Auditora Basada en Riesgos

Juan E. Muoz Gir

Director Corporativo de Riesgo
Banco Nacional de Costa Rica

En

su constante evolucionar, las instituciones y las empresas determinan

objetivos y metas que justifican su existencia. Sin embargo, tambin ellas
deben reconocer que la consecucin de estos objetivos y de estas metas est
condicionada por la presencia de riesgos que, en algunos casos, pueden
atrasar el cumplimiento de los planes, o bien cambiarlos, pero que en otros
pueden significar la desaparicin de la organizacin. En buena medida, el
reconocimiento de los riesgos est explcito en los anlisis FODA cuando los
administradores de la empresa identifican las debilidades y las amenazas con
las que se enfrentan. Pero hay ms. Las mismas fortalezas y oportunidades
encierran riesgos, tal vez imperceptibles, pero que pueden hacer perder el
norte de una institucin si el enfoque de la organizacin est mal hecho o mal
ponderado. Si a esto se le suma la posibilidad de no contar con informacin
oportuna sobre los costos asociados con los riesgos y en ausencia de un
sistema eficiente de controles y de auditora, la institucin podra estar
caminando sobre un terreno frgil y desconocido.

Es en este contexto como se entendera el concepto de riesgo. Precisamente

el trmino riesgo es uno de esos que cotidianamente aparece cientos de veces
y con significados diferentes. Entre estos significados se pueden encontrar los
siguientes:

1. En la teora de la gestin y la estrategia de los negocios, riesgo es uno

de los componentes del continuum de oportunidades, que lleva a
resultados favorables y desfavorables y que est asociado con
probabilidades frecuencia de materializacin. El riesgo es la
discontinuidad de este continuum. Es lo inesperado.
2. En la teora de las decisiones, riesgo es: a) una propiedad de las diversas
opciones que hace que el individuo que las enfrenta las pueda
diferenciar; b) que las pueda ordenar bajo algn esquema de jerarqua; y
c) que les pueda asignar alguna medida tal como el promedio y la
variancia.
3. Para las ciencias del comportamiento, riesgo es la percepcin de riesgo.
Los individuos no tienen un comportamiento completamente racional
cuando se les enfrenta con las mismas opciones pero con diferentes
trminos.
4. En la teora financiera, riesgo es el elemento cuantificable de
potenciales prdidas asociadas con la tenencia de activos, sean
inversiones o crditos.
5. En el rea de seguridad ambiental y salud ocupacional, el riesgo se
asocia con los peligros de las tareas y operaciones.
6. Para la auditora, el riesgo se enfoca en los efectos de las prdidas de
activos.
7. Para la industria de los seguros, el riesgo y su gestin se enfoca en
funciones de probabilidad de prdidas de eventos que se materializaran.

En trminos generales, riesgo es un concepto que se utiliza para expresar

la incertidumbre de eventos y resultados que podran ejercer un efecto
adverso en los objetivos y las metas de la organizacin.

Lo que se puede concluir de estas definiciones es que el riesgo surge de la

incertidumbre. Es la exposicin a la posibilidad de enfrentar prdidas o
ganancias, lesiones o retrasos, como consecuencias de alcanzar un curso de
accin particular. El concepto de riesgo se asocia con la posibilidad o

probabilidad de que algo suceda y con las consecuencias de que ese algo
suceda.

En aos recientes, la naturaleza y las implicaciones del concepto de riesgo

han cambiado y se han ampliado para incorporar un componente clave de la
administracin corporativa. Aquellos a cargo de administrar los riesgos de la
corporacin ya no se dedican a comprar seguros, sino a desarrollar prcticas y
procesos que apoyen la gestin estratgica de la administracin.

De hecho, el nuevo paradigma de la administracin corporativa ha cambiado

de una auditora basada en el control a una basada en los riesgos. Tanto la
auditora interna como la gestin del riesgo han evolucionado a la luz de
corporaciones cada vez ms globalizadas en sus negocios. Con estos
auspicios, los profesionales del riesgo tienen que investigar los principios y las
prcticas de la nueva gestin de riesgo y descubrir posibles variaciones de ste
y las tcnicas que pueden ser aplicadas para un proceso de auditora y control
ms eficiente y efectivo.

