Auditora Basada en Riesgos

Juan E. Muoz Gir

Director Corporativo de Riesgo Banco Nacional de Costa Rica

En

su constante evolucionar, las instituciones y las empresas determinan objetivos y metas que justifican su existencia. Sin embargo, tambin ellas deben reconocer que la consecucin de estos objetivos y de estas metas est condicionada por la presencia de riesgos que, en algunos casos, pueden atrasar el cumplimiento de los planes, o bien cambiarlos, pero que en otros pueden significar la desaparicin de la organizacin. En buena medida, el reconocimiento de los riesgos est explcito en los anlisis FODA cuando los administradores de la empresa identifican las debilidades y las amenazas con las que se enfrentan. Pero hay ms. Las mismas fortalezas y oportunidades encierran riesgos, tal vez imperceptibles, pero que pueden hacer perder el norte de una institucin si el enfoque de la organizacin est mal hecho o mal ponderado. Si a esto se le suma la posibilidad de no contar con informacin oportuna sobre los costos asociados con los riesgos y en ausencia de un sistema eficiente de controles y de auditora, la institucin podra estar caminando sobre un terreno frgil y desconocido.

Es en este contexto como se entendera el concepto de riesgo. Precisamente

el trmino riesgo es uno de esos que cotidianamente aparece cientos de veces y con significados diferentes. Entre estos significados se pueden encontrar los siguientes:

1. 1. En la teora de la gestin y la estrategia de los negocios, riesgo es uno de los componentes del continuum de oportunidades, que lleva a resultados favorables y desfavorables y que est asociado con probabilidades frecuencia de materializacin. El riesgo es la discontinuidad de este continuum. Es lo inesperado. 2. 2. En la teora de las decisiones, riesgo es: a) una propiedad de las diversas opciones que hace que el individuo que las enfrenta las pueda diferenciar; b) que las pueda ordenar bajo algn esquema de jerarqua; y c) que les pueda asignar alguna medida tal como el promedio y la variancia. 3. 3. Para las ciencias del comportamiento, riesgo es la percepcin de riesgo. Los individuos no tienen un comportamiento completamente racional cuando se les enfrenta con las mismas opciones pero con diferentes trminos. 4. 4. En la teora financiera, riesgo es el elemento cuantificable de potenciales prdidas asociadas con la tenencia de activos, sean inversiones o crditos. 5. 5. En el rea de seguridad ambiental y salud ocupacional, el riesgo se asocia con los peligros de las tareas y operaciones. 6. 6. Para la auditora, el riesgo se enfoca en los efectos de las prdidas de activos. 7. 7. Para la industria de los seguros, el riesgo y su gestin se enfoca en funciones de probabilidad de prdidas de eventos que se materializaran.

En trminos generales, riesgo es un concepto que se utiliza para expresar

la incertidumbre de eventos y resultados que podran ejercer un efecto adverso en los objetivos y las metas de la organizacin.

Lo que se puede concluir de estas definiciones es que el riesgo surge de la

incertidumbre. Es la exposicin a la posibilidad de enfrentar prdidas o ganancias, lesiones o retrasos, como consecuencias de alcanzar un curso de accin particular. El concepto de riesgo se asocia con la posibilidad o

probabilidad de que algo suceda y con las consecuencias de que ese algo suceda.

En aos recientes, la naturaleza y las implicaciones del concepto de riesgo

han cambiado y se han ampliado para incorporar un componente clave de la administracin corporativa. Aquellos a cargo de administrar los riesgos de la corporacin ya no se dedican a comprar seguros, sino a desarrollar prcticas y procesos que apoyen la gestin estratgica de la administracin.

De hecho, el nuevo paradigma de la administracin corporativa ha cambiado

de una auditora basada en el control a una basada en los riesgos. Tanto la auditora interna como la gestin del riesgo han evolucionado a la luz de corporaciones cada vez ms globalizadas en sus negocios. Con estos auspicios, los profesionales del riesgo tienen que investigar los principios y las prcticas de la nueva gestin de riesgo y descubrir posibles variaciones de ste y las tcnicas que pueden ser aplicadas para un proceso de auditora y control ms eficiente y efectivo.

