Auditoría Interna

La auditoría de desempeño frente a un enfoque de administración de riesgos de negocio

Detalles

Normalmente, cuando le comento a alguien que me dedico al análisis y administración de riesgos, el primer comentario se enfoca a seguros, mientras que en otras pocas ocasiones se habla de manejo de instrumentos financieros. Por otro lado, cuando hablo de auditoría interna, inmediatamente, mencionan aspectos técnicos contables, o revisión de inventarios y procedimientos de control interno sobre generación de información financiera.

 

No puedo decir que están completamente equivocados, sin embargo, dicha visión sobre la administración de riesgos, y la auditoría interna, es limitada tanto en su definición como en su interrelación.

El siguiente artículo se enfoca a dos aspectos:

  1. Lograr una visión integral, resumida, sobre lo que significa la administración de riesgos, y algunos conceptos básicos de dicho proceso.
  2. Entender la integración del concepto antes mencionado con auditoría interna.

Es importante mencionar que algunos de los temas aquí mencionados, son sumamente extensos, por lo que un análisis posterior pudiese ser necesario para lograr generación de valor en cuanto al concepto.

 

Antecedentes de la administración de riesgos

 

Hoy, más que nunca, en esta época de cambio constante y fuerte competencia, las organizaciones buscan lograr sus objetivos y cubrir las expectativas de los accionistas. Las prácticas consideradas eficientes, indican que la forma de lograrlo es a través de un proceso eficiente de planeación estratégica, medición del desempeño en tiempo real, capacidad de reacción ante desviaciones a plan, integración de la tecnología con los procesos de negocio y el uso eficiente del recurso humano y financiero, entre otros.

Un verdadero proceso de análisis-administración de riesgos, se debe dar en todos los temas antes mencionados, y cualquier otro que pudiera llegar a interferir con el logro de los objetivos del negocio. Como ejemplo podemos mencionar riesgo de crédito, imagen-reputación, operación, legal, político, tecnológico, comercial, financiero, físico, etcétera.

La esencia de todo se encuentra en la definición de “riesgo”. Para efectos de la Administración de Riesgo o Enterprise Risk Management (ERM), se considera como riesgo a “cualquier evento, situación, acción o factor que interfiera con el logro de los objetivos del negocio”. Por lo tanto, analizando a detalle la definición, la administración de riesgos nace desde la estrategia del negocio, expandiéndose mediante su operación y considerando cualquier factor externo que pudiese tener un impacto significativo entre lo logrado y lo inicialmente esperado.

 

¿Por qué surge el concepto de administración de riesgos?

 

El concepto de administración de riesgos, no es nuevo. A través del tiempo todos los hombres de negocios coinciden en buscar, entre otras cosas, incrementar sus resultados, mejorar su operación, permanecer competitivos, estar preparados ante contingencias, etc. Podríamos decir que están pendientes de cualquier situación que pudiera afectar sus expectativas, para reaccionar en las circunstancias. La diferencia principal entre lo que hacían dichos hombres de negocios y un proceso moderno de análisis de riesgos, se centra en los siguientes puntos, principalmente:

 

  • Un proceso de administración de riesgos debe estar documentado.
  • No depende de sólo un hombre.
  • Es validado mediante la organización.
  • Como consecuencia del mismo, se planean y formalizan acciones con fechas límite y responsables.
  • Se cuantifican los impactos.
  • Se toman acciones previas, ante posibles eventos adversos, sin esperar a que se dé un primer impacto en contra de la organización.

Lo antes mencionado suena sencillo; sin embargo, requiere disciplina, planeación, metodología y, sobre todo, apoyo de la alta dirección para que el proceso genere un retorno para la organización.

 

Otro punto clave en un proceso de administración de riesgos se localiza en el concepto de “administración”, el cual se relaciona con un aspecto de:

  • Temporalidad, que hace referencia a un proceso dinámico a ser seguido, supervisado y actualizado sobre bases recurrentes. La administración de riesgos no es una actividad que se pueda realizar en marzo del presente año, y que se actualice 12 meses después.
  • Manejo de situaciones específicas. El que administremos un proceso significa que tenemos el control del mismo, y nuestras decisiones/acciones tienen un efecto de control/anticipación a los resultados.

