Alas Tobar Asociados “Los efectos de la evaluación del Control Interno en financiero y tributario

Por: Lic. Osmín Alas: Director Presidente

ADMINISTRACIÓN DEL RIESGO EMPRESARIAL (E.R.M.1) Y EL CONTROL INTERNO

I PARTE

La Auditoría Independiente, Financiera o Fiscal y la auditoria interna o deberán enfocar el análisis de operaciones, procedimientos, resultados de información y asesoría a la administración, utilizando para ello el nuevo concepto, apoyado por las Federaciones Internacionales de Auditoría integral (1) enmarcado en 4 grandes segmentos denominados :

Auditoría de control interno Auditoría de cumplimiento

Auditoría de gestión Auditoría financiera

Precisamente sobre la Auditoría de Control Interno se ha modificado el enfoque, esquematizando su evaluación y conclusiones más en el Riesgo de control, sabiendo como obtener una Identificación y Evaluación de los Riesgos de Representaciones Erróneas de Importancia Relativa en la organización, el proceso de diseño y realización de pruebas de controles que sirva de base para análisis o estudios posteriores.

“...es un proceso, ejecutado por la Junta Directiva o Consejo de Administración de una Entidad por su grupo directivo (gerencia) y por el resto de personal, diseñado para proporcionarles seguridad razonable de conseguir en la Empresa las tres siguientes categorías de objetivos  de (1) Efectividad y eficiencia en las operaciones; (2) Suficiencia y confiabilidad de la información financiera; y (3) Cumplimiento de las leyes y regulaciones aplicables…”

Convierte los antiguos elementos de Control Interno en 5 componentes interrelacionados,

1 Enterprise Risk Managament o COSO II (Administración de Riesgo Empresarial) agosto 2005

Alas Tobar Asociados“Los efectos de la evaluación del control interno en lo financiero y tributario”

Por: Lic. Osmín Alas: Director Presidente

que se derivan de la forma como la administración maneja el ente económico, y están integrados a los procesos administrativos, como son:

1. El ambiente de control,2. Evaluación de riesgos,3. 3. Actividades de control,

4. Información y comunicación, y 5. Monitoreo y supervisión,

Esta nueva metodología asegura al auditor una mayor seguridad razonable dentro del proceso de la auditoría porque antiguamente el control interno no tenía en cuenta los avances de la tecnología, especialmente de la década del 90, cuya revolución informática ha sido demasiado rápida, así como el marco no dedicado solamente a la eficiencia de las personas sino también a la eficiencia de las operaciones y si la empresa y el auditor no están atentos a los cambios, pueden aparecer hechos irregulares no detectados oportunamente o por el contrario se puede dedicar tiempo precioso a situaciones relativamente no importantes, mientras que aspectos relevantes no son detectados porque su enfoque era el de detectar fraudes solamente sin medir la relación costo-beneficio, que en el diseño es fundamental.___________________________________(1) En el libro Normas y Procedimientos de la Auditoría Integral del Dr. Yanel Blanco Luna de Editora ROESGA

profundiza este tema (2) Committee Of Sponsoring Organizations Of The Treadway Commission (Coso) quien emitió el documento “Internacional de Control Integrated”.

Otro de los cambios que se notan en las investigaciones sobre el control interno es el de apoyo administrativo dentro de los informes de deficiencias, inconsistencias y fallas administrativas que quedaban sin soluciones, las cuales en nuevas visitas eran detectadas las mismas sin dar la importancia, de parte de la administración, siendo así el costo de la auditoría, gasto sin reposición..

Con el enfoque formulado por el COSO como herramientas fundamentales de establecimiento, control y seguimiento se han manejado en mejor forma y más económicamente las organizaciones de control interno en las Empresas privadas y públicas, utilizando componentes más organizados y claves como son los de:

1) En el Ambiente de Control por : Compromiso para la competencia Comité de auditoría Filosofía de la administración y estilo de operación Estructura organizacional

INTRODUCCION 2

Alas Tobar Asociados“Los efectos de la evaluación del control interno en lo financiero y tributario”

Por: Lic. Osmín Alas: Director Presidente

Asignación de autoridad y responsabilidad Políticas y prácticas de recursos humanos

2) En la Valoración de riesgos, enfocando los siguientes puntos : Objetivos globales de la entidad Objetivos a nivel de actividad Identificación, valoración y consecuencia de riesgosManejo del cambio

Actividades de Control para asegurar la: Existencia de las políticas apropiadas y los procedimientos necesarios con respecto a

cada una de las actividades del ente económico. Identificación de las actividades de Control para que sean usadas apropiadamente.

