Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MODALIDAD: PRESENCIAL
INGENIERÍA COMERCIAL
CONTENIDOS
1. INTRODUCCIÓN
2. LA AUDITORÍA INTERNA Y LA ADMINISTRACIÓN DE RIESGOS EN LAS ORGANIZACIONES
3. REQUISITOS FUNDAMENTALES PARA IMPLEMENTAR UN SISTEMA DE ADMINISTRACIÓN
DE RIESGOS
4. PASOS PARA IMPLEMENTAR UN SISTEMA DE ADMINISTRACIÓN DE RIESGOS
5. LOS MAPAS DE RIESGOS EN LA AUDITORÍA INTERNA
6. TABLEROS INTEGRADOS DE RIESGOS
7. PLANES DE PREVENCION DE RIESGOS
DESARROLLO PEDAGÓGICO riesgos que le permitan planear y controlar la
organización, manejando la información más
relevante, de tal forma que puedan pensar,
1. INTRODUCCIÓN razonar, comparar y tomar las mejores
decisiones, para tener ventajas competitivas
La evolución del pensamiento y los cambios de dentro del sector en el cual operan.
paradigmas en el análisis de la evaluación de las
actividades deben afectar a los auditores La administración del riesgo debe facilitar el
internos, ya que la concepción de auditoría manejo de la incertidumbre y contribuir a predecir
interna debe entenderse como un conjunto de mejores tendencias acerca del futuro,
sistemas y actividades que aportan valor a un permitiendo una mejor gestión. Dicho mecanismo
mundo que cambia cada vez de forma más debe facilitar la planeación y el control de un gran
acelerada, donde la globalización constituye el número de variables económicas y sociales
aspecto dominante que debemos enfrentar. inmersas en el proceso administrativo, por lo que 1
hay que proporcionarles a los ejecutivos las
Los constantes cambios que se viven herramientas que les permitan entender y
actualmente, como la desregularización, los enfrentarse a los vertiginosos cambios que se
medios tecnológicos, el talento humano, el dan en las diversas situaciones que viven las
servicio al cliente y el mejoramiento continuo de organizaciones.
procesos, se han convertido en un factor clave
para que las empresas puedan subsistir, so pena La existencia de incertidumbre como generadora
de ser liquidadas, lo que hace necesario que los del riesgo, no es excusa para evitar la toma de
directivos efectúen una excelente gestión. Es decisiones y definir acciones preventivas que
aquí donde la auditoría interna, apoyada en los permitan a la organización prepararse mejor para
mapas de riesgos contribuye al logro de los enfrentar el futuro a través de una adecuada
objetivos de la organización. administración del riesgo. Lo esencial es
adaptarse a manejar la incertidumbre y a reducir,
La complejidad y los problemas de minimizar, atomizar o aceptar el impacto de los
administración y dirección de las organizaciones riesgos, implementando los controles adecuados
han requerido el desarrollo de técnicas y que le permitan a los administradores conseguir
procedimientos para la investigación y análisis los objetivos.
del
Se hace por lo tanto inevitable entender y aceptar
proceso administrativo, dentro una dinámica del que todas las proyecciones que se hagan acerca
cambio permanente, donde la auditoría interna del futuro deben considerar la incertidumbre. El
basada en riesgos, proporciona un análisis en éxito está en tener sistemas integrados de
profundidad de las entidades. planeación y control de gestión que permitan
identificar y predecir mejores tendencias,
Este artículo presenta la aplicación de los mapas dándole mayor importancia a los acontecimientos
de riesgos en la auditoría interna, trata de del presente, comparados con los del pasado, y
manera detallada los pasos para el diseño e es aquí donde juega un papel fundamental la
implementación de un sistema de administración auditoría interna.
de riesgos en el ejercicio de la auditoría interna.
