. Technical committee. Quality management principles ISO TC 176. Quality management and quality assurance - ISO 9000: 2000, Quality management systems fundamentals and vocabulary. ISO 9004:2000, Quality management systems guidelines for performance improvements.

— ISO 17799.

KAPLAN y NORTON. (1994) “The balanced scorecard – measures that drive performance”, Harvard Business Review , vol. 70.

— (2007) “Usar el balanced scorecard como un sistema de gestión estratégica”, Harvard Business Review.

Manual de compañías listadas en la Bolsa de Valores de Nueva York.

ORGANIZACIÓN PARA LA COOPERACIÓN Y EL DESARROLLO ECONÓMICO, OCDE. (2004). Principios de gobierno corporativo.

(1) Arquitectura financiera internacional. www.imf.org y www.worldbank.org.

(2) www.ocde.org – Prácticas de gobierno corporativo.

(3) www.bis.org – segundo pilar.

(4) www.theiia.org.

(5) Estándar del Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management —COSO-ERM—.

(6) Toma como referencia elementos del marco conceptual de la metodología Riskocam® basada en el desarrollo y entendimiento de la empresa como un conjunto de cinco sistemas organizacionales: procesos, riesgos, control, gestión y gobierno, cuya producción intelectual es del autor de este documento.

(7) Tomado del preámbulo del documento “Principios de gobierno corporativo de la OCDE” (2004). Estos principios fueron emitidos en 1999 y revisados en el 2004 en desarrollo de la política de contribución a la estabilidad financiera, expansión económica y desarrollo de los mercados.

(8) Parte primera documento OCDE. Los principios de gobierno corporativo.

(9) Acta de 2002, conformada por once títulos que establecen obligaciones y sanciones para miembros del consejo, directivos, ejecutivos, auditores, abogados y analistas financieros de las empresas, con precisas responsabilidades en materia de reportes financieros, auditoría, control y contabilidad.

(10) Public Company Accounting Oversight Board —PCAOB—.

(11) Constituir un comité de auditoría (CA) —sección 301— que puede estar integrado por consejeros o personas independientes. El CA será el encargado del nombramiento, los honorarios y la supervisión de la(s) firma(s) / despacho(s) contratado(s). Básicamente, el CA se encargará de los asuntos relativos a la contabilidad, el control interno y la auditoría.

(12) De acuerdo con la sección 303A.11 del manual de compañías listadas en la Bolsa de Valores de Nueva York y la regla 4350(a) del Stock Market, Inc.

(13) El Comité de Basilea está conformado por los representantes de los bancos centrales de los países activos del G-10 y tiene el objetivo de fortalecer los sistemas financieros nacionales e internacionales, mejorar las prácticas operativas de las instituciones financieras y apoyar la expansión de los mercados.

(14) El Acuerdo de Basilea I definió los requerimientos mínimos de capital de un banco en función del riesgo de sus activos y de los riesgos de mercado que afectan a la institución. El Acuerdo de Basilea II perfeccionó este primer tópico desde el punto de vista de varios modelos de riesgo e incorporó nuevos elementos en tres pilares: requerimientos de capital, acción de los organismos supervisores y disciplina del mercado.

(15) Acuerdo de Basilea II. Estas cinco características se desarrollan dentro del principio número 1 de los cuatro señalados como responsabilidades del examen del supervisor. Este principio establece la necesidad de asegurar que los bancos cuenten con mecanismos claros de supervisión y examen sobre los niveles de capital. Párrafos 727 a 745 de la sección tercera: segundo pilar.

(16) Definición aportada por el estándar del COSO-ERM. Executive summary - Enterprise risk management, p. 4.

(17) Australian standards. Risk management, Sydney. AS, 1999. 45 p-(AS/NZS 4360: 1999), revisado en 2004, así como los emitidos por Canadá en 1997 (Canadian risk management guideline CAN/CSA-Q850-97), el Reino Unido en 2000 (BS 6079-3: 2000 Project management y Japón en 2001. Recientemente se tiene el esfuerzo de tres instituciones del Reino Unido: El Instituto de administración de riesgo —IRM, por sus siglas en inglés—, el foro nacional para la administración del riesgo en el sector público —ALARM, por sus siglas en inglés— y la asociación de administradores de riesgo y aseguradores —AIRMIC, por sus siglas en inglés—.