4) Información Interna y Externa : Que debe ser obtenida, identificada, capturada, procesada y reportada por el sistema de información basados en planes estratégicos en lazados a las estrategias generales de la empresa y logrando el apoyo de la dirección en el desarrollo de los sistemas de información.

5) Comunicación, en cuanto a su efectividad, canales confiables, receptividad en las sugerencias, información precisa y suficiente, franqueza y efectividad en la forma de tratar a la administración, establecer planes adecuados para que se analicen y entiendan los estándares éticos de la entidad y seguimiento oportuno y apropiado de parte de los directivos y en corto plazo, en una nueva evaluación exclusiva a las fallas, inconsistencias o deficiencias informadas dentro del Concepto denominado Monitoreo.

INTRODUCCION 3

6) Monitoreo o Seguimiento, ocurre en el curso normal de las operaciones, e incluye actividades de supervisión y dirección o administración permanente y otras actividades que son tomadas para llevar a cabo obligaciones de cada empleado y obtener el mejor sistema de Control Interno, especialmente a : Evidencia de si el sistema de control interno continúa funcionando por parte del

ente. Corroboración en comunicaciones externas, la información generada

internamente. Comparación periódica de las cantidades registradas por el sistema de

información contable La sensibilidad frente a las recomendaciones de auditores externos o internos

para fortalecerlos. Asegurar retroalimentación a la administración de los seminarios de

entrenamiento, las sesiones de planeación y otras reuniones para asegurar que los controles operen efectivamente.

Si el personal es cuestionado periódicamente para establecer si ellos entienden y cumplen con el código de conducta de la Entidad y desempeñan regularmente actividades críticas de control.

Efectividad en las actividades de la Auditoría Interna.

Administración de Riesgo2 Empresarial

El COSO II ha desarrollado una estructura conceptual para la administración del riesgo empresarial denominada E.R.M.3 (sigla del inglés) para el entendimiento de la formulación y seguimiento de un proceso básico en la administración del riesgo como apoyo al buen gobierno corporativo y mejores medidas de control en una Organización.

La gestión o administración de riesgo empresarial ERM es un proceso estructurado, consistente y continúo a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos, cuya definición formulada por el COSO II fue de:

“Es un proceso, efectuado por la Junta Directiva o el Consejo de Administración, la Alta Gerencia y otro personal de un ente económico, mediante la determinación de una estrategia diseñada para identificar los eventos potenciales que la pueden afectar y para administrar los riesgos que se encuentran dentro de la cantidad de riesgo que un ente económico esté dispuesto a aceptar en la búsqueda de valor, para así proveer seguridad razonable en relación con el logro de sus objetivos”

La definición captura los conceptos fundamentales que son claves sobre la manera como las compañías y otras organizaciones administran el riesgo, proveyendo una base para la aplicación a través de diferentes tipos de organizaciones y sectoriales. Se centra directamente en el logro de los objetivos de la entidad y la entidad provee una base para definir la efectividad de la administración del riesgo empresarial

Las empresas con ánimo o sin ánimo de lucro deben propender a crear valor a sus protectores, dueños o accionistas, así como la de enfrentar y superar las incertidumbres4, desafiándolas con preparación suficiente, para poder proveer una estructura conceptual, así la gerencia trate de manera efectiva la incertidumbre que 2 En capítulos separados se tratará el tema del ERM.3 Enterprise Risk Managament

representan los riesgos y oportunidades, y así enriquecer su capacidad para generar valor5

El riesgo es la posibilidad de que un evento ocurra y afecte adversamente el cumplimiento de los objetivos, en los procesos, en el personal y en los sistemas internos generando pérdidas. Los riesgos se clasifican en cuatro grandes tipos, el riesgo de reputación, el riesgo de mercado, el riesgo de crédito y el riesgo operacional en todas sus divisiones; como formalidad de prevención, detección y mitigación a dichos riesgos, el E.R.M. determinó 8 componentes interrelacionados, los cuales muestra cómo la Alta Gerencia opera un negocio, y cómo están integrados dentro del proceso administrativo en general, ellos son:

Entorno Interno: Filosofía de administración de riesgo – Cultura de riesgo – Responsabilidad de la Junta Directiva o Consejo de Administración – Integridad y valores éticos – Compromiso para con la competencia.

