Julio 2015 Boletín de Investigación Comisión de Desarrollo SE Auditoría Interna - Sur Núm. 28. Auditoría Interna y Administración de Riesgos

Transcripción

1 Julio 2015 Boletín de Investigación Comisión de Desarrollo SE Auditoría Interna - Sur Núm. 28 Auditoría Interna y Administración de Riesgos

2 C.P.C. Jorge Alberto Téllez Guillén Presidente C.P.C. Ricardo Paullada Nevárez Vicepresidente de Desarrollo y Capacitación Profesional L.C.P. Luis Bernardo Madrigal Hinojosa Director Ejecutivo Comisión de Desarrollo SE Auditoría Interna Sur Presidente C.P.C. Agustín Francisco Albarrán Carranza Vicepresidente C.P.C. Adolfo Ramírez Fernández del Castillo ÍNDICE PÁGINA I. Introducción 3 II. Roles de Auditoría Interna 4 III. Factores de riesgo externos e internos 4 IV. Proceso de administración de riesgos 10 V. Conclusiones 14 Secretario C.P. Salvador Cruz Hernández Integrantes L.C José Antonio Alverde Lanzagorta C.P. Juan Fernando Calvillo Armendariz C.P. Gerardo Díaz Valdez C.P.C. Jaime Ignacio García Jiménez C.P. Mario Enrique Mota Sevchovicius Mtro. y L.C. Gabriel Sánchez Aguirre C.P. Gabriel Sánchez Curiel C.P. Mario Sánchez Martínez C.P. José de Jesús Sandoval Muñoz C.P. Fernando Soto Barreto L.A.F. Adolfo Tanda Aguayo C.P.C. Fernando Pérez Mendoza L.C.I. Israel Pichardo Camargo C.P. Arturo Salvador Reyes Figueroa C.P. Antonio Salas Hernández C.P. Omar Cruz Fuentes Gerencia de Comunicación y Diseño Comisión de Desarrollo Sector Empresa Auditoría Interna - Sur del Colegio, año III, núm. 28, julio de Boletín Informativo edición e impresión por el Colegio de Contadores Públicos de México, A.C. Responsables de la Edición: Lic. Jonathan García Butrón, Lic. Asiria Olivera Calvo, Lic. Aldo Plazola González. Diseño: Adriana Huescas Hernández. Bosque de Tabachines Núm. 44, Fracc. Bosques de las Lomas, Deleg. Miguel Hidalgo El contenido de los artículos firmados es responsabilidad del autor; prohibida la reproducción total o parcial, sin previa autorización. 2

3 I. Introducción El objetivo de este documento es reflejar los aspectos generales sobre lo que implica la administración de los riesgos a que están expuestas las organizaciones; así como proporcionar una serie de términos y conceptos que son de utilidad para la Auditoría Interna. Hoy en día la administración de riesgos en las organizaciones, llamada por muchos Administración Integral de Riesgos, conjunta diferentes amenazas y vulnerabilidades que enfrentan las organizaciones para cumplir con los objetivos establecidos por la Alta Dirección y el Consejo de Administración. La Administración Integral de Riesgos es un proceso que combina los recursos financieros, humanos, intelectuales, materiales y tecnológicos de una organización, con el fin de identificar, medir, analizar, prevenir, mitigar, controlar, comunicar y monitorear los riesgos a los cuales está expuesta. Este concepto también involucra la capacidad que tienen las organizaciones para manejar la incertidumbre sobre la posible ocurrencia de un evento, con el propósito de generar beneficios, así como reducir efectos financieros y pérdidas de operación. Derivado de lo anterior, el área de Auditoría Interna debe estructurar y desarrollar un plan anual de trabajo sobre la base de cobertura de los principales riesgos a los cuales está expuesta la organización, proporcionando una certeza razonable que los controles implementados mitigan el impacto de dichos riesgos y ayudan al cumplimiento de los objetivos estratégicos. Por ello, la Auditoría Interna debe conocer cuáles son dichos objetivos, para identificar las principales amenazas y vulnerabilidades. Los riesgos a los cuales está sujeta una organización son diversos. Van desde el tipo de industria, giro o actividad; la madurez de la organización; cultura; nivel de competencia empresarial; capacidad de respuesta del personal; tipo de producto; ambiente regulatorio; dependencia y relación con terceros; avances tecnológicos; tecnologías de información y comunicación, etc. 3