El nuevo paradigma en la gestin de riesgos reconoce que los riesgos son la

fuerza conductora de la actividad de una organizacin. La administracin
corporativa, entendida como la responsabilidad compartida de todos los
ejecutivos de una empresa, es la respuesta de la empresa ante el riesgo.
Tambin se reconoce que esta respuesta depende del sector en el que se
desempean las actividades de la organizacin y que, como tal, no existen
procedimientos nicos para controlar el riesgo. No existe una nica solucin o
una nica matriz o una nica bola de cristal. En vez de esto, se hace
indispensable el compartir la informacin, el trabajar coordinadamente y no en
feudos, el trabajar con flexibilidad, creatividad y buen tino ante lo incierto. El
problema es ahora de orden corporativo.

En

el contexto de objetivos y metas, el riesgo se entiende como la

incertidumbre que existe en su consecucin. En cualquier tipo de
organizacin, sea pblica o privada, con fines de lucro o sin ellos, los
administradores hacen planes y toman decisiones sobre cmo utilizar sus
recursos y sus activos para alcanzar objetivos y metas en un entorno de
incertidumbre. El riesgo, en su forma de amenazas, debilidades y
oportunidades, ejerce su influencia sobre la consecucin de stos por medio de
la exposicin de prdidas a la que somete a los recursos y a los activos, y por
3

medio, tambin, de su eventual materializacin en procesos y controles

operativos.

En este entorno de incertidumbre, cul es el papel del auditor interno y de la

funcin de auditora? De conformidad con el Committee of Sponsoring
Organizations of the Treadway Commission, la auditora interna es parte del
proceso corporativo que le brinda a la organizacin la seguridad sobre la
eficiencia y la efectividad de las operaciones, del cumplimiento de las leyes y
las regulaciones y de la exactitud y confianza de los informes financieros y
contables.

Dentro

de este papel, la auditora interna debe regirse por principios de

administracin de riesgo que se pueden resumir en los siguientes aspectos:
1. Incorporar al universo de los asuntos de auditora la visin de riesgo que
tiene la organizacin.
2. Desarrollar procesos de auditora basada en riesgos e incorporarlos en
los planes anuales de la auditora.
3. Darle seguimiento al plan comercial y ajustar el plan de la auditora ante
cambios en el primero.
4. Utilizar tcnicas y procedimientos de riesgo cuando se realiza la
auditora.
5. Informar a los administradores y responsables de la organizacin los
resultados de las auditoras con un lenguaje de riesgos y no de control
interno.

En

consideracin de este vademcum cabe formular la siguiente pregunta:

ustedes, seores auditores, definen el trabajo de auditora y el modelo de
evaluacin independientemente de las ideas y de los planes de los
administradores de la organizacin?; o los definen en funcin de los planes
estratgicos de la organizacin? Aunque los dos enfoques son vlidos desde el
punto de vista de la prctica de auditora generalmente aceptada, el segundo
proporciona un mayor valor agregado a la organizacin. Si la auditora interna
tiene un acceso completo a los planes estratgicos de la organizacin, a su
direccin estratgica, al anlisis del entorno de riesgos, a la definicin de los
4

objetivos y metas, entonces ser posible contar con un universo de auditora

ms completo y efectivo para sus propsitos.
Misin
Visin

Plan
estratgico

Universo de
auditora

Conceptos y cultura corporativa

Modelo de
riesgos

Plan anual de
auditora

Para llevar a cabo esta nueva misin, la auditora interna debe comprender
que la tarea de los administradores es la de tomar ventaja de las oportunidades
para materializar ganancias, pero mitigando prdidas y amenazas. La
ponderacin de estos elementos, ganancias-prdidas y oportunidadesamenazas, es lo que se conoce como anlisis de riesgo. El anlisis de riesgo no
pretende predecir el futuro. Su objetivo es el de comprender y administrar
efectivamente la incertidumbre que rodea los planes y las decisiones.

Con el propsito de definir el plan anual de auditora, se debe partir de la

asociacin entre el plan estratgico y el universo de la auditora, lo que
implica extraer la informacin relevante y expresarla en trminos observables
y, de ser posible, conmensurables. Posteriormente, el ejercicio se debera
enriquecer con la definicin de escenarios de riesgos, los cuales incluyen la
definicin e identificacin de factores de riesgos y de modelos de riesgos. Por
ltimo, en el plan de auditora se debe reflejar el ranking de riesgos
identificados en las etapas previas.