El nuevo paradigma en la gestin de riesgos reconoce que los riesgos son la

fuerza conductora de la actividad de una organizacin. La administracin corporativa, entendida como la responsabilidad compartida de todos los ejecutivos de una empresa, es la respuesta de la empresa ante el riesgo. Tambin se reconoce que esta respuesta depende del sector en el que se desempean las actividades de la organizacin y que, como tal, no existen procedimientos nicos para controlar el riesgo. No existe una nica solucin o una nica matriz o una nica bola de cristal. En vez de esto, se hace indispensable el compartir la informacin, el trabajar coordinadamente y no en feudos, el trabajar con flexibilidad, creatividad y buen tino ante lo incierto. El problema es ahora de orden corporativo.

En

el contexto de objetivos y metas, el riesgo se entiende como la incertidumbre que existe en su consecucin. En cualquier tipo de organizacin, sea pblica o privada, con fines de lucro o sin ellos, los administradores hacen planes y toman decisiones sobre cmo utilizar sus recursos y sus activos para alcanzar objetivos y metas en un entorno de incertidumbre. El riesgo, en su forma de amenazas, debilidades y oportunidades, ejerce su influencia sobre la consecucin de stos por medio de la exposicin de prdidas a la que somete a los recursos y a los activos, y por

medio, tambin, de su eventual materializacin en procesos y controles operativos.

En este entorno de incertidumbre, cul es el papel del auditor interno y de la

funcin de auditora? De conformidad con el Committee of Sponsoring Organizations of the Treadway Commission, la auditora interna es parte del proceso corporativo que le brinda a la organizacin la seguridad sobre la eficiencia y la efectividad de las operaciones, del cumplimiento de las leyes y las regulaciones y de la exactitud y confianza de los informes financieros y contables.

Dentro

de este papel, la auditora interna debe regirse por principios de administracin de riesgo que se pueden resumir en los siguientes aspectos: 1. 1. Incorporar al universo de los asuntos de auditora la visin de riesgo que tiene la organizacin. 2. 2. Desarrollar procesos de auditora basada en riesgos e incorporarlos en los planes anuales de la auditora. 3. 3. Darle seguimiento al plan comercial y ajustar el plan de la auditora ante cambios en el primero. 4. 4. Utilizar tcnicas y procedimientos de riesgo cuando se realiza la auditora. 5. 5. Informar a los administradores y responsables de la organizacin los resultados de las auditoras con un lenguaje de riesgos y no de control interno.

En

consideracin de este vademcum cabe formular la siguiente pregunta: ustedes, seores auditores, definen el trabajo de auditora y el modelo de evaluacin independientemente de las ideas y de los planes de los administradores de la organizacin?; o los definen en funcin de los planes estratgicos de la organizacin? Aunque los dos enfoques son vlidos desde el punto de vista de la prctica de auditora generalmente aceptada, el segundo proporciona un mayor valor agregado a la organizacin. Si la auditora interna tiene un acceso completo a los planes estratgicos de la organizacin, a su direccin estratgica, al anlisis del entorno de riesgos, a la definicin de los objetivos y metas, entonces ser posible contar con un universo de auditora ms completo y efectivo para sus propsitos.

Misin Visin

Plan estratgico

Universo de auditora

Conceptos y cultura corporativa

Modelo de riesgos

Plan anual de auditora

Para llevar a cabo esta nueva misin, la auditora interna debe comprender
que la tarea de los administradores es la de tomar ventaja de las oportunidades para materializar ganancias, pero mitigando prdidas y amenazas. La ponderacin de estos elementos, ganancias-prdidas y oportunidadesamenazas, es lo que se conoce como anlisis de riesgo. El anlisis de riesgo no pretende predecir el futuro. Su objetivo es el de comprender y administrar efectivamente la incertidumbre que rodea los planes y las decisiones.