Definición de los objetivos: Objetivos estratégicos – Objetivos relacionados – Objetivos seleccionados – Apetitos del riesgo – Tolerancia al riesgo.

Identificación de eventos: Eventos o factores que influyen en la estrategia y en los objetivos- Metodologías y técnicas – Interdependencia entre los eventos – Categoría de eventos – Riesgos y oportunidades –

Valoración del riesgo: Riesgo inherente y residual- Probabilidad e impacto – Metodologías y técnicas de correlación.

Respuesta al Riesgo: Identificación de las respuestas al riesgo – Evaluación de las posibles respuestas al riesgo – Selección de respuestas – Punto de vista de mapeo o portafolio –

Actividades de control: Integración con la respuesta al riesgo – Tipos de actividades de Control – Controles generales – Controles de aplicación – Controles específicos de la actividad –

Información y comunicación: Información – Sistemas estratégicos e integrados – Comunicación –

Monitoreo: Evaluaciones separadas – Evaluaciones Ongoing –

4 Incertidumbres: Afectados por los factores del entorno como son la globalización, la tecnología, regulaciones, reestructuraciones, mercados cambiantes y competencia, los cuales generan incertidumbres. Emana incapacidad para determinar la probabilidad de que ocurrirán eventos potenciales y sus resultados asociados.5 Generación de Valor.- Decisiones de la administración generan valor o se debilitan por la definición de las estrategias hasta la operación diaria. El reconocimiento del riesgo y de la oportunidad por la información interna y externa, despliega recursos preciosos, para enderezar las actividades de riesgo frente a las circunstancias cambiantes.Generación de valor para los stakeholders con o sin ánimo lucro, entidades gubernamentales, la gerencia.

DESCRIPCION - COSO II Nº DESCRIPCION - COSO IAMBIENTE INTERNO 1 AMBIENTE DE CONTROLFilosofía de la gestión de riesgos 2Cultura del riesgo 3Consejo de administración o J.D. 4 Las actividades del C.Admón o J.D. y el Comité de AuditoríaAlta Gerencia 5 La mentalidad y estilo de operación de la gerenciaIntegridad y valores éticos 6 La integridad y los valores éticosCompromiso de competencia 7 El compromiso a ser competenteEstructura Organizativa 8 La estructura de la organizaciónAsignación de Autoridad y responsabilidad 9 La asignación de autoridad y responsabilidadesPolíticas y prácticas en materia de recursos humanos 10 Las políticas y prácticas de recursos humanosESTABLECIMIENTO DE OBJETIVOS 11Objetivos estratégicos 12Objetivos relacionados 13Objetivos seleccionados 14Riesgo Aceptado 15Tolerancia al riesgo 16IDENTIFICACIÓN DE EVENTOS O ACONTECIMIENTOS 17Acontecimientos o eventos 18Factores de influencia estratégica y de objetivos 19Metodologías y técnicas 20Acontecimientos interdependientes 21Categoría de acontecimientos 22Riesgos y Oportunidades 23INVESTIGACIÓN DEL RIESGO 24 EVALUACIÓN DE RIESGOSRiesgo Inherente 25Riesgo Residual 26Probabilidad 27 Análisis de riesgos y su procesoImpacto 28 Manejo de cambiosFuentes de datos 29 Objetivos de cumplimientoTécnicas de evaluación 30 Objetivos de OperaciónCorrelación entre acontecimientos 31 Objetivos de InformaciónRESPUESTA A LOS RIESGOS 32Evaluación de posibles respuestas 33Selección de respuestas 34Perspectivas a las respuestas al riesgo 35ACTIVIDADES DE CONTROL 36 ACTIVIDADES DE CONTROLIntegración de la respuesta al riesgo (evitar, reducir, compartir o aceptar) 37Tipos de actividades de control 38 Detectivos, preventivos y correctivosPolíticas y procedimientos 39 Polìticas, sistemas y procedimientosControles de los sistemas de información 40

Controles específicos de la entidad 41

Aprobación, autorización, verificación, conciliación, inspección, indicadores de rendimiento, salvaguarda de recursos, segregación de funciones,

supervisión y entrenamiento adecuadoINFORMACIÓN Y COMUNICACIÓN 42 INFORMACIÓN Y COMUNICACIÓNDatos internos 43 Controles generales en los sistemas de informaciónDatos externos 44 Controles de aplicación hacia el interior de la organización