La

dificultad asociada con el riesgo del negocio es su evaluacin, ya que

algunos de sus atributos son cualitativos o tal vez se expresan en trminos
muy generales y con poca precisin. El proceso de valoracin del riesgo
incluye su cuantificacin, y cuando sta no es posible, se hace necesario,
entonces, discutir el concepto, el alcance y las consecuencias del riesgo con el
propsito, al menos, de formarse una idea de su severidad y frecuencia.

El primer paso en el anlisis del riesgo es su evaluacin. Antes de disear

procedimientos para su administracin, el riesgo tiene que ser identificado,
medido y asignado a un nivel de prioridad. Para su identificacin se puede
aplicar el enfoque del activo, el enfoque del entorno externo o el enfoque de
amenaza.

Su medicin involucra factores tales como la tica del trabajo, la idoneidad

del personal, la cuanta de los activos, la complejidad de las operaciones, los
resultados de auditora previa y otros. La cuantificacin del riesgo implica la
transformacin de informacin cualitativa y subjetiva en nmeros ya sea
mediante mtricas avanzadas scoring o ponderaciones de factores.
6

Tambin se puede expresar en trminos de probabilidades, de tablas

normativas o de comparaciones ranking.

La asignacin de prioridades risk ranking permite a la organizacin, en

general, y a la auditora, en particular, fijar su atencin en los riesgos de
mayor severidad. La eficacia en la administracin del riesgo depender, en
buena medida, del enfoque global o macro que de los riesgos se llegare a
hacer. Sin embargo, y esto es muy importante, la gestin del riesgo, entendida
como su control, eliminacin, minimizacin o transferencia, es una funcin
exclusiva y nica de la administracin de la organizacin. La funcin de la
auditora en este caso est directamente relacionada con el anlisis que debe
llevar a cabo en proporcin con la magnitud de los riesgos que se han
identificado.

Un ejemplo simple se puede desarrollar al considerar, dentro del proceso de

identificacin de los riesgos de una organizacin, aquellos relacionados con
los siguientes factores:
1. Riesgo de poltica corporativa: es el riesgo de que el diseo de la
poltica sea deficiente y que no coincida con los objetivos y con la
realidad del entorno.
2. Riesgo operativo: es el riesgo de que la puesta en marcha de la poltica
corporativa est condicionada por procesos y procedimientos
inadecuados.
3. Riesgo presupuestario: es el riesgo de no asociar correctamente los
objetivos, las metas y los planes con la disponibilidad de fondos o bien
que por controles insuficientes, deficientes o ausentes, el presupuesto no
se administre bien e impida alcanzar los objetivos y las metas.
4. Riesgo de reputacin: es el riesgo de que la prdida de confianza en la
organizacin o en sus administradores impida el correcto uso de los
fondos o que no se le tenga confianza a lo que se est haciendo, todo
ello en detrimento de la consecucin de los planes.

Una vez que el modelo global de auditora ha sido definido, una vez que
los factores de riesgo y su clasificacin por importancia han sido
determinados, la auditora interna puede enfocarse en aquellos procesos
7

que individualmente representan las mayores amenazas para la institucin.

Para ello debe tener claras las tres dimensiones del riesgo: la severidad con
la que se presenta, la frecuencia con la que ocurre y la vulnerabilidad de la
empresa ante el riesgo. La conjuncin de las tres dimensiones definen la
gestin de los riesgos y la estrategia para su auditora.

Es

importante tambin que este papel de la auditora interna est

claramente diferenciado de las responsabilidades que competen a los
administradores de las organizaciones. De hecho, es una tarea muy difcil
separar las funciones de control interno, responsabilidad de la
administracin, de las de la auditora. Para ello hay que tener presente que
esas responsabilidades se pueden resumir en las siguientes:
1. Para la Junta Directiva:
Aprobar los lmites tolerables de riesgo.
Conocer y comprender los lmites que asume la organizacin.
Garantizar la existencia de los recursos necesarios para la
gestin de riesgos.
Fomentar una cultura de control y gestin de riesgos.
2. Para la Gerencia:
Recomendar los lmites tolerables de riesgo.
Decidir sobre los lmites tolerables en los procesos y
procedimientos.
Tomar las decisiones de gestin de riesgos.
Analizar los resultados en funcin de los riesgos.
Reasignar patrimonio en funcin de los riesgos.
Aprobar recursos y organizar la gestin de riesgos.
Aprobar la informacin sobre riesgos.