4 II. Roles de Auditoría Interna La participación de Auditoría Interna dentro del proceso de Administración Integral de Riesgos es brindar una opinión independiente y objetiva, que asegure de manera razonable al Consejo de Administración y a la Alta Dirección que los principales riesgos del negocio se están gestionando apropiadamente; por lo cual los principales roles de Auditoría Interna son: a) Otorgar aseguramiento de los procesos de administración y evaluación de riesgos. b) Evaluar los procesos de administración de riesgos. c) Revisar la administración de los riesgos claves Asimismo, existen roles que Auditoría Interna no debe desempeñar, ya que son responsabilidad de la Dirección General y del Consejo de Administración: a) Definir el grado de aceptación del riesgo. b) Imponer procesos de administración de riesgos. c) Tomar decisiones respecto de los riesgos. d) Ser responsables de la administración de riesgos. Es importante destacar que ni la función de Administración Integral de Riesgos, ni la de Auditoría Interna, sustituyen a una administración ineficaz e incompetente. III. Factores de riesgo externos e internos Para una efectiva identificación de riesgos presentes en una organización es necesario considerar sus diferentes naturalezas; con tal propósito, de una manera esquemática, podamos ejemplificar el entorno al que se enfrentan las organizaciones, mediante el siguiente diagrama que muestra diferentes factores de riesgo clasificados en externos e internos. Como factores externos se pueden identificar, entre otros, los siguientes: 4

5 Ambiental Económico Social Comunidad Político Tecnológico Legal Los factores externos son los que rodean a la organización en su entorno. Una vez identificadas las oportunidades y amenazas, se debe hacer un análisis de los factores Internos que pueden afectar el desarrollo de la organización. En forma enunciativa y no limitativa, a continuación se comentan los principales factores internos de una organización: 5

6 Estratégico Tecnológico Capital Humano Reputacional Operacional Mercado Legal Crédito Liquidez Riesgo estratégico Es el riesgo que podría generar una pérdida debido a un plan de negocios malogrado, ya sea por el plan de negocios en sí, la toma de malas decisiones o por la ejecución deficiente de dichas decisiones; incluso por la ausencia de los recursos necesarios o por no saber adaptar el plan de negocios a los cambios del entorno. De esta forma, el riesgo estratégico va en función de la compatibilidad de los objetivos estratégicos de la compañía, las estrategias desarrolladas y los recursos utilizados para alcanzar dichos objetivos, así como la calidad de su ejecución. Los recursos necesarios para llevar a cabo las estrategias de negocios deben ser evaluados en relación con el impacto de los cambios económicos, tecnológicos, competitivos y regulatorios. La administración del riesgo estratégico recae principalmente en el nivel más alto de la organización, que generalmente es el Consejo de Administración y se ejecuta a través de la Dirección General de la organización, ya que las decisiones estratégicas no pueden ser delegadas a otros niveles de la organización. 6

7 Riesgo reputacional Es el riesgo de que una decisión, acción, situación, transacción, o inversión pueda reducir la percepción sobre la integridad, capacidad y confianza de la organización, ante clientes, autoridades, proveedores, accionistas, empleados y público en general. El origen de este riesgo generalmente está basado en el comportamiento corporativo o en algún suceso interno o externo que pone en duda, o en evidencia, algunas políticas o prácticas corporativas. Dicho comportamiento es el que origina la insatisfacción de las expectativas de los grupos de interés, lo que a su vez provoca una respuesta negativa o adversa. Esta respuesta es la que afecta a la reputación corporativa, pues demuestra una disminución del reconocimiento que se tenía de la organización. La materialización de este riesgo puede tener un impacto distinto, dependiendo del giro de la organización y situación que se haya presentado. Lo importante en este tipo de riesgo es la oportunidad y la forma de gestionar el manejo de la crisis, cuya responsabilidad recae en la Dirección General y el Consejo de Administración. Este riesgo ha ido ganando relevancia en los últimos años, principalmente por la globalización de las marcas y democratización de la información, acentuado en gran medida por el crecimiento de las Redes Sociales. Riesgo legal Debido a que en las organizaciones o negocios las relaciones comerciales son cada día más complejas, se requiere una mayor actualización y conocimiento de leyes, normas y reglamentaciones vigentes. En este escenario el riesgo legal se puede definir como la posibilidad de ser sancionado, multado u obligado a pagar daños, como resultado de acciones reguladas o acuerdos privados no cumplidos. Podemos clasificar al riesgo legal en función a las causas que lo originan, entre otras: 7