Salidas informativas 45

Sistemas de información (general, iniciativas estratégicas, en línea interna y externa, de información comercial, sistemas de manufactura, contables,

nómina y otros.Fluidez eficaz en todas las direcciones de la organización 46 Comunicación formalMensajes claros de la Dirección a todos 47 Comunicación informalMedios efectivos de información 48 Canales de comunicación abiertosSUPERVISIÓN O MONITOREO 49

Actividades permanentes de supervisión 50

Supervisión sistemàtica de los componentes - Ongoing (autocontrol, auditoría interna, externa, comités de J.D. o de gerencia, sistema de

información gerencial por análisis y seguimiento.Evaluaciones independientes 51 Evaluaciones independientesComunicación de deficiencias 52 Informes de las deficiencias, excepciones o inconsistencias.

COMPARATIVO COMPONENTES DE CONTROL Y RIESGOS COSO I y COSO II

El objetivo fundamental de la Gerencia Integral de Riesgos consiste en concienciar a la institución en que deben asumir riesgos. Cada vez que tenemos el potencial de perder un peso, estamos consumiendo el capital que nuestros accionistas nos han entregado para que se haga rendir; por ende debemos conocer cuánto nos debe rendir cada transacción

La Gerencia Integral de Riesgos es un proceso que involucra además a todas las áreas de una empresa: a la Junta Directiva, porque tiene que sentar esas políticas y esos límites; al Gerente de Riesgos, porque debe entender los modelos, medir los nuevos productos, optimizar los distintos portafolios de la entidad; al Gerente Financiero, porque es el que va a hacer la medición; a todas las áreas comerciales, porque nuestro oficial de crédito va a saber cómo hablarle al cliente y cómo explicarle por qué el precio es ese; y los traders, porque van a poder tomar decisiones mucho más objetivas y optimizar sus portafolios.

La Gerencia Integral de Riesgos es una cultura porque involucra a toda la entidad como tal, pero sin duda el hecho de tener un esquema gerencial basado en el manejo del riesgo nos permite pensar estratégicamente y actuar a tiempo, de esta manera podemos anticiparnos a lo que va ha suceder y así evitar sorpresas desagradables.

II PARTE

Prácticas de administración de riesgosIdentificación y evaluación de riesgo desde una perspectiva de E.R.M.

El gerente general y la Junta Directiva deberían considerar ciertas preguntas durante la identificación y evaluación de riesgos.

RIESGO ESTRATÉGICO

¿Son las estrategias críticas apropiadas para permitir a la organización cumplir con sus objetivos del negocio?

¿Cuáles son los riesgos inherentes en aquellas estrategias y cómo puede la organización identificar, determinar y administrar estos riesgos?

¿Cuánto riesgo está preparada la organización para tomar? ¿Qué riesgos resultan de los desarrollos del e-business?

RIESGO OPERACIONAL

¿Cuáles son los riesgos inherentes en los procesos que han sido escogidos para implementar las estrategias?

¿Cómo identifica, cuantifica y administra la organización estos riesgos dado su tolerancia al riesgo o apetito?

¿Cómo adaptan sus actividades cuando las estrategias y procesos cambian?

RIESGO DE REPUTACIÓN

¿Cuáles son los riesgos para la marca y la reputación asociados y cómo la organización ejecuta sus estrategias?

RIESGO REGULATORIO

O CONTRACTUAL

¿Qué riesgos están relacionados con el cumplimiento de regulaciones o acuerdos contractuales – no sólo aquellos que están basados financieramente?

RIESGO FINANCIERO

¿Han puesto los procesos operacionales recursos financieros en riesgo indebido?

¿Ha incurrido la organización en pasivos no razonables para sustentar procesos operacionales?

¿Ha tenido éxito la organización en cumplir objetivos medibles de negocio?

RIESGO DE INFORMACIÓN

¿Es nuestra información/datos/conocimiento confiable, relevante y oportuna?

¿Son confiables nuestros sistemas de información? Reflejan nuestros sistemas de seguridad nuestra estrategia de e-business?

RIESGOS NUEVOS

¿Qué riesgos están por desarrollarse? (Estos pueden incluir riesgos de competidores nuevos o modelos de negocios emergentes, riesgos de recesión, de reracionamientos, de tercerización, políticos o criminales, de desastres financieros (agentes criminales) y otros (riesgos de crisis y desastres)

Acciones claves para ayudar a insertar la estructura del riesgo en la organización

Actividades de la junta directiva

Proporcionar capacitación en ERM a nivel directorio. Establecer aceptación, a nivel directorio, del apetito del riesgo y la estrategia

del riesgo. Desarrollar “propiedad” de la supervisión de la administración de riesgo por el

Directorio. Revisión del informe de riesgo de la empresa.