(18) Estándares de gestión de riesgos. AIRMIC, ALARM e IRM (2002). Traducción de la Federation of European Risk Management Associations —FERMA—, 2003, p. 2, numeral 2.1. En adelante cuando se haga referencia a AIRMIC, ALARM e IRM se citará con el año en que FERMA realizó la traducción, entendiéndose que los numerales y las páginas corresponden a esta.

(19) Tomado del estándar AS/NZS 4360: 1999. Traducción y adopción de Icontec en NTC 5254.

(20) ISO 17799.

(21) Numerales 4.2.1.c, 4.2.1.g y 4.2.3.d del estándar ISO 27001.

(22) Committee of Sponsoring Organizations of the Treadway Commission emitió el documento: Internal control – Integrated framework en 1992, para contribuir al desarrollo de los sistemas de control interno, que ha sido incorporado en políticas, reglas y regulaciones y aplicado por las empresas para mejorar sus sistemas de control. El desarrollo posterior (2004) consideró el sistema de control como una parte integral de la gestión de riesgos y adoptó el término COSO-ERM —tomado de Executive summary framework y apéndice C. Relación entre la gestión de riesgos y el control interno, septiembre, 2004—.

(23) The entreprise risk management – Integrated framework emitido en 2004 por COSO expande el sistema de control interno aportando un enfoque más robusto y extensivo del control interno hacia el examen de la responsabilidad de la administración frente a la gestión de los riesgos.

(24) Tomado de Summary of key principles - Appendix B - Entreprise risk management - Integrated framework, pp. 101-106. La estructura de componentes de control interno inicial fue ajustada y complementada en 2004 para obtener una visión que se centra más en la gestión del riesgo, donde se encuentra que el control interno es una de las piezas de apoyo. Los cambios más importantes se centraron en la revisión del ambiente interno, la definición del establecimiento de objetivos y la división de los elementos de una valoración de riesgos en tres fases: identificación de eventos, evaluación de riesgos y valoración de riesgos.

(25) COSO-ERM. Executive summary framework. “El control interno es un elemento integral de la gestión de riesgo empresarial. La gestión de riesgo empresarial es más extensa que el control interno, expandiendo el control interno para formar una conceptualización más robusta y enfocada al riesgo. La estructura del sistema de control interno mantiene su lugar para entidades y usuarios interesados en el control, propiamente dicho” —tomado del apéndice C, parágrafo “Broader than internal control”, p. 109.

(26) Los estándares internacionales de auditoría interna son emitidos por el Instituto de Auditores Internos —IIA, por sus siglas en inglés— y se entienden como un marco obligado para el debido ejercicio profesional de la auditoría interna.

(27) Párrafo primero de la introducción de los estándares internacionales de auditoría interna. La definición reconoce, a su vez, la dispersión de las actividades de la auditoría interna que se realizan en ambientes legales y culturales distintos, y dentro de organizaciones que varían de acuerdo con sus propósitos, tamaños, estructuras y procesos, tal como se plantea en el documento mencionado, que pueden afectar, por supuesto, las prácticas de la auditoría, pero sin la capacidad para tratarse como excepciones para la aplicación integral de los denominados estándares profesionales de reconocimiento internacional.

(28) Servicios de aseguramiento: un examen objetivo de evidencias con el propósito de proveer una evaluación independiente de los procesos de gestión, control y gobierno. Por ejemplo: trabajos financieros, de cumplimiento, de desempeño, de seguridad de sistemas y de due diligence —tomado del glosario de términos de la declaración de posición: El rol de la auditoría interna en la gestión del riesgo empresarial. IIA, septiembre, 2004—.