Con el propsito de definir el plan anual de auditora, se debe partir de la

asociacin entre el plan estratgico y el universo de la auditora, lo que implica extraer la informacin relevante y expresarla en trminos observables y, de ser posible, conmensurables. Posteriormente, el ejercicio se debera enriquecer con la definicin de escenarios de riesgos, los cuales incluyen la definicin e identificacin de factores de riesgos y de modelos de riesgos. Por ltimo, en el plan de auditora se debe reflejar el ranking de riesgos identificados en las etapas previas.

La

dificultad asociada con el riesgo del negocio es su evaluacin, ya que algunos de sus atributos son cualitativos o tal vez se expresan en trminos muy generales y con poca precisin. El proceso de valoracin del riesgo incluye su cuantificacin, y cuando sta no es posible, se hace necesario, entonces, discutir el concepto, el alcance y las consecuencias del riesgo con el propsito, al menos, de formarse una idea de su severidad y frecuencia.

El primer paso en el anlisis del riesgo es su evaluacin. Antes de disear

procedimientos para su administracin, el riesgo tiene que ser identificado, medido y asignado a un nivel de prioridad. Para su identificacin se puede aplicar el enfoque del activo, el enfoque del entorno externo o el enfoque de amenaza.

Su medicin involucra factores tales como la tica del trabajo, la idoneidad

del personal, la cuanta de los activos, la complejidad de las operaciones, los resultados de auditora previa y otros. La cuantificacin del riesgo implica la transformacin de informacin cualitativa y subjetiva en nmeros ya sea mediante mtricas avanzadas scoring o ponderaciones de factores. Tambin se puede expresar en trminos de probabilidades, de tablas normativas o de comparaciones ranking.

La asignacin de prioridades risk ranking permite a la organizacin, en

general, y a la auditora, en particular, fijar su atencin en los riesgos de mayor severidad. La eficacia en la administracin del riesgo depender, en buena medida, del enfoque global o macro que de los riesgos se llegare a hacer. Sin embargo, y esto es muy importante, la gestin del riesgo, entendida como su control, eliminacin, minimizacin o transferencia, es una funcin exclusiva y nica de la administracin de la organizacin. La funcin de la auditora en este caso est directamente relacionada con el anlisis que debe llevar a cabo en proporcin con la magnitud de los riesgos que se han identificado.

Un ejemplo simple se puede desarrollar al considerar, dentro del proceso de

identificacin de los riesgos de una organizacin, aquellos relacionados con los siguientes factores: 1. 1. Riesgo de poltica corporativa: es el riesgo de que el diseo de la poltica sea deficiente y que no coincida con los objetivos y con la realidad del entorno. 2. 2. Riesgo operativo: es el riesgo de que la puesta en marcha de la poltica corporativa est condicionada por procesos y procedimientos inadecuados.

3. 3. Riesgo presupuestario: es el riesgo de no asociar correctamente los objetivos, las metas y los planes con la disponibilidad de fondos o bien que por controles insuficientes, deficientes o ausentes, el presupuesto no se administre bien e impida alcanzar los objetivos y las metas. 4. 4. Riesgo de reputacin: es el riesgo de que la prdida de confianza en la organizacin o en sus administradores impida el correcto uso de los fondos o que no se le tenga confianza a lo que se est haciendo, todo ello en detrimento de la consecucin de los planes.

Una vez que el modelo global de auditora ha sido definido, una vez que
los factores de riesgo y su clasificacin por importancia han sido determinados, la auditora interna puede enfocarse en aquellos procesos que individualmente representan las mayores amenazas para la institucin. Para ello debe tener claras las tres dimensiones del riesgo: la severidad con la que se presenta, la frecuencia con la que ocurre y la vulnerabilidad de la empresa ante el riesgo. La conjuncin de las tres dimensiones definen la gestin de los riesgos y la estrategia para su auditora.

Es

importante tambin que este papel de la auditora interna est claramente diferenciado de las responsabilidades que competen a los administradores de las organizaciones. De hecho, es una tarea muy difcil separar las funciones de control interno, responsabilidad de la administracin, de las de la auditora. Para ello hay que tener presente que esas responsabilidades se pueden resumir en las siguientes: 1. 1. Para la Junta Directiva: Aprobar los lmites tolerables de riesgo. Conocer y comprender los lmites que asume la organizacin. Garantizar la existencia de los recursos necesarios para la gestin de riesgos. Fomentar una cultura de control y gestin de riesgos. 2. 2. Para la Gerencia: Recomendar los lmites tolerables de riesgo. Decidir sobre los lmites tolerables en los procesos y procedimientos.