Actividades de la gerencia

Crear una estrategia de riesgo de alto nivel (política) alineada con objetivos estratégicos del negocio.

Crear una estructura organizacional de E.R.M. y asegurar claras líneas de reporte.

Desarrollar y asignar responsabilidades para el ERM. Comunicar la visión, estrategia, políticas, responsabilidades y las líneas de

reporte a todos los empleados a través de la organización.

Establecer una cultura de riesgo común

Utilizar conceptos y un lenguaje de riesgo común. Comunicaciones sobre el riesgo utilizando tecnología y canales apropiados. Desarrollar programas de entrenamiento para el ERM Identificar y entrenar “campeones de riesgo” Proveer de experiencias exitosas Alinear técnicas de ERM con la cultura de compañía. Desarrollar un sistema de compartir conocimientos.

Crear propiedad/responsabilidad de riesgo

Incluir actividades y responsabilidades de ERM en las decisiones de cargos. Incorporar conceptos ERM dentro de las metas personales. Atribuir formalmente límites de riesgos a los gerentes.

AJUSTAR ACTIVIDADES DE RIESGO DENTRO DE LOS PROCESOS CONTINUOS DE NEGOCIOS

Alinear e integrar actividades de administración de riesgo dentro de los procesos de negocios.

Incluir controles en tiempo real relacionados al riesgo en sistemas digitales, siempre que sea oportuno.

Desarrollar procesos de mejoramiento continuo relacionados con el riesgo.

MEDICIÓN Y MONITOREO DE RIESGO Identificar los principales indicadores de desempeño y los factores de éxito

esenciales relacionados con el riesgo. Establecer medidas de éxito para estrategias y actividades de riesgo. Establecer un proceso periódico de medición de riesgo/retorno. Identificar e implementar procesos de monitoreo y métodos de

retroalimentación.

CHEKLIST ESTRATÉGICO PARA LÍDERES DE NEGOCIOS

1. ¿Conozco cuáles son nuestros riesgos?2. ¿He evaluado exposiciones de riesgo no tradicionales?3. ¿Entendemos las interrelaciones de nuestros riesgos?4. ¿Conozco cuál es nuestro apetito de riesgos?5. ¿Conozco quiénes son nuestros propietarios de riesgos? ¿Poseen ellos

sistemas adecuados para medir y monitorear los riesgos?6. Cuál es la perspectiva de la persona (s), departamento(s) que están

supervisando los riesgos?7. ¿Tenemos sistemas que promuevan la optimización del riesgo?8. ¿Buscamos regularmente nuevos mercados, oportunidades de asociación y

otras estrategias de optimización del riesgo?9. ¿Cómo nuestros sistemas de incentivo afectan a la administración del riesgo?10. ¿Nuestro entendimiento de riesgo penetra nuestra organización y cultura?11. ¿Entiende cada individuo su rol y responsabilidad en administrar el riesgo?12. ¿Es el riesgo considerado una prioridad, en tanto los procesos operacionales

son mejorados?

IMPLEMENTACIÓN DEL ERM: Para implementar el E.R.M., se debe contar, por lo menos con:

Un buen sistema de control interno (COSO I) Objetivos claramente definidos al nivel de estrategias, el mercadeo, la

tecnología, el recurso humano, los procesos, etc. Auditorías basadas en riesgo Auditores líderes Metodologías de auditoría para auditar los riesgos Metodologías corporativas de gestión de riesgos Experiencia corporativa con el manejo de los riesgos, ya sea que se hayan

trabajado por procesos o corporativos. Responsables sobre la gestión de riesgos.

CUESTIONARIO DE INTERPRETACIÓN(Calificaciones: 1 (nunca)- 3 (algunas veces) – 5 (siempre), o con valores

intermedios – Deje en blanco si no conoce la respuesta -)Orden Pregunta Nota

1 ¿Nuestro equipo gerencial discute el riesgo en las reuniones de Staff y/o de la J.D.?

2 ¿Nuestra gerencia informa acerca de las decisiones importantes referentes al riesgo?

3 Se consulta con el administrador o gerente de riesgos acerca de los grandes proyectos? (marque 1 si no tiene gerente de riesgos)

4 La administración o gerencia de riesgos es un tema de discusión en el Comité de Auditoría y en la Junta Directiva?

5 Los gerentes de áreas participan en talleres (sean propios o en conferencias públicas) acerca de la práctica de la administración de riesgos?