A continuación vemos la gráfica 1 que muestra la respuesta de una organización ante el riesgo, y algunos aspectos que ejemplifican la misma.

 

 

 

¿Cómo desarrollar un análisis de riesgos?

 

Obviamente existen diversas metodologías para implementar una administración de riesgos, sin embargo, se pueden resumir sus objetivos en lo siguiente:

 

  • Entendimiento integral del negocio y aspectos que le afectan (modelo de negocios).
  • Identificación y administración de riesgos en estrategia.
  • Identificación y administración de riesgos en los procesos clave y soporte de negocio.

Modelo de negocios y estrategia

Durante un proceso de administración de riesgos no podemos llegar a conclusiones sobre riesgos aislados. Es necesario conocer el universo a analizar, sumarizar dichos riesgos, compararlos contra nuestra operación integral, y entonces estaremos en posibilidad de llegar a una conclusión integrada.

El Modelo de Negocios es la herramienta que nos ayuda a entender, y delimitar dicho universo. En un modelo de negocios se deben considerar, entre otros, los siguientes puntos:

 

• Factores externos

 

Como puede ser la legislación sobre la que opera el negocio, sus clientes, proveedores, capacidad de negociación con ambos, reguladores, ambiente económico, moda, etcétera.

 

• Procesos de negocio

 

Conjunto de actividades ligadas con un fin específico para generar valor al cliente, y por lo tanto a la empresa. Pueden ser divididos en procesos estratégicos, claves de negocio y de administración. (No confundir con las funciones de la organización, como son finanzas, ventas, producción, tesorería, entre otros.)

 

• Productos y servicios

 

Qué es lo que ofrezco al mercado.

 

• Clientes y mercado

 

A quién dirijo mi producto y a dónde lo desplazo.

 

• Alianzas

 

Con quién me apoyo, en caso de utilizar servicios de terceros en aspectos clave para mi entrega de producto/servicio (delivery).

 

El análisis de riesgos en el nivel estratégico estudia la dirección hacia donde se perfila la organización y el momento en el tiempo en el que busca alcanzar sus objetivos. ¿Qué espera lograr, cómo espera lograrlo, con qué recursos, en qué periodo de tiempo? entre otros. Resumiendo, la estrategia es el plan maestro de la organización, considerando todos los factores que la afectan, y cuyo objetivo es trazar el camino para lograr la misión establecida. El modelo de negocio es la esquematización de dicha estrategia, más los factores no controlables, que afectan el negocio.

 

Como se puede observar un modelo de negocio está directamente ligado con la estrategia y estructura organizacional.

 

Nivel de procesos

 

El análisis de riesgos a nivel proceso analiza los flujos de las operaciones y actividades diarias, que soportan el plan maestro antes mencionado. Qué actividades se desarrollarán, cómo se realizarán, quién estará a cargo, qué controles existen, cómo se evaluará su desempeño entre otros.

 

El análisis de procesos se puede dividir en tres, dependiendo del enfoque de la actividad a realizar:

 

a) Procesos estratégicos

 

Debido a la dinámica de negocios, la estrategia debiera contar con un proceso formalizado, que asegurara su actualización, revisión, entre otros.

 

b) Procesos clave de negocio

 

Actividades directamente ligadas a la esencia de la organización.

 

c) Procesos de administración o back office

 

Actividades necesarias para lograr los resultados, de apoyo a los procesos clave, sin embargo, no necesariamente con relación directa a la naturaleza del negocio (por ejemplo, administración de la información financiera, sistemas de información, administración y mantenimiento de activos fijos, entre otros).

 

A pesar de existir una separación entre los tres tipos de proceso arriba mencionados, es importante aclarar que los mismos son complementarios en cuanto a la calidad total de servicio entregada al cliente.

 

Dentro del análisis de riesgos, existen tres factores primordiales a revisar en la etapa de análisis de procesos:

 

  1. Definición del objetivo del proceso, el cual debe estar plenamente alineado con el resto de los procesos de la organización, logrando así una sinergia hacia la consecución final de la misión.
  2. Identificación de las actividades consideradas críticas para lograr éxito en el proceso particular.
  3. Identificación y funcionamiento, adecuado y en tiempo, de indicadores de gestión que permitan medir el desempeño del proceso y sirvan como medidor sobre posibles variaciones que pudieran necesitar acciones correctivas en forma inmediata.

