DOCUMENTO TÉCNICO N 6 METODOLOGÍA PARA LA DETERMINACIÓN DE AREAS DE RIESGO COMITÉ DE AUDITORÍA MINISTERIAL

Transcripción

1 GOBIERNO DE CHILE MINISTERIO DE AGRICULTURA DOCUMENTO TÉCNICO N 6 METODOLOGÍA PARA LA DETERMINACIÓN DE AREAS DE RIESGO COMITÉ DE AUDITORÍA MINISTERIAL MINISTERIO DE AGRICULTURA

2 DOCUMENTO TECNICO DE AUDITORIA METODOLOGÍA PARA LA DETERMINACIÓN DE ÁREAS DE RIESGOS INDICE I. INTRODUCCIÓN... 3 II. CONTROL INTERNO Control Directo: Auditoría Interna:... 5 III. SISTEMA DE EVALUACIÓN DE CONTROL INTERNO Ambiente de control Resultado de la evaluación Recomendaciones... 5 IV. EVALUACIÓN DE RIESGO Análisis COSO (Comittee of Sponsoring Organizations) Análisis FODA (FORTALEZAS, OPORTUNIDADES, DEBILIDADES Y AMENAZAS)... 9 V. ESTRUCTURA ORGANIZACIONAL Y CONTROL DE GESTIÓN Variables Críticas Identificación de los riesgos relevantes Probabilidad de que se materialice un riesgo determinado Gestión de Cambio Gestión de Riesgos

3 Metodología para la determinación de Áreas de Riesgo I. INTRODUCCIÓN El presente documento tiene por objetivo establecer pautas y lineamientos generales de auditoría, para la determinación de las áreas de riesgo de la organización. Una vez determinadas, será el jefe de servicio el que finalmente determinará las áreas o procesos a ser evaluados. De acuerdo a este análisis y al diagnóstico obtenido, el área de auditoría interna elaborará su programa anual. Para esto, es necesario realizar primeramente una planificación estratégica de auditoría y posteriormente, elaborar una matriz de riesgo de la institución, en base a las áreas determinadas de riesgo, sistemas y procedimientos sensibles de la organización. Gráfico N 1 PROCESO DE PLANIFICACION ANALISIS FODA AREAS RELEVANTES ANALISIS COSO EVALUACION DE RIESGO MATRIZ DE RIESGO DIAGNÓSTICO DE LA INSTITUCION INFORME: - AREAS DE RIESGO - TEMAS A AUDITAR PLAN ANUAL PLAN GENERAL TRIENAL 3

4 Toda institución, independientemente del producto que entregue o el servicio que preste, realiza anualmente su plan estratégico, inserto en el proceso de gestión. Sus principales etapas son: la formulación del plan, su implementación y el control de los procesos que aseguren el logro de los objetivos propuestos. El control interno, por lo tanto, es parte del proceso de gestión de la organización, dado que forma parte de las acciones que la administración debe realizar y gestionar cuando gestiona su negocio. II. CONTROL INTERNO Se define el control interno como el proceso efectuado por la Dirección y todo el personal de la institución, tendiente a proporcionar un grado de seguridad razonable sobre la efectividad y eficiencia de las operaciones, la confiabilidad de la información y el cumplimiento con las leyes y normas establecidas, con el fin de resguardar los activos de la organización. Un buen sistema de control interno permite que la institución evite rehacer procesos de información u operativos, que la hagan incurrir en costos innecesarios o afecten la eficiencia del uso de los recursos. La administración debe tener claro el nivel de control interno de la institución y sus debilidades. Las evaluaciones realizadas deben ser informadas a la Dirección y a las demás unidades de la organización. Es importante recalcar que el control se debe llevar a cabo en todas las áreas y niveles de la institución: en la alta administración; en los procesos de información; en la gestión y en cada función. En consecuencia, el control interno es responsabilidad de cada uno de los miembros de la organización y por lo tanto debe ser una parte explícita e implícita de la descripción de la función de cada empleado. Las unidades de control dentro de la línea y la unidad de auditoría interna, toman un papel preponderante en la prevención de riesgos y consecución de las metas u objetivos. Será decisiva su acción, coordinación y apoyo a los distintos niveles de la organización. Dentro de la organización se ejerce el control de dos formas: 1. Control Directo: a) Aquel que ejerce el jefe de cada unidad o departamento, a través de mecanismos que le aseguren la realización de los procesos en forma eficiente y confiable. 4