Para el Banco Nacional de Costa Rica, la experiencia en la gestin de riesgos

ha constituido un proceso continuo y sin interrupciones desde el mes de
setiembre del ao 1998, cuando el Gerente General, el Lic. William Hayden
Quintero, estableci la Direccin de Gestin Global de Riesgo. Desde
entonces, el anlisis de riesgo del Banco Nacional ha venido incorporndose
no solamente en las decisiones de las autoridades superiores, sino tambin en
la forma de pensar y actuar de la administracin. Se ha estado creando
constantemente la cultura de riesgo. Y lo que es ms importante, la Junta
8

Directiva General y la Gerencia General han comprendido la relevancia de la

gestin de riesgos.

Este cambio en la actitud hacia los riesgos se reflej

en la creacin de la
Direccin Corporativa de Riesgo, en febrero del presente ao. Aparte de los
riesgos intrnsecos a la actividad bancaria, la nueva dependencia incorpor el
control de riesgos operativos. En este punto es muy importante destacar el
apoyo y el aporte que le ha brindado la Auditora Interna a la nueva funcin de
riesgos en manos de la administracin. El Lic. Marvin Arias, Auditor Interno
del Banco, ha tenido siempre muy claro el papel de cada instancia en la
gestin y en el control de los riesgos. l ha abierto brecha en un rea en la que
no se tiene conocimiento pleno ni experiencia apropiada. Pero lo ha hecho con
acierto y sin egosmos. La conjuncin de estos elementos ha redundado en una
gestin de riesgos ms eficiente y efectiva.

En

el campo propiamente del control interno, la Direccin Corporativa de

Riesgo cuenta con una Direccin de Riesgos Operativos, encargada de la
identificacin, evaluacin y prevencin de riesgos de diversas naturalezas.
Bajo su responsabilidad se encuentra la coordinacin de las Contraloras
Regionales, instancias administrativas del control operativo que tienen a su
cargo la deteccin, prevencin y correccin de problemas asociados con la
operacin del Banco.

Todava

no se ha avanzado todo lo que se desea, pero el inicio ha sido

auspicioso. El Banco Nacional ha comprendido la importancia de salvaguardar
sus activos, que en definitiva son los activos de una buena parte de la sociedad
costarricense. Para ello cuenta con el compromiso de su Junta Directiva, con
la autoridad de la Gerencia General, con el consejo de la Auditora Interna y el
trabajo de la Direccin Corporativa de Riesgo.

ANEXO
Algunos Tipos de Riesgos
Riesgo genrico
Riesgos de propiedad
Riesgos de activos
monetarios
Riesgos humanos

Riesgos comerciales

Riesgos de informacin

Riesgos legales

Riesgos polticos

Riesgos operativos

Riesgo especfico
Terrorismo
Fenmenos naturales
Fuego
Robos y fraudes
Asaltos
Negligencia
Salud y seguridad de los
empleados
Leyes laborales
Contratos mal especificados
Propiedad intelectual
Riesgos de mercado
Riesgo de reputacin
Seguridad fsica
Sistemas de informacin
Procedimientos de acceso
Cadas de sistemas
Confidencialidad
Aspectos tcnicos
Leyes de competitividad
Proteccin de informacin
Leyes tributarias
Procedimientos
publicitarios
Leyes econmicas
Poderes generales
Libertad comercial
Derechos de propiedad
Ineficiencia de operaciones
Informacin inexacta
Procesos inadecuados e ineficientes
Uso inapropiado e
ineficiente de los recursos

rea afectada
Edificios
Equipos
Automviles
Tesoreras
Agencias y sucursales
Todos los funcionarios
Contratos con clientes,
proveedores, socios.
reas de comunicaciones
Mercados financieros

Documentacin
Archivos de informacin

reas comerciales
reas financieras

reas comerciales
reas financieras

Todas las reas

10