8 Riesgo de facultades: está basado en que las personas que actúan en nombre de la organización o la contraparte cuenten con la capacidad legal suficiente. Riesgo de legislación o regulatorio: las actividades no pueden ser ejecutadas por limitación, prohibición o incertidumbre de alguna de las partes. Asimismo puede ser por errores en la interpretación de la legislación o regulación aplicable. Riesgo de documentación: la documentación que obliga o da derechos a la organización de manera legal y regulatoria es incorrecta, inexistente, inadecuada, incompleta, o está extraviada. Riesgo tecnológico Es importante mencionar que este riesgo puede ser causa o dar origen a otros riesgos dentro de la organización. Una falla en los sistemas o en su infraestructura puede detener o limitar la operación o servicios que ofrece la organización. Riesgo crediticio Este riesgo se define como la pérdida potencial que se origina por el incumplimiento de una parte en una operación crediticia y el deterioro de la calidad financiera de la contraparte, incluso en su garantía o colateral pactada en las condiciones originales. Riesgo de mercado El riesgo de mercado se entiende como la probabilidad de pérdida que puede sufrir una organización, derivado de la diferencia en los precios que se registran en los mercados o en los movimientos de los factores de riesgos, entre los que se encuentran: Riesgo de precio de las mercancías: es el resultado negativo del precio de los insumos y productos que utiliza la organización, dependiendo del giro de la misma. 8

9 Riesgo de competencia: se identifica con la posibilidad de que la calidad, precio y servicio de los competidores se ofrezcan en mejores condiciones. Riesgo de tipo de cambio: se da como consecuencia de la volatilidad en los tipos de cambio de las monedas. Puede originarse por diferentes factores dependiendo del sector o industria a la cual pertenezca la organización. Riesgo de liquidez Este riesgo se entiende como la pérdida originada por la incapacidad de una organización para hacer frente a sus obligaciones. Riesgo operacional Este riesgo es inherente a todas las actividades, productos, sistemas y procesos. Sus orígenes son muy variados; pueden provocar pérdidas debido a errores humanos, procesos internos inadecuados o defectuosos, y como consecuencia de acontecimientos externos. El riesgo operacional lo podemos clasificar entre otros: Personas: Las organizaciones deben administrar el capital humano de forma adecuada, e identificar apropiadamente las capacidades no aprovechadas, fallas o insuficiencias asociadas al factor persona, tales como: falta de personal adecuado, negligencia, error humano, ambiente laboral, fraude, capacitación inadecuada o insuficiente. Procesos: Se deben cuidar los riesgos asociados a las fallas en los modelos utilizados, diseño inapropiado de los procesos críticos, errores en las transacciones, políticas y procedimientos inexistentes. 9

10 Riesgo de delincuencia organizada Representado por la posibilidad de que ocurran actos criminales contra los recursos humanos y materiales de la organización, incluyendo sus inmuebles, instalaciones, maquinaria, equipos de reparto o transporte, equipos de cómputo, mercancías, documentos, información documental o en archivos electrónicos, nuevos desarrollos tecnológicos para ganar mercado, entre muchos otros ejemplos. Riesgo ambiental Es la probabilidad de que la actividad de la organización afecte negativamente de manera directa o indirecta al medio ambiente. Entre otros, pueden considerarse aquellos riesgos asociados con la descarga de aguas residuales, con la emisión de contaminantes atmosféricos y con el manejo de residuos. Riesgo del capital humano Este riesgo se origina cuando hace falta personal clave, o el existente carece de la actitud, aptitud y experiencia, necesarios para desarrollar las funciones y responsabilidades inherentes a los puestos de trabajo. Además, puede presentarse cuando no existe una adecuada evaluación de desempeño del personal. IV. Proceso de administración de riesgos Con base en los riesgos previamente enunciados, de manera no limitativa, las organizaciones deben identificar los factores externos e internos que afectan en mayor medida el logro de los objetivos organizacionales. Para lograr una efectiva administración de riesgos se debe contar con la aprobación, compromiso y soporte de la alta dirección de la organización y debe estar integrada en 10