6 Permanentemente la empresa se enfrenta con muchas dificultades sorprendentes?

7 Cuando una de las decisiones de la gerencia se vuelve obsoleta, el equipo trata de aprender de eso?

8 Se suministran las herramientas que se necesitan para valuar y administrar el riesgo?

9 La gerencia apoya la administración del riesgo?

10 Los resultados de la administración del riesgo son parte de los índices de desempeño personal?

TOTAL

Conclusión________________________________________________________________________________________________________________________________________________________________________________________________Evaluador___________________________________________________________

IDENTIFICACIÓN DE RIESGOS EN LA ESTRUCTURA DE LOS PROCESOS

Conocer la estructura de los procesos facilita identificar riesgos como los siguientes:

Riesgo de Dirección: son los relacionados con la calidad de la dirección del negocio y de sus procesos.

Existen cinco temas principales a saber:

Auditoria – Se otorga a los empleados, de nivel apropiado, la autoridad para corregir problemas y realizar mejoras? (Empowerment)

. Liderazgo – En qué medida se involucra la gerencia en las operaciones del

negocio?

Incentivos de desempeño – Cuáles son los programas de incentivos financieros y no financieros.

Límites – Existe claridad del lo que es un comportamiento aceptable? (Código de ética)

Auditoria Interna – Cómo es la independencia de la auditoria interna? Ubicación en

el organigrama.

Riesgos de Integridad: Son los que pueden efectuar integridad de los activos de la compañía:

Fraude de la gerencia - Cuál es la probabilidad que la gerencia se sobreponga a los controles? (concentración de poderes).

Fraude de los empleados – Cuál es la percepción general acerca de la posibilidad de fraude?. Existe una política sobre fraude? (selección y seguimiento de personal)

Actos ilegales – Está su negocio expuesto por naturaleza a actos ilegales? Cuál es la atmósfera de la industria? (Entorno cultural).

Uso no autorizado – Es probable el uso personal de los activos de la compañía?

Riesgos de cumplimiento: Aún cuando generalmente relacionamos cumplimiento con impuestos, cada día las regulaciones crecen en diferentes áreas.

Impuestos – Qué impuestos aplican y cómo garantiza el cumplimiento y la buena administración de éstos?

Medio ambiente – Cuál es el impacto de las operaciones sobre el medio ambiente y cuáles las responsabilidades reglamentarias acerca de este impacto? (ISO 14000).

Salud y Seguridad – Cuáles son las responsabilidades respecto a la salud y seguridad y qué programas de seguridad se llevan cabo?

Fondo de pensiones – Cuáles obligaciones se tienen con respecto a un plan de pensiones y cuáles son las leyes de regulación relacionadas? Cómo se administran esas obligaciones?

Regulaciones – Se han implementado procesos y procedimientos apropiados para observar cambios en regulación y asegurar su cumplimiento?

Riesgos de la administración de la información: Cada día la información es más y más administrada por sistemas de computadoras, lo que ha cambiado nuestra forma de percibir los riesgos relacionados con la información de la compañía:

Sistemas de información Administrativa – Le permite a la organización que la información sea pertinente, exacta y oportuna?

Dependencia de la Tecnología de Información (TI) – En que medida se han automatizado los procesos? Es TI crítica para las operaciones?

Confiabilidad TI – Son grandes y complejos los sistemas? En que medida están integrados los diferentes sistemas de la organización? Con que frecuencia ocurren errores? En que medida satisfacen las necesidades del negocio?

TI Externa – Hasta que punto se hace outsourcing en las actividades o funciones de sistemas?

Acceso / Disponibilidad – Es oportuna y apropiada la información que recibe la gerencia?

Integridad / Exactitud – Es siempre exacta y completa la información administrativa?

Pertenencia – Es apropiada para sus necesidades?

Cambios en TI – Cuáles son las actividades actuales de desarrollo de TI y qué efectos tienen sobre los sistemas básicos del negocio?

Riesgos de Administración Financiera: Al ser ésta un factor de gran importancia dentro de las organizaciones, es necesario considerar los siguientes aspectos cuando se evalúan los riesgos:

Presupuesto y Planificación – La planeación y el presupuesto son considerados una función esencial dentro de las responsabilidades de la gerencia? Son coherentes con la estrategia de la compañía?