Los procesos debieran estar automatizados considerando los costos y las circunstancias particulares y deberán incluir controles que satisfagan el cumplimiento razonable del proceso, considerando las expectativas de la gerencia en cuanto a impacto y recurrencia de los errores potenciales.

 

No existen procesos o actividades eficientes por si mismos. Su eficiencia, en gran parte, se logra a través del correcto diseño de dichas actividades buscando que, relacionándose entre sí, logren el fin último del negocio.

 

¿Qué hacer cuando ya identifiqué algunos riesgos?

 

Una vez que se tienen los riesgos identificados, se puede considerar que está finalizado el proceso a 50%. La siguiente pregunta será ¿Y ahora que hacemos con un listado de 500 riesgos divididos y categorizados en procesos, funciones, cuentas contables, entre otros? La respuesta es “medir los riesgos para clasificarlos y poder tomar decisiones sobre los mismos”. Recordemos que:

 

  1. Los recursos de la organización son finitos, y por lo tanto es posible que no tengamos capacidad  para atacar todos los riesgos
  2. El tener un riesgo no es malo. A cualquier acción corresponde una reacción, y el simple hecho de estar en el mundo de los negocios, significa que tendremos que lidiar con riesgos, sin embargo, “¿realmente quiero eliminar ciertos riesgos?” ¿Es de costo-beneficio el invertir en su mitigación o transferencia?

Medición de los riesgos

 

En un análisis de riesgos, los riesgos identificados deberán ser, dentro de lo posible, cuantificables. Esto permitirá a la gerencia el decidir el tipo de acción a tomar, y si vale la pena actuar, contra el riesgo al cual se enfrenta.

 

Una forma de presentar los riesgos en forma sencilla y comprensible, puede ser a través de una matriz que relacione el posible impacto en caso de que el evento adverso ocurra (costo de que el riesgo se haga realidad), contra la posibilidad de ocurrencia estimada de dicho riesgo (frecuencia con que se calcula se presentará el error, evento o falta de control).

 

Un ejemplo de la matriz de riesgo con que pueden presentarse los resultados es como se muestra en la gráfica 2.

 

 

 

El tema de medición de riesgos es sumamente amplio y complejo. Para realmente poder medir los riesgos se debe entrar a temas como simulaciones, estadística (por ejemplo, método de MonteCarlo) entre otros. La dificultad de medición del riesgo depende de qué tan cuantificables son las operaciones de dicha actividad, o la medición de su futuro (variables incluidas). Como ejemplo se puede comparar la medición de riesgo de partidas no conciliadas en una conciliación contra la estimación de un bajo nivel de servicio al cliente, y por lo tanto pérdida de ingresos futuros e imagen ante clientes potenciales. El segundo caso será sumamente difícil de cuantificar. Posible pero complejo.

 

En conclusión, la administración de riesgos requiere, identificar aquello que se considera crítico para los logros y objetivos del negocio, y analizar si existe el control, suficiente tanto en diseño como efectividad, para mitigar dichos riesgos.

 

Concepto básico de auditoría interna

 

Ligando el segundo tema de este artículo, tenemos a la auditoría interna.

La definición de auditoría interna, según el Instituto de Auditores Internos (IIA) es la que sigue:

“La auditoría interna es una actividad independiente-objetiva, con enfoque de aseguramiento y consultoría. Esta diseñada para aportar valor y mejorar la operación de una organización. Ayuda a la organización a lograr sus objetivos al incluir un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad en la administración de riesgos, controles y procesos de Gobierno Corporativo”.

 

La definición arriba mostrada, podría sorprender a más de uno, en cuanto a los siguientes temas:

a) Con enfoque de consultoría.

b) Para aportar valor y mejorar la operación.

c) Como apoyo para lograr objetivos y mejorar la operación.

d) Para mejorar la efectividad en la administración de riesgos.

e) Enfocada a procesos y gobierno corporativo.

 

No suena al tradicional alcance contable, que mucha gente suele atribuirle al Auditor Interno. Su alcance es mucho mayor.