5 b) Aquel ejercido por unidades creadas para este propósito, dentro de la línea, como la unidad de control de gestión y otras unidades de control operativo. 2. Auditoría Interna: Llamada tam bién el área de control por excelencia. Actúa en forma independiente, fuera de la línea operativa, pero al mismo tiempo presta su asesoría y apoyo a todas las unidades de la institución. Su función es evaluar sistemáticamente el control interno y entregar recomendaciones que contribuyan a mejorar los procesos. III. SISTEMA DE EVALUACIÓN DE CONTROL INTERNO El nivel de control interno está determinado por un sistema de evaluación, compuesto por tres etapas fundamentales: el ambiente de control, el resultado y las recomendaciones. Las recomendaciones y su implementación, permiten la retroalimentación del sistema dando inicio a nuevas evaluaciones. 1. Ambiente de control. Está basado principalmente en las medidas preventivas y correctivas que tome la Dirección de la entidad, en resguardo del logro del objetivo para el cual fue creada. En el Gráfico N 2 se muestran ciertos elementos de control que actúan y se relacionan entre sí. Todos son necesarios y ninguno puede estar ausente. Lo constituyen las políticas y estrategias, principios y ética, estándares técnicos, autoridad y responsabilidad, procedimientos y sistemas, leyes y normas, que aseguren las directrices para minimizar el nivel de riesgo de la organización. 2. Resultado de la evaluación. Señala las desviaciones y debilidades de control, vacíos en las leyes, procesos deficientes o falta de normas que dejan el sistema vulnerable a cualquier riesgo. Puede concluir en la detección de irregularidades, lo cual no escapa a cualquier evaluación e indica que las medidas de control no fueron suficientes o no fueron aplicadas. 3. Recomendaciones. Consisten principalmente en acciones correctivas, dirigidas a la eliminación de la causa del riesgo, y preventivas, cuyo propósito es anticiparse a hechos que los provocan. Para esto es necesario detectar las causas que originan los riesgos y asignar las responsabilidades correspondientes. El seguimiento de las recomendaciones permitirá comprobar y evaluar la implementación de las acciones correctivas y preventivas. 5

6 Gráfico N 2 SISTEMA DE EVALUACIÓN DE CONTROL INTERNO AMBIENTE DE CONTROL ESTILO DE GESTION POLITICAS Y ESTRATEGIAS INTEGRIDAD PRINCIPIOS Y ETICA R E T R O A L I M E N T A C I O N ESTANDARES TECNICOS Y COMPETENCIA PROFESIONAL LEYES Y NORMAS Y ORGANISMOS REGULADORES RESULTADO DE LA EVALUACION DESVIACIONES Y DEFICIENCIAS POLITICAS DE RECURSOS HUMANOS AUTORIDAD Y RESPONSABILIDAD ORGANIZACIÓN PROCEDIMIENTOS Y SISTEMAS DETECCION DE IRREGULARIDADES RECOMENDACIONES ACCIONES CORRECTIVAS Y PREVENTIVAS ASIGNACIÓN DE RESPONSABILIDADES SEGUIMIENTO 6

7 Un sistema de control interno eficaz considera, dentro de sus componentes fundamentales, la identificación y análisis de riesgos. IV. EVALUACIÓN DE RIESGO Riesgo se puede definir como la probabilidad de ocurrencia de un hecho no deseado, o que el hecho deseado no ocurra y que esto afecte, en algún grado, la consecución de los objetivos, al patrimonio de la entidad o valor de la organización. El riesgo está siempre presente, es contingente y solo se debe administrar o gestionar de manera de reducirlo al mínimo. La evaluación de riesgo consiste en la identificación y análisis de los factores externos e internos que pueden afectar la consecución de los objetivos. Dentro de los factores cuyo impacto potencial hará variar los niveles de riesgo de la institución, se tiene: Gráfico N 3 FACTORES EXTERNOS: CAMBIOS EN EL ENTORNO TECNOLÓGICOS NECESIDADES DE LOS USUARIOS POLÍTICA ECONOMICA INSTITUCIÓN FACTORES INTERNOS Sistemas Informáticos nuevos o modernizados, Personal nuevo, cambio en Rec. Financieros, Crecimiento rápido, Reestructuración. LEYES, NORMAS Y REGLAMENTOS FACTORES AMBIENTALES Factores Externos: - Tecnología - Necesidades de los usuarios o clientes. - Leyes, normas y reglamentos. - Política y economía imperante. - Factores ambientales o desastres naturales. Factores Internos: - Sistemas Informáticos. 7