Flujos de efectivo – Se integran las proyecciones de flujos de efectivo en la preparación de los presupuestos de operaciones, planes de inversión y estrategia en general?

Evaluación de inversiones – Qué procedimientos se han implementado para evaluar y autorizar los gastos de capital?

Informes financieros – Existe información suficiente para valuaciones apropiadas?

Financiación – Qué fuentes y métodos de financiación usa la entidad?

Información contable – Las transacciones en la información contable reflejan correctamente la estructura y actividades del negocio?

Riesgos del talento humano: El factor humano se ha convertido en un factor crítico de éxito en las organizaciones, por tal razón, cuando se analizan estos riesgos no podemos dejar de mencionar aspectos como:

Administración de talentos Humanos – El responsable de administrarlos es experimentado en estas labores? Existe un proceso formal de planeación estratégica relacionado con el desarrollo / conservación de la función del factor humano. (Auditoría cultural).

Competencias – Existen mecanismos para medir el desempeño de los empleados?

Reclutamiento – Existen unas políticas y procedimientos documentados para el reclutamiento del personal? Se aplica?

Reconocimiento / Retención / Compensación – Los empleados son reconocidos por sus logros? La compensación está directamente relacionada con el desempeño?

Administración del desempeño – Existe un procedimiento regular y formal para evaluar el desempeño de los empleados?

Desarrollo de Líderes – Se han implementado procesos para facilitar el desarrollo de habilidades de Liderazgo en los empleados?

Riesgos de operación: Los riesgos de operación son los que afectan la operación de la compañía, y en la medida en que aumenta el ambiente competitivo su efecto potencial sobre el desempeño financiero de la compañía es más significativo.

Los puntos más importantes en la operación, entre otros, son:

Tecnología Calidad Satisfacción del cliente Eficiencia Capacidad Desarrollo de productos Interrupción de negocios Control de rendimientos

LA GLOBALIZACIÓN HA CAMBIADO COMPLETAMENTE LOS RIESGOS QUE LAS ORGANIZACIONES ENFRENTAN, CÓMO LA FORMA EN QUE ÉSTAS MANEJAN

TALES RIESGOS.ALGUNAS PREGUNTAS

¿UD. TIENE RIESGOS, JUNTO CON LAS OPORTUNIDADES, A LO LARGO DE TODA CADENA DE VALOR?

¿DEPENDEMOS DEL MERCADO DEL EXTRANJERO?¿SOMOS EXPORTADORES O IMPORTADORES?

¿CÓMO SE DESARROLLA EL TRABAJO EN LAS PLANTAS?¿FUNCIONA LAS PLANTAS, DE ACUERDO A NUESTRAS EXPECTATIVAS?

¿CÓMO NOS ASEGURAMOS QUE LAS PRÁCTICAS EN LA PLANTA SEAN SEGURAS Y SE RESPETE A LOS TRABAJADORES Y QUE ESTÉN APROPIADAMENTE

REMUNERADOS?¿QUE PASA SI NO LE PONEMOS ATENCIÓN A LOS RIESGOS RELACIONADOS EN

ESTA MATERIA? – PUEDEN RESULTAR PASIVOS INMENSOS, BAJA CALIDAD, MENOS VENTAS, DESMEDRO DE LA MARCA.

-EL RIESGO AFECTA EL POTENCIAL DE LAS GANANCIAS DE UNA EMPRESA YA SEA QUE VENGAN DE FLUCTUACIONES EN LOS PRECIOS, EQUIPAMIENTO CONTRA INCENDIOS, CAMBIO EN LA LEGISLACIÓN, COBERTURA ADVERSA DE LOS MEDIOS…QUE RELACIÓN TIENEN LOS RIESGOS CON LA MISIÓN PRINCIPAL DE LA COMPAÑÍA Y LA RAZÓN QUE LOS INVERSIONISTAS TIENEN PARA INVERTIR EN ELLA?

CONOCER SUS RIESGOS ES CONOCERSE A SI MISMO

QUÉ RIESGOS ESTOY ENFRENTANDO Y CÓMO SE COMPARAN CON AQUELLOSDE MIS COMPETIDORES?CÓMO ESTÁN CAMBIANDO ESTOS RIESGOS EN BASE A CAMBIOS EN MI AMBIENTE DE NEGOCIO?QUÉ NIVEL DE RIESGO DEBERÍA TOMAR?CÓMO DEBERÍA ADMINISTRAR ESOS RIESGOS?