(29) Servicios de consultoría: actividades de asesoramiento y servicios relacionados, proporcionadas a los clientes, cuya naturaleza y alcance estén acordados con los mismos y estén dirigidos a añadir valor y a mejorar los procesos de gobierno, gestión y control. Por ejemplo: actividades de consejería, asesoramiento, facilitación y entrenamiento —tomado del glosario de términos de la declaración de posición: El rol de la auditoría interna en la gestión del riesgo empresarial. IIA, septiembre, 2004—.

(30) El estándar de auditoría 2200 correspondiente a la planificación del trabajo desarrolla los componentes de la planificación, de suerte que se incluyan los objetivos, el alcance, la asignación de recursos, el programa de trabajo.

(31) El estándar de auditoría 2300 correspondiente a la ejecución del trabajo desarrolla la responsabilidad de identificar, evaluar y registrar suficiente información que permita a la auditoría cumplir con los objetivos subordinados a la planificación.

(32) De forma puntual, el estándar de auditoría 2400 correspondiente a la comunicación de los resultados impone criterios de comunicación, calidad de la comunicación, declaración de cumplimiento de los estándares y difusión de los resultados.

(33) Estándar de auditoría 2100 relativo a la naturaleza del trabajo.

(34) Estándar de auditoría 2110 relativo a la gestión de riesgos.

(35) Estándar de auditoría 2120 relativo al control.

(36) Estándar de auditoría 2130 relativo al gobierno.

(37) De acuerdo con ISACA, la naturaleza especializada de la auditoría de los sistemas de información requiere de los conocimientos y destrezas necesarias para desarrollar un trabajo de calidad. En tal sentido, se han emitido estándares donde se definen los mínimos niveles aceptables del desempeño requerido por los auditores para el desarrollo de los trabajos y generación de reportes, con un conjunto de guías y procedimientos que complementan el entendimiento e implementación de los estándares —tomado de IS Standards, Guidelines and Procedures for Auditing and Control Professional – ISACA, p. 6—.

(38) Estándar de auditoría S11, guía 13 y procedimiento P1. La planeación en riesgos permite identificar prioridades y la asignación de recursos de la auditoría, así como acciones complementarias sobre riesgo relevantes. Debe considerar los planes estratégicos de la organización, objetivos y la estructura de la administración del riesgo empresarial.

(39) Estándar de auditoría S5, numeral 4º y guía 13 y estándar S10, numeral 7º y 10 sobre gobierno de los sistemas de información.

(40) Estándar de auditoría S9. Comentario 20. Para alcanzar este objetivo plantea el estándar que el auditor debe considerar el uso del conocimiento que tiene sobre la organización, la información obtenida mediante cuestionarios a la administración, la existencia de controles sin representación o responsabilidad y la evaluación de la administración de los riesgos de fraude e ilícitos.

(41) Las condiciones de una metodología aplicada para la evaluación de riesgo se plantea en el numeral 2.1.3 de la guía de aplicación de la evaluación de riesgos para el ejercicio de la auditoría.

(42) Riesgo inherente se define por la guía como la probabilidad de un error en un área de auditoría que puede ser material, individualmente considerado o en combinación con otros errores, asumiendo la inexistencia de controles internos relacionados. El riesgo de control se define en la guía, también, como el riesgo de que un error en un área de auditoría que puede ser material, individualmente considerado o en combinación con otros errores, no será prevenido o controlado y corregido en forma oportuna por el sistema de control interno. El riesgo de detección se entiende, en la guía, como el riesgo de que los procedimientos sustantivos aplicados por el auditor no tengan la capacidad de detectar un error en un área de auditoría que puede ser material, individualmente considerado o en combinación con otros errores, Ver numerales 2.3, 2.4 y 2.5 de la guía 13 “Use of risk assessment in audit planning”. ISACA, 2005.

(43) Numeral 2.1.3 Planning considerations, G14. Application systems review.