8 - Recursos financieros o presupuestarios. - Sistema operacional - Ambiente y cultura éticos - Recursos humanos y relaciones laborales. - Reestructuración interna Un proceso de evaluación de riesgo debe considerar: - Estimación de la importancia del riesgo. - Evaluación de la probabilidad de que se materialice el riesgo. - Análisis de cómo gestionar el riesgo. Dentro de los riesgos más comunes se pueden identificar los siguientes: - Riesgo país. - Riesgos generales. - Riesgos de gestión. - Riesgo de negocios. - Riesgo operativo. - Riesgo de confiabilidad de la información. - Riesgo de tecnología de la información RTI. - Riesgo financiero. - Riesgo de custodia de valores. - Riesgo de operaciones ilícitas. - Riesgo de imagen. - Riesgo político. - Riesgo de auditoría. 1. Análisis COSO (Comittee of Sponsoring Organizations) Gráfico N 4 1. ESTABLECER LOS OBJETIVOS DE LA ORGANIZACIÓN 2. EVALUAR RIESGOS 3. IDENTIFICAR LOS CONTROLES REQUERIDOS A. IDENTIFICAR B. MEDIR C. PRIORIZAR 8

9 Los objetivos establecidos son revisados a la búsqueda de riesgos potenciales para los objetivos y a continuación los controles son determinados a partir de la evaluación de riesgos. Paso 1: Establecer los objetivos de la organización. De acuerdo con el enfoque COSO, el primer paso en la determinación de los controles requeridos por un proceso es establecer los objetivos de negocios del proceso. El propósito del control interno es asegurar que los objetivos establecidos sean logrados. En orden a cumplir este propósito, los objetivos deben ser identificados y aprobados por todos los participantes en la organización. Toda evaluación de control comienza con este primer paso. Paso 2: Evaluar Riesgos. El segundo paso en la secuencia COSO es evaluar riesgos. La evaluación de riesgos COSO consiste en la identificación, medición y priorización de eventos probables (riesgos y oportunidades) que puedan tener una consecuencia importante para la organización. Aunque la mayoría de los auditores internos declaran desarrollar evaluaciones de riesgos en sus auditorías, la mayoría son intuitivas y carecen del rigor necesario para cumplir con las normas de auditoría. Paso 3: Determinar los Controles Requeridos. COSO espera que una vez que se conocen los objetivos y sus riesgos, la evaluación de riesgos indicará los controles requeridos. El proceso de auditoría determinará los controles requeridos y documentará los controles establecidos. Una evaluación interactiva con el personal a cargo e involucrado directamente con los procesos permite explorar si se han establecido demasiados controles o no (o el tipo correcto de controles). Muchos auditores usan COSO tanto como un modelo para comprender, como un medio de clasificar el control. Algunos usan COSO para comprender la estructura de control interno, pero pueden utilizar otro esquema de clasificación para el control interno en sus auditorías, tales como CoCo, Cadbury, u otros. 2. Análisis FODA (Fortalezas, Oportunidades, Debilidades Y Amenazas) Para complementar el análisis mediante la metodología COSO y con el objeto de evaluar los factores externos e internos y su incidencia en la organización, está el análisis FODA, mecanismo de estudio a través del cual, se abordan la formación de ventajas competitivas como la gestión de riesgo de la institución, a partir de las 9

10 oportunidades, fortalezas, amenazas y debilidades a las que se expone la institución. Gráfico N 5 ANALISIS FODA FACTORES EXTERNOS AMENAZAS OPORTUNIDADES FORMACIÓN DE UNA VENTAJA COMPETITIVA GESTIÓN DE RIESGO FACTORES INTERNOS FORTALEZAS DEBILIDADES V. ESTRUCTURA ORGANIZACIONAL Y CONTROL DE GESTIÓN Además de los factores internos señalados, dentro de la organización existen ciertos aspectos claves como la calidad de vida laboral, condiciones de trabajo, salud, moral, remuneración, comunicaciones, participación, imagen corporativa, relación jefe subordinado, los cuales deben ser considerados en cualquier análisis de riesgo. Por otra parte, dividiendo a la organización en tres grandes partes se tiene:, el nivel alto o estratégico, donde se elaboran los planes a largo plazo y se realiza una gestión y control global; el nivel medio o táctico, con planes de mediano plazo, donde se efectúa una gestión y control funcional y; el nivel bajo u operativo que desarrolla planes de corto plazo a través de una gestión y control operativo. En el caso de la estructura organizacional, se podría decir que el riesgo se relaciona directamente con el nivel que se está evaluando dentro de la institución. 10