MATRIZ DE RIESGO EN NEGOCIOVERTICAL = Probabilidad en %HORIZONTAL = Impacto manejado a cuatro colores 4 Alto – 3 Significante – 2 Moderado – 1 Bueno

COMO SE IMPLEMENTA UN PROGRAMA E.R.M.¿Qué es un programa E.R.M.?

Un programa E.R.M., requiere:-Identificar todos los riesgos estratégicamente relevantes.-Ponderar su riesgo inherente en función de su impacto y probabilidad de ocurrencia.-Evaluar la efectividad de controles existentes y potenciales para mitigar su impacto.-Tomar decisiones respecto de los riesgos residuales.

Algunos perfiles de riesgos:Para cada uno de los ocho componentes del modelo de negocios, se establecen:-Objetivos mensurables-Riesgos que pueden comprometer el logro de los objetivos.-Cuantificación de riesgos inherentes basada en su impacto social, su probabilidad de ocurrencia.-Controles vigentes o disponibles para mitigar los riesgos.-Cuantificación del riesgo residual.-Decisión documentada sobre el riesgo residual.

¿Cómo se lleva adelante un programa E.R.M.?El proceso E.R.M. es similar al proceso presupuestario, para ello se deben:-establecer y formular en forma mensurable los objetivos.-identificar los riesgos asociados con los objetivos.-establecer un consenso sobre la base de datos objetivos y convicciones de la Alta Gerencia.

METODOLOGÍA PARA IDENTIFICAR RIESGOSUna herramienta útil para el planeamiento estratégico en general, y para el E.R.M. en particular, es la Matriz de Estrategia Competitiva de M. Porter:

RIESGO RESIDUAL: Es el riesgo que permanece después de que la empresa haya formalizado una ejecución del E.R.M.

RIESGO INHERENTE: El que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto.

Decisión del riesgo residual: El “T.R.A.P.”

Terminar: Abandonar la actividad por excesivamente riesgosaReducir: Fortalecer controles o implementar nuevos controles.Aceptar: Tomar el riesgoPasar: Contratar, por ejemplo una póliza de seguro

Para la incidencia de los riesgos inherentes se puede establecer un mapa de riesgos, por ejemplo:

¿Cúales son las claves para evaluar o auditar un programa del

E.R.M.?

Control Presupuestario Administración del riesgo1- Comparación cifras reales con las presupuestadas.

1-Comparación de riesgos identificados con los efectos reales.

2- Acciones para corregir desvíos (oportunidades y resultado)

2- Acciones para corregir desvíos (oportunidades y resultados)

3- Comparación contra competidores y mercado.

3- Comparación contra competidores y mercado.

MODALIDADES DE FRAUDE

Estructura del E.R.M.:

¿Es un gasto o es una inversión?Definitivamente es una inversión porque previene riesgos, pérdidas, fraudes, incobrabilidades, sanciones regulatorias, volatilidad, y …en muchos casos, hubiera prevenido ….quiebras…..

Conclusiones:

Un programa E.R.M. debe contribuir a:

Formular y comunicar mejor los objetivos Identificar y ponderar mejor los riesgos Optimizar el menú de controles y acciones para mitigar los riesgos. Alinear riesgos con estrategia Optimizar la estrategia y obtener mejores resultados económicos.

Bibliografía:

-Libro de Control Interno y Fraudes por Ciclos Transaccionales de Rodrigo Estupiñán Gaitán-Libro de Administración o Gestión de Riesgos E.R.M. y la Auditoría Interna de Rodrigo Estupiñán Gaitán-Normas de Auditoría Interna del IIAA. Instituto Internacional de Auditoría Interna.-Libro de Modalidades de Lavado de Dinero y Activos de Miguel Cano y Phd.Danilo Lugo.-El Tiempo y Portafolio – Sección de Wall Street Journal-Ponencia sobre “Auditoría Forense y los delitos de cuello blanco” presentada en el simposio de revisoría fiscal en Cartagena en septiembre de 2002.-Ponencia sobre "Auditoria Forense" presentada en la XXIV Conferencia Interamericana de Contabilidad de Punta del Este de Uruguay en noviembre de 2001.-Revistas del I.N.C.P. y de la A.I.C.-Investigaciones del Grupo Financiera Internacional GAFI ó FATF (sigla en inglés)-Conferencias de Miguel A. Cano (q.e.p.d), Phd. Danilo Lugo y René M. Castro.

-Simposio de Auditoría Forense en ciudad de Panamà – Rodrigo Estupiñán Gaitán