“La auditoría interna, se constituye en una
actividad independiente y objetiva de
2. LA AUDITORÍA INTERNA Y LA aseguramiento y consulta, concebida para
ADMINISTRACIÓN DE RIESGOS EN agregar valor y mejorar las operaciones de una
organización. Ayuda a la una entidad a cumplir
LAS ORGANIZACIONES sus objetivos aportando un enfoque sistemático
para evaluar la eficacia de los procesos de
Sin auditoría no hay responsabilización, sin gestión, control y gobierno” (Instituto de
responsabilización no hay control, y si no hay Auditores Internos de Colombia, 2013).
control, ¿Dónde está la fuente del poder? David
Flint Se necesita brindarle a la organización nuevas
oportunidades en el futuro que le permitan
La estabilidad de las organizaciones se ha vuelto reaccionar a los diferentes riesgos, y estar en
dependiente de la pericia de sus ejecutivos para constante observación del presente para
administrarlas, ajustarlas y adaptarlas a un medio desarrollar políticas de administración de riesgos,
complejo característico de los tiempos modernos, es aquí donde la auditoría interna constituye un
por lo que es primordial que las empresas apoyo fundamental para la organización, pues a
implementen sistemas de administración de
través de un monitoreo y análisis permanente, se administración de riesgos que abarquen mapas
pueden emprender en forma oportuna las de riesgos y tableros integrados de riesgos, que
acciones que le permitan a la organización le permitan responder en forma más rápida ante
alcanzar el éxito. cualquier evento, y para reaccionar
oportunamente ante los riesgos el mejor apoyo lo
Por consiguiente, es importante que las constituye la auditoría interna.
organizaciones desarrollen modelos de
3. REQUISITOS FUNDAMENTALES
PARA IMPLEMENTAR UN SISTEMA 4. Documentar los procesos y actividades
mediante manuales de procesos y
DE ADMINISTRACIÓN DE RIESGOS procedimientos.
La evaluación e implementación de un sistema 5. Definir los planes, programas y
de administración de riesgos es parte del sistema proyectos.
de control interno de la organización, su
estructuración y acorde con el ambiente de 6. Armonizar las metas con las actividades,
control planteado por COSO1, la elaboración de de tal forma que las estrategias se
una adecuada planeación que interactúe con el puedan llevar a la acción como lo
despliegue estratégico y de procesos. Para plantean Kaplan y Norton en el Balanced
implementar un sistema de administración de Scorecard.
riesgos se necesita desarrollar los siguientes
pasos: 7. Construir indicadores de gestión a partir
de las metas, para medir el cumplimiento
1. Elaborar el plan estratégico de la de los objetivos.
organización.
8. Identificar los riesgos en las actividades
2. Construir el despliegue estratégico, es y construir mapas de riesgos y tableros
decir, la Misión, la Visión, Objetivos integrados de riesgos, que permitan la
Generales, Objetivos Estratégicos, elaboración de planes de prevención de
Metas, Políticas Administrativas y definir riesgos o acciones de control.
responsables.
A continuación, se presenta la estructura del
3. Estructurar en forma clara la estructura modelo COSO, sobre el cual se construye el
de procesos, que comprende los sistema de administración de riesgos, en relación
Procesos gerenciales, misionales y de a los componentes que lo conforman y a los
apoyo con sus respectivas, actividades y principios que integran cada uno:
tareas.
3
4
CONTEXTO O DESPLIEGUE organizada, para generar un resultado o producto
ESTRATÉGICO específico para un grupo de interés, en este caso
la organización; haciendo uso óptimo del talento
El contexto estratégico conocido como humano, recursos financieros, materiales y
despliegue estratégico, plantea lo que la tecnológicos. Los procesos se clasifican de
organización va a realizar en el futuro. Es acuerdo a los niveles jerárquicos de la
importante debido a la existencia de grandes organización, es decir, procesos estratégicos o
cambios que como producto de la globalización gerenciales, misionales y de apoyo o soporte.
se están dando en el entorno político, económico,
social y tecnológico, lo que hace que se requiera o Procesos Estratégicos: Direccionan a
una detallada evaluación de la estrategia, la toda la entidad hacia el cumplimiento de
estructura, los procesos administrativos y el estilo sus objetivos.
de dirección de la entidad. o Son de vital importancia para el éxito de
la organización. 5
El contexto estratégico debe ser cuantitativo, o Procesos Misionales: “Son la razón de
manifiesto y temporal, ya que se debe de ir ser de la organización. Son
ajustando a los cambios que vaya presentado el indispensables para satisfacer las
entorno. Es cuantitativo por que indica las metas necesidades del cliente externo.