11 Es decir, a mayor nivel en la organización, mayor es el riesgo y a menor nivel, menor el riesgo al que se expone el logro de los objetivos estratégicos. Gráfico N 6 ESTRUCTURA ORGANIZACIONAL, GESTIÓN Y RIESGO Alto Nivel estratégico Planes de Largo Plazo. Gestión y Control Global, Riesgo Alto Medio Nivel Táctico Planes de Mediano Plazo Gestión y Control Funcional Riesgo Medio Bajo Nivel Operativo Planes de Corto Plazo Gestión y Control Operativo Riesgo Bajo Además de los factores anteriormente señalados, existen otras variables críticas de las cuales depende la continuidad en el tiempo de una institución y un servicio de excelencia, innovador, que satisfaga las necesidades de sus clientes o usuarios. 1. Variables Críticas. 1. Misión de la Organización. Comprende: a) Definición de Objetivos Globales. Estos objetivos tienen que ver con la definición de la institución y con la tarea que le ha sido encomendada. Abarca a toda la entidad, la que debe estar plenamente identificada con su 11

12 misión. Estos objetivos deben ser la expresión clara de la misión;, deben promover la eficiencia de las comunicaciones de las altas autoridades con el personal el cual debe estar en conocimiento de los objetivos de la entidad. Debe haber coherencia de las políticas y estrategias, con los objetivos. b) Definición de Objetivos Específicos. Son aquellos asignados a cada área o actividad de la entidad. Estos objetivos deben tener relación directa con los objetivos globales, así como con las políticas y estrategias de la institución. Incorporan la participación del personal a cargo de funciones de responsabilidad, en la determinación de los objetivos específicos y en la consecución de los mismos. Es muy importante tomar en cuenta a la hora de definir los objetivos tanto globales como específicos, la existencia de objetivos explícitos como implícitos que se fijan, los que pueden no estar claramente identificados o bien podrían obedecer solo a una cierta inercia de las instituciones. 2. Visión estratégica de los directivos. Dice relación con la visión de futuro que debe existir en la entidad, para estar preparada y soportar los cambios que se produzcan, tanto aquellos positivos que tengan relación con el avance de la institución como aquellos negativos que hagan aumentar su nivel de riesgo. Para esto es necesario establecer planes permanentes de modernización de corto y mediano plazo reforzar los controles e implementar sistemas de alarma que den aviso de los nuevos riesgos que se suscitan. 3. Exposición al riesgo. Este se manifiesta en todas las áreas de la entidad, siendo muy importantes las unidades operativa y financiera las que no deben perderse de vista. El riesgo de estas áreas dependerá de las limitaciones de los recursos materiales, económicos y de los controles asociados. De gran relevancia, dentro de la exposición al riesgo es la cultura ética, normas de conducta y límites de actuación dentro de la normativa legal. 4. Nivel de eficiencia de los sistemas de información. Los sistemas de información no solo entregan información importante para la toma de decisiones, sino que, además; están concebidos para llevar a cabo iniciativas estratégicas. En su moderna visión, se tiende a la integración de la planificación, diseño e implementación de los sistemas de información con la estrategia global de la entidad. 12