(44) COBIT es un pronunciamiento de IT Governance Institute, en su más reciente versión (2000), que fue desarrollado por ISACA y empezó a operar en 1998 para avanzar en el entendimiento y adopción de principios de gobierno de la información tecnológica. Tomado de Executive summary. COBIT 3rd edition. Released by the COBIT steering committee and the IT Governance Institute. COBIT es una estructura y herramienta de soporte que permite a los administradores interrelacionar la brecha entre los requerimientos de control, aspectos técnicos y riesgos de negocios. Facilita el desarrollo de políticas claras y buenas prácticas para el centro de información tecnológica en las empresas —Executive Summary, p. 8—.

(45) COBIT. Framework, p. 15.

(46) Tomado de COBIT 4.0. The IT Governance Institute. Planeación y organización. Cubre las estrategias y tácticas que deben aplicarse desde la tecnología para que contribuya a alcanzar los objetivos de negocios. Plantea cómo una organización así como su infraestructura tecnológica deben estar alineados a los objetivos, para lo cual enfoca si la tecnología de información, en efecto se alinea con los objetivos estratégicos; si se optimiza la aplicación de los recursos tecnológicos; si se conocen los objetivos de la tecnología en la organización; si el riesgo de tecnología se identifica y está siendo administrado y si la cualidad de los recursos es apropiada —pp. 33-72—.

(47) Los riesgos asumidos pueden definirse como la combinación de la probabilidad de un evento o suceso y sus consecuencias, o también como la posibilidad de que suceda algo que tendrá impacto en los objetivos, medidos en términos consecuencias y posibilidad de ocurrencia. Definición 1.3.1.5 de riesgo tomado de NTC 5254 adopción del estándar AS/NZ 4360:1999 y de estándares de gerencia de riesgos de AIRMIC, ALARM e IRM (2003).

(48) COSO-ERM. Executive summary (2004: 3). La gestión del riesgo empresarial permite: alinear el riesgo deseado con la estrategia; estimular las decisiones basadas en riesgos; reducir las pérdidas y sorpresas operacionales; identificar y administrar riesgos múltiples e interrelacionados; ajustar las oportunidades y mejorar la aplicación de capital.

(49) Estándares de gestión de riesgos (AIRMIC, ALARM e IRM 2003: 4, num. 2.1). Ejemplos de factores: a) Financieros externos: tipos de interés, tipos de cambio, crédito; b) Estratégicos externos: competencia, cambios de clientes, cambios de la industria, demandas de clientes. Estratégicos internos: integración de la administración y gerencia, investigación y desarrollo y capital intelectual; c) Operacionales externos: regulación, cultura y estructura directiva; Operacionales internos: reclutamiento y cadena de suministros; d) De azar externos: eventos naturales, medio ambiente, suministradores, contratos. De azar internos: empleados, patrimonio (activos), productos y servicios y acceso público.

(50) COSO-ERM. Framework. Definition (2004: 17).

(51) COSO-ERM. Objetive setting (2004: 35).

(52) Estándar de auditoría 2110-A1 relativo a la gestión de riesgos.

(53) Estándar de auditoría 2110-A2 relativo a la gestión de riesgos.

(54) Estándar de auditoría 2120-A1 relativo al control.

(55) Riesgos según modelos de gestión estratégica—tomado de Calandro y Scott (2006). La propuesta de tratar el riesgo de desempeño en cuatro perspectivas como lo plantea el balanced scorecard —BSC—, es una metodología aplicada con el siguiente marco: riesgo financiero, riesgo de clientes, riesgo interno y riesgo de aprendizaje.

(56) Las pérdidas se definen, en el estándar de gestión de riesgos NTC 5254 adaptado del estándar australiano AS/NZ 4360:1999, como cualquier consecuencia negativa, financiera u otra y los costos son las actividades, tanto directas o indirectas, que involucran cualquier impacto negativo, incluyendo pérdidas de dinero, tiempo, mano de obra, interrupción del trabajo, buen nombre, pérdidas políticas e intangibles.

(57) Riskocam. Risk oriented control and management, www.riskocam.com .