Tomar las decisiones de gestin de riesgos. Analizar los resultados en funcin de los riesgos. Reasignar patrimonio en funcin de los riesgos. Aprobar recursos y organizar la gestin de riesgos. Aprobar la informacin sobre riesgos.

Para el Banco Nacional de Costa Rica, la experiencia en la gestin de riesgos

ha constituido un proceso continuo y sin interrupciones desde el mes de setiembre del ao 1998, cuando el Gerente General, el Lic. William Hayden Quintero, estableci la Direccin de Gestin Global de Riesgo. Desde entonces, el anlisis de riesgo del Banco Nacional ha venido incorporndose no solamente en las decisiones de las autoridades superiores, sino tambin en la forma de pensar y actuar de la administracin. Se ha estado creando constantemente la cultura de riesgo. Y lo que es ms importante, la Junta Directiva General y la Gerencia General han comprendido la relevancia de la gestin de riesgos.

Este cambio en

la actitud hacia los riesgos se reflej en la creacin de la Direccin Corporativa de Riesgo, en febrero del presente ao. Aparte de los riesgos intrnsecos a la actividad bancaria, la nueva dependencia incorpor el control de riesgos operativos. En este punto es muy importante destacar el apoyo y el aporte que le ha brindado la Auditora Interna a la nueva funcin de riesgos en manos de la administracin. El Lic. Marvin Arias, Auditor Interno del Banco, ha tenido siempre muy claro el papel de cada instancia en la gestin y en el control de los riesgos. l ha abierto brecha en un rea en la que no se tiene conocimiento pleno ni experiencia apropiada. Pero lo ha hecho con acierto y sin egosmos. La conjuncin de estos elementos ha redundado en una gestin de riesgos ms eficiente y efectiva.

En

el campo propiamente del control interno, la Direccin Corporativa de Riesgo cuenta con una Direccin de Riesgos Operativos, encargada de la identificacin, evaluacin y prevencin de riesgos de diversas naturalezas. Bajo su responsabilidad se encuentra la coordinacin de las Contraloras Regionales, instancias administrativas del control operativo que tienen a su cargo la deteccin, prevencin y correccin de problemas asociados con la operacin del Banco.

Todava

no se ha avanzado todo lo que se desea, pero el inicio ha sido auspicioso. El Banco Nacional ha comprendido la importancia de salvaguardar sus activos, que en definitiva son los activos de una buena parte de la sociedad costarricense. Para ello cuenta con el compromiso de su Junta Directiva, con la autoridad de la Gerencia General, con el consejo de la Auditora Interna y el trabajo de la Direccin Corporativa de Riesgo.

ANEXO Algunos Tipos de Riesgos

Riesgo genrico Riesgos de propiedad Riesgo especfico Terrorismo Fenmenos naturales Fuego Robos y fraudes Asaltos Negligencia Salud y seguridad de los empleados Leyes laborales Contratos mal especificados Propiedad intelectual Riesgos de mercado Riesgo de reputacin Seguridad fsica Sistemas de informacin Procedimientos de acceso Cadas de sistemas Confidencialidad Aspectos tcnicos Leyes de competitividad Proteccin de informacin Leyes tributarias Procedimientos publicitarios Leyes econmicas Poderes generales Libertad comercial Derechos de propiedad Ineficiencia de operaciones Informacin inexacta Procesos inadecuados e ineficientes Uso inapropiado e ineficiente de los recursos rea afectada Edificios Equipos Automviles Tesoreras Agencias y sucursales Todos los funcionarios

Riesgos de activos monetarios Riesgos humanos

Riesgos comerciales

Riesgos de informacin

Contratos con clientes, proveedores, socios. reas de comunicaciones Mercados financieros Documentacin Archivos de informacin

Riesgos legales

reas comerciales reas financieras

Riesgos polticos

reas comerciales reas financieras Todas las reas

Riesgos operativos