13 Por otra parte, junto con la gran influencia del mejoramiento tecnológico en los sistemas de información, está también el desarrollo y capacitación del personal que opera los sistemas, el cual debe ir a la par con este avance. 5. Imagen institucional. Llamada también imagen corporativa, es la identificación de sus miembros, así como de los clientes o usuarios, con la institución. Son las características de la entidad que se traducen en una imagen interna y externa, además de un enfoque hacia el cliente a través de un producto o servicio que satisfaga sus necesidades. 2. Identificación de los riesgos relevantes. La importancia del riesgo en la organización, tiene relación directa con la pérdida o daño económico, de imagen o en la continuidad de las operaciones que este provoque. Dependiendo de ello, se pueden clasificar los riesgos de la siguiente manera: 1. Riesgo país: Aquellos que tienen relación con los modelos macroeconómicos, influencia externa y social. Por ejemplo, la decisión de devaluación de la moneda, tiene efectos a nivel nacional e internacional. 2. Riesgo organizacional: Aquellos que dicen relación con la gestión, la estructura organizacional y la administración financiera. Por ejemplo, una reestructuración organizacional repercutirá, en diferentes grados, en todos los niveles y miembros de la organización. 3. Riesgo del negocio: Los relativos a la imagen de la institución, competencia, proveedores, clientes, organismos reguladores y seguridad. Por ejemplo, una institución que se dedica a otorgar créditos a ciertos sectores de la economía, es importante que se oriente a apoyar a su segmento, incentivar a sus usuarios y entregar una imagen de confianza y seguridad, enmarcada en leyes y normas establecidas. 13

14 4. Riesgo tecnológico: Aquellos que tienen relación con la calidad, innovación, creatividad, conocimiento y obsolescencia de los recursos tecnológicos. Por ejemplo, la globalización obliga a las instituciones a renovar sus sistemas y equipos computacionales en pos de mayores y mejores comunicaciones. 5. Riesgo operacional: Aquel relacionado con las normas, procedimientos, recurso humano, ambiente, ética, costos y seguridad laboral. Por ejemplo, la eficiencia de las operaciones la constituye en gran medida la optimización de los recursos, tanto materiales como humanos. El trabajar con los mejores estándares de calidad, puede permitir soportar mejor cualquier cambio que se pueda producir, tanto en los requerimientos de los usuarios como de la economía imperante, entre otros. 6. Riesgo informático: Los que se relacionan con la privacidad de la información, integridad, disponibilidad, exactitud, oportunidad y contingencias. Resulta indispensable para las instituciones en la actualidad, contar con sistemas de información que se ajusten a sus requerimientos de capacidad, rapidez y eficiencia, capaces de enfrentar cualquier contingencia y que apoyen la toma de decisiones. 7. Riesgo de auditoría: Tiene que ver con la no-detección de deficiencias que puedan poner en riesgo a la institución. Cualquier falta de conocimiento por parte de la unidad de auditoría, de las debilidades de la institución, incluyendo las características y tamaño de las muestras que se tomen, será de gran importancia ya que podría omitir una situación crítica de la entidad. 3. Probabilidad de que se materialice un riesgo determinado. Esta probabilidad dependerá de las medidas de control tomadas en cada área, considerando los factores internos y externos que influyen sobre las variables críticas detectadas y sus procesos claves. Es indispensable, que se realice periódicamente una evaluación de los riesgos específicos asociados a las distintas áreas de la entidad como de aquellos que abarcan aspectos más globales, con el objeto de minimizar los efectos e impactos de la materialización de esos riesgos. Además, permanentemente se deben estar 14

15 reforzando y monitoreando las medidas de control interno e informando de ellas a las autoridades y unidades de la institución. 4. Gestión de Cambio. Es necesario tomar todas las medidas para detectar y analizar los cambios que se presenten. Es clave el sistema de información de gestión y financiero contable que tenga la institución. El análisis debe considerar las posibles causas del logro o no logro de los objetivos y hasta qué punto se puede considerar el cambio como una oportunidad, evaluar si existe control sobre el riesgo que se está enfrentando. 5. Gestión de Riesgos. En toda institución existen riesgos. Es imposible eliminar en su totalidad la probabilidad de ocurrencia de un hecho no deseado, sin embargo es posible gestionar o administrar los riesgos detectados. El esquema del Gráfico N 7, describe las principales tareas que se deben efectuar al gestionar los riesgos. La primera tiene relación con la estimación de los riesgos, a través de su identificación, análisis y priorización. La segunda y la más importante, está referida al control por medio de la planificación, resolución y monitoreo de los riesgos. 15

16 Gráfico N 7 GESTIÓN DE RIESGOS IDENTIFICACIÓN DE LOS RIESGOS ESTIMACIÓN DE RIESGOS ANÁLISIS DE RIESGOS PRIORIZACIÓN DE LOS RIESGOS GESTIÓN DE RIESGO PLANIFICACIÓN DE LA GESTIÓN DE RIESGO CONTROL DE RIESGO RESOLUCIÓN DE RIESGOS MONITOREO DE LOS RIESGOS 16