(objetivos a corto plazo, los cuales deben ser También son denominados procesos
medibles y razonables) de la organización. Es esenciales o vitales por estar
manifiesto por que específicas líneas de acción relacionados con el objeto social de la
para conseguir los objetivos por medio del entidad” (Aldana, Et al.,2010).
establecimiento de estrategias, así como las o Procesos de apoyo: Como su nombre lo
políticas principales de actuación y plan de indica, su función esencial es la de
programa y proyectos. Finalmente es temporal apoyar a uno o más procesos claves que
por que establece intervalos de tiempo, concreto lleva a cabo la organización;
y explícitos, que deben ser cumplidos por la principalmente el misional.
organización para que su puesta en marcha sea
exitosa (Gallardo, 2012). Le corresponde al auditor interno de la
organización analizar y evaluar la articulación
entre el proceso estratégico y el de procesos,
DESPLIEGUE DE PROCESOS para determinar la correcta construcción de los
mapas de riesgos, los cuales son la base de la
Un proceso se entiende como el conjunto de evaluación de los mismos y la elaboración de los
actividades que interactúan de forma lógica y planes de mejoramiento.
6
IDENTIFICACIÓN DE RIESGOS
ANÁLISIS DEL CONTEXTO
ESTRATÉGICO La identificación de riesgos, consiste en
determinar los posibles eventos potenciales, los
El análisis del contesto estratégico donde opera cuales pueden estar o no bajo el control de la
la organización, ayuda a establecer el organización, que ponen en peligro el logro de la
lineamiento estratégico, capacitando para visión; estableciendo los agentes generadores,
orientar la toma de decisiones de la entidad las causas y los efectos si llegasen a ocurrir.
frente a los riesgos producto de la observación,
distinción y análisis del conjunto de aspectos Es la identificación de riesgos, se debe tener en
internos y externos, que generan eventos que cuenta que un riesgo es diferente a una
afecten sus objetivos y por ende el cumplimiento deficiencia de control interno; por lo tanto, se
de estos. requiere efectuar un análisis para no dejar una
causa como un riesgo. Los riesgos pueden ser
En esta parte se controla el primer nivel de generados por los siguientes agentes: personas,
exposición al riesgo de la entidad causado por la materiales, equipos, instalaciones, contexto.
falta de conocimiento de las situaciones
generadoras de riesgo, lo cual puede ocasionar EVALUACIÓN DE RIESGOS
que se lleve la dirección contraria a lo establecido
en la misión y visión (Montes, 2009). La evaluación o valoración de riesgos, consiste
en la identificación y análisis de los riesgos
Factores externos: económicos, políticos, relevantes para el logro o cumplimiento de los
sociales, tecnológicos, competitivos, objetivos y la base para determinar la forma en
geográficos. Factores internos: capacidad que tales riesgos deben ser manejados.
directiva, capacidad tecnológica, capacidad del
talento, capacidad financiera. La evaluación de riesgos permite a una
organización considerar como los riesgos
(posibles eventos), pueden afectar el
cumplimiento de los objetivos. Esta evaluación se
efectúa desde dos perspectivas: probabilidad e no se pueden cuantificar los riesgos, no son
impacto. La probabilidad representa la suficientes o que los datos disponibles no son
posibilidad de que un evento dado ocurra, creíbles, por el contrario, las cuantitativas brindan
mientras el impacto constituye el efecto de la mayor precisión. Se debe tener en cuenta, que la
ocurrencia. escogencia de la técnica depende de la
necesidad de precisión y cultura de la unidad de
La evaluación de riesgos comprende una negocio (Montes, 2009).
combinación de técnicas cualitativas y
cuantitativas; las primeras son utilizadas cuando
8
9
10
11
12
13
14
En la tabla de valoración de la frecuencia (las el impacto (efecto), este puede resultar diferente
veces que puede ocurrir o presentarse el riesgo), en cada uno de los procesos o actividades, por lo
las escalas de valoración deben tener un rango que se deben establecer las características
de calificación, la cual puede variar de una particulares para su calificación, así la escala
organización a otra; una vez determinada la numérica sea la misma.
escala de calificación para la entidad; esta debe
aplicarse en forma uniforme, aunque se califica
MATRIZ DE EVALUACIÓN DE riesgos; ya que con la matriz de evaluación de
RIESGOS SEMAFORIZADA riesgos semaforizada se valora los eventos de
manera cualitativa, permitiendo de esta forma
Con la escala de la frecuencia y del impacto, se evaluar como aceptables, tolerables, moderados
efectúa una calificación cuantitativa de los o inaceptables, de acuerdo con el valor asignado
a su frecuencia e impacto.
17
18
19
6. TABLEROS INTEGRADOS DE RIESGOS
20