11 cada línea de negocio; ya que cada empleado tiene responsabilidad en el mantenimiento de la reputación de la organización, de esta forma, la administración de riesgos debe contar con una estrategia clara y que sea comunicada a todos los niveles. Los riesgos deben ser evaluados como un proceso sistemático y continuo con el fin de poder identificarlos, alinearlos, gestionarlos, controlarlos y monitorearlos en base a los objetivos establecidos por el nivel más alto de la organización, que generalmente es el Consejo de Administración y ejecutado por la dirección de la compañía. Esta evaluación debe conducir a la alta dirección a una adecuada planificación y gestión de la organización para contribuir al cumplimiento de sus objetivos, con la participación de Auditoría Interna en el cumplimiento de las medidas de control establecidas. Asimismo, se deben analizar los eventos externos que puedan afectar a la consecución de dichos objetivos y a la generación de valor para los accionistas. Una vez que se tiene una definición clara de los riesgos a los cuales puede estar expuesta una organización, se deberá iniciar con la medición efectiva y cuantitativa del riesgo asociado con la probabilidad de una pérdida en el futuro. La parte primordial en la Administración Integral de Riesgos debe cumplir con los siguientes puntos: 1. Establecimiento del contexto de la organización 2. Identificar los riesgos del negocio 3. Establecer un análisis entre costo y tolerancia o aceptación a ciertos riesgos 4. Determinar los riesgos críticos 5. Establecer controles mitigantes 6. Establecer un proceso de monitoreo constante Una vez que se tengan los puntos antes mencionados, se le podrá dar la confianza a la Alta Dirección, al Consejo de Administración y a los Accionistas de que se tienen identificados, medidos, analizados, mitigados, controlados y monitoreados los principales riesgos de la organización. De manera esquemática, el proceso de administración de riesgos puede reflejarse de la siguiente manera: 11

12 EL PROCESO DE ADMINISTRACIÓN DE RIESGOS 1. Establecer el Contexto 2. Identificar los Riesgos 3. Analizar los Riesgos 4. Evaluar y Jerarquizar los Riesgos 5. Respuesta al Riesgo 6. Monitorear y Revisar los Riesgos PROCESO CONTINUO DEL RIESGO Para la Administración Integral de Riesgos existen diferentes formas de medición que ayudan a consolidar la información generada. Parte de la función de Auditoría Interna será verificar que la administración defina una matriz donde identifique la probabilidad de ocurrencia y el impacto. A continuación se presenta un ejemplo de cómo pudiera construirse una matriz midiendo esas dos variables. Probabilidad A Casi imposible Difícil probabilidad de que ocurra B Remoto Ocurrirá sólo en circunstancias excepcionales C Probable Puede ocurrir en cualquier momento D Muy probable Ocurrirá en la mayoría de las circunstancias 12

13 13

14 V. Conclusiones Una vez analizados los riesgos de acuerdo con su probabilidad e impacto, la Administración puede jerarquizar los procesos dentro de su organización a los que debe enfocar sus esfuerzos. La organización debe desarrollar una estrategia que establezca principios para la identificación, evaluación, medición, control y monitoreo de los riesgos, de acuerdo con sus objetivos, tamaño y complejidad de operaciones. La función de Auditoría Interna, como uno de sus principales roles, requiere verificar que el proceso de administración de riesgos se encuentra definido y que está siendo medido, evaluado y monitoreado en forma continua. Es responsabilidad de la organización identificar, evaluar e implementar los procedimientos que controlen, compartan o transfieran los riesgos, utilizando datos e información disponible. Por su parte, Auditoría Interna debe evaluar si fueron identificados los riesgos relevantes de la organización y si los controles se han diseñado de manera adecuada y están operando de manera eficiente para mitigar el nivel de exposición. Es importante mencionar que el proceso de Administración de Riesgos se debe llevar a cabo de manera anual, o en su caso, antes si existieran cambios importantes en la estructura administrativa, en la estrategia, en los procesos, sistemas o inclusive en cualquier factor interno o externo que tuviera un impacto relevante para la organización. 14