 

Al parecer, tiene un enfoque directo a apoyar los objetivos del negocio y apoyar a la productividad; sumada en términos de tiempo-costo-calidad (hacer las cosas al menor tiempo, en el menor costo, y manteniendo un estándar mínimo de calidad). Sin negar por supuesto los conceptos tradicionales de generación de información financiera y control relacionado a dicho tema.

 

Por lo tanto, y recordando el alcance del tema relativo a administración de riesgos, ¿no suena viable el fusionar los dos temas?

 

¿Qué tal si logramos desarrollar programas de auditoría interna, con enfoque de supervisión y vigilancia sobre el cumplimiento y grado de avance sobre aquellos temas considerados críticos por parte de la administración de riesgos? Es decir, utilizando la información generada en el esfuerzo de administración de riesgos.

 

Si auditoría interna tuviera la capacidad y el enfoque para abordar dichos temas (críticos) ¿No sería viable y probable que tanto la Alta Dirección como el Consejo, aceptaran a auditoría interna como un grupo de alto impacto, donde vale la pena dedicarle más tiempo e inversión?

 

Las técnicas y conceptos básicos de auditoría interna no cambian; lo que cambia es el alcance de auditoría interna, así como su enfoque a la organización y el cumplimiento de sus objetivos, liberando el axioma tradicional de que auditoría interna se limita a aspectos contables/administrativos.

 

Obviamente para esto se requiere un gran esfuerzo, así como una transformación integral en cuanto a temas de organización / gente, procesos y tecnología para el área de auditoría interna. Sin embargo, es la única forma de lograr que auditoría interna pase de ser un centro de costos a un área generadora de valor.

 

Conclusión

 

Una de las preguntas comunes que desarrollo para áreas de auditoría interna, es ¿Cuánto tiempo les dedica su Director General al mes? Normalmente, la respuesta es menos de un par de horas, o en algunas ocasiones nada. Reflexionando sobre la respuesta, podemos intuir que “No hablan el mismo idioma”. Mientras que el Director General, o miembros de Consejo/Comités tienen diversas preocupaciones e inquietudes sobre el negocio; auditoría interna focaliza sus esfuerzos en otro tipo de temas “normalmente más transaccionales”.

 

Obviamente, el rol tradicional de auditoría interna, enfocado a aspectos de cumplimiento de controles tradicionales de generación de información financiera, sigue siendo importante. Sin embargo, el alcance de la función es mucho mayor.

 

Auditoría interna debe ser un área de vigilancia sobre los objetivos del negocio, donde temas como el Balance ScoreCard o indicadores clave de gestión, deben ser parte de su materia prima para “vigilar y evaluar” tanto cumplimiento como expectativas. Para un negocio puede llegar a ser mucho más trascendente el vigilar aspectos como servicio al cliente, cadena de suministro y control de mermas en la producción, que faltantes de caja chica.

 

El día que la auditoría interna logre esta transformación, el nivel directivo no sólo hablará más con la función, sino que la considerará su aliada al descubrir que se multiplican sus ojos para vigilar aquellos temas que considera realmente trascendentes, y dónde se encuentra la verdadera inversión de la organización.

 

El tema es una relación directa de ganar-ganar. Por un lado, la Dirección y el Consejo descansan su función de vigilancia sobre lo que consideran crítico, en un área capacitada para ello, permitiéndose invertir su tiempo en aspectos más estratégicos y de crecimiento; mientras que, por otro lado, auditoría interna expande su operación dentro del negocio.

 

Algunas organizaciones consideran esta sugerencia como un tema de evaluación para “mayor generación de valor”; sin embargo, se ha vuelto tan trascendente que, en otras dimensiones, algunos reguladores lo han visto como una necesidad obligada (por ejemplo, la Ley Sarbanes-Oxley, la nueva Ley del Mercado de Valores, entre otras). Sabemos que esta transformación cuesta, pero se sugiere no verla como un costo, sino como una inversión.

 

Obligación o valor, es una gran disyuntiva; sin embargo, al menos vale la pena considerarlo. Es poco probable que ambas visiones estén equivocadas.

 

C.P. Jesús González Arellano

Director de Risk Advisory

Services - IAS, KPMG México

Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado