ANALISIS DE RIESGOS

UNA HERRAMIENTA PARA AGREGAR VALOR

 ROL DEL AUDITOR INTERNO EN EL PROCESO DE
MANEJO DE RIESGOS :

“La auditoría interna es una actividad independiente y objetiva de

aseguramiento y consulta, concebida para agregar valor y mejorar las
operaciones de una organización. Ayuda a una organización a cumplir sus
objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”.

RIESGO :

“Evento actual o potencial que podría afectar el logro de los objetivos

estratégicos y financieros de la organización, pudiendo a su vez presentar una
incidencia significativa en el rendimiento de la misma.”

“Instituto de Auditores Internos” IIA

 MANEJO DE RIESGO EMPRESARIAL :

Definición:
“Una rigurosa y coordinada aproximación para valorar y responder a todos los
riesgos que afectan el logro de lo objetivos financieros y estratégicos de una
organización, incluyendo tanto los efectos de fortalezas como los efectos de
amenazas implícitos en ellos”.
(Las empresa Riesgo Dirección Tendencias y las prácticas/
Jerry A.Miccolis, Kevin Hively and Brian Merkley- 2001)

RIESGO/MARCO DE TRABAJO, QUE NOS PROPORCIONA :

- Una lista de chequeo a fin de asegurarnos de que no hay riesgos fuera de

contexto.
- Una base para categorizar e identificar los riesgos.
- Un lenguaje común para comunicarnos en materia de riesgo y coordinar
acciones al respecto.
 EL MANEJO DE RIESGO
UNA RESPONSABILIDAD DE TODOS

ES IMPORTANTE PUNTUALIZAR QUE EL MANEJO DE RIESGO ES

RESPONSABILIDAD DE LA TODA LA GERENCIA DE LA
ORGANIZACIÓN, UTILIZÁNDOLO COMO UNA HERRAMIENTA
CLAVE A FIN DE ASEGURAR EL CUMPLIMIENTO DE LOS OBJETIVOS
DEL NEGOCIO.
 COSO
UN MARCO DE CONTROL INTERNO ENFOCADO A LA GESTIÓN DE RIESGOS
COSO dirige y focaliza la gestión integral de
los riesgos y controles de la Organización a
través de una serie de principios integrados, una
terminología común y una guía de implantación
práctica que consideran y clasifican todos los
Objetivos de la Organización con sus diferentes
Niveles organizativos asociados y los
componentes de gestión de riesgo a analizar.
Fijación de Objetivos
PriceWaterhouse Coopers
Entorno de Control Interno: Definición de la filosofía y las pautas de
actuación en materia de control interno y las políticas a aplicar en cada
proceso. Análisis del funcionamiento de los Órganos de Gobierno de la
Entidad
Fijación de Objetivo: Determinación de los Objetivos estratégicos y de
control interno así como la tolerancia al riesgo y el grado de riesgo
asumible
Identificación de acontecimientos: Identificación de las acciones o actos
que generan riesgo de cualquier categoría (estratégica o de negocio) en la
Entidad.
Evaluación del Riesgo: Evaluación por parte de la Dirección de la entidad,
y de los niveles que se consideren apropiados, en base al impacto del riesgo
en la organización, y su probabilidad de ocurrencia.
Respuesta al Riesgo: Análisis del enfoque adoptado y el grado de madurez
en la gestión del riesgo.
Actividades de Control: Identificación y Clasificación por tipo de control,
tomando como base los controles generales, de las actividades dirigidas a
mitigar los riesgos detallados en los anteriores componentes.
Información y Comunicación: Corresponde a las actividades de
seguimiento de las incidencias ocurridas en los controles, y la difusión de
las acciones acordadas para su correcto establecimiento.
Supervisión: Permite asegurar la adecuada resolución de las incidencias
detectadas y la implantación de los acuerdos alcanzados para mejorar el
sistema de control interno
 Beneficios de una gestión integral de riesgos

El desarrollo de un sistema de Gestión Integral de Riesgos permitirá una visión global

de los objetivos de negocio y una alineación de los mismos con los riesgos derivados y
con el entorno de control aumentando de esta manera la eficiencia y eficacia de las
organizaciones.

PREVER DISEÑAR ACTUAR MANTENER

Gestionar Fijar Entorno de

Evaluar Observar

ar
r

Visión y el cambioImplementar
lla

Control

Res
tific

ar
ar

Desarro

Objetivos
Ali

Medición

Act
trol
pon
al i z

Iden
de
nea

Comunicación e

ua r
Con
de r
An

Negocio
r

Información
Definir la Formar
Evaluar Reportar
estrategia

PriceWaterhouse Coopers
 Beneficios de una gestión integral de riesgos

El modelo debe apoyar la creación de una cultura de Gestión de Riesgos a todos los
niveles de la Organización para obtener, entre otros, los siguientes beneficios:

9Mejor Conocimiento de los riesgos. 9Toma de decisiones más segura.

9Gestión mas eficaz de los riesgos y 9Mejor previsión de posibles impactos.
la crisis.
9Mejor orientación de las acciones
9Identificación proactiva y comerciales.
aprovechamiento de oportunidades.
9Mejor comunicación del valor que
9Rápida respuesta a los cambios en el crea la compañía.
entorno.
9Aumento de la credibilidad y
9Asignación eficiente de recursos confianza.
para la gestión de riesgos.
9Mejora de reputación Corporativa.
9Establecimiento de base común para
9Mas probabilidad de éxito en
comprensión y gestión de riesgos.
implantación de la estrategia.

PriceWaterhouse Coopers
 OBJETIVOS CLAVES
DE UN PROCESO DE ANÁLISIS DE RIESGOS :

1.- Identificar los riesgos que surjan en los planes estratégicos.

2.- Ayudar a la Gerencia y a Directores (Junta Directiva) a determinar el nivel de
riesgo aceptable para la organización.
3.- Desarrollar actividades para mitigar riesgos, o en su defecto manejarlos en los
niveles determinados y aceptados por la organización.
4.- Desarrollar actividades de monitoreo permanente de forma periódica, a fin de
evaluar riesgos y la efectividad de los controles relacionados con ellos.
5.- Preparar reportes informativos con los resultados del proceso de manejo de
riesgos.
ALGUNOS FACTORES DE RIESGO:

- Rotación de personal.
- Moral de la gerencia y Staff.
- Complejidad de las operaciones.
- Calidad de operaciones manuales.
- Volumen de transacciones diarias.
- Bajos indicadores de rendimiento y/o comportamiento.
- Diseño de programas- desarrollos formales.
- Fecha de la última Auditoría.
ALGUNOS RIESGOS UNIVERSALES DE NEGOCIO :

1.- Costos excesivos.

2.- Calidad deficiente o inadecuada.
3.- Pérdida de clientes.
4.- Pérdidas en ventas.
5.- Principios inaceptables.
6.- Errónea información en reportes.
7.- Destrucción o pérdida de activos.
8.- Políticas Gerenciales erróneas / decisiones.
9.- Peligro en la seguridad del público o empleados.
10.- Fraudes o conflictos de intereses.
 TÉCNICAS PARA EL MANEJO DE RIESGOS :

Existen numerosas técnicas para el manejo de riesgos, estas pueden variar

dependiendo del tamaño y de la complejidad de las organizaciones, de sus
actividades , etc. :
-Formales o Informales.
-Cuantitativos ó Subjetivos.
-Incluidos dentro de cada unidad de negocio o centralizados a nivel
corporativo.

LA CLAVE EN LA ESCOGENCIA DEL MÉTODO APROPIADO SE

BASA EN ADAPTARSE A LA CULTURA, ESTILO GERENCIAL, Y
OBJETIVOS DE NEGOCIO PROPIOS DE LA ORGANIZACIÓN EN LA
CUAL SE DESARROLLA EL PROCESO.
 A CONTINUACIÓN LE MOSTRAREMOS LOS
RESULTADOS DE UNA ENCUESTA SOBRE EL USO DE
ESTA MODALIDAD EN LOS ÚLTIMOS AÑOS :

Tiempo que ha tomado a los encuestados operar

bajo un esquema de Análisis de Riesgo

Menos de un año 31%

1 - 2 años 44%

3 - 4 años 12%

5 años o mas 13%

0% 5% 10% 15% 20% 25% 30% 35% 40% 45%

% de encuestados

La Auditoría Información Estudio Global IIA 2002

 COMO PUEDE EL AUDITOR INTERNO
AGREGAR VALOR?

- Seleccionando un Modelo de Riesgo.

- Participar en la realización de una
valoración anual de Riesgo.
1.- FOCALIZÁNDOSE - Preparando un Plan de Auditoría Anual
EN LOS GRANDES basado en Riesgo.
RIESGOS:
- Determinando Alcance y Objetivos.
- Identificando debilidades de Control.
- Haciendo Recomendaciones.

- Focalizando su trabajo hacia aquellas áreas de la

organización en las cuales el control interno tiene
2.- CAMBIANDO LAS debilidades.
PRIORIDADES. - Enfocándose en áreas donde la habilidad para competir
y generar ganancia es un factor crítico.
- Reevaluando la reubicación de Recursos de Auditoría.
 COMO PUEDE EL AUDITOR INTERNO
AGREGAR VALOR?
(CONTINUACIÓN)
- Comparando nuestros enfoques con los riesgos y
necesidades en las diferentes áreas de la organización.

3.- ADAPTANDO - Utilizando nuestros enfoques para asistir a la

NUEVOS Gerencia en la identificación de los riesgos.
ENFOQUES : - Utilizando enfoques que incrementen el
entendimiento gerencial del negocio y de sus
controles internos.

LO CUAL SE TRADUCE EN :
- La necesidad de aceptación de Auditoria Interna como un socio más de la
gerencia de la organización.
- La gerencia captaría completamente responsabilidad por el control interno.
- El universo de auditoría cambiaría.
- La inclusión de un enfoque mas de asesoría que de auditoría propiamente
dicha.
 EL OBJETIVO DEL RIESGO

BASADO EN LA PLANIFICACION :

Bajo impacto
Baja probabilidad
Impacto

Bajo riesgo potencial

RI
ES
GO Poco valor agregado en la
-B focalización de auditoría con
AJ
O
cobertura extensiva
Probabilidad
 EL OBJETIVO DEL RIESGO

BASADO EN LA PLANIFICACION :

RI Alto impacto con probabilidad moderada alta.

ES
GO
- AL Alta probabilidad con alto impacto moderado.
TO
Riesgo potencial severo

Valor significativo en la focalización de

auditoría con cobertura extensiva

Probabilidad
A continuación mostramos una visión general del proceso de manejo de
riesgos en Vengas, S.A.

ENCUESTA TALLERES DE MANEJO DE RIESGO

PRELIMINAR TRABAJO

IDENTIFICAR DISCUTIR CLASIFICAR

Riesgo Riesgo
Objetivos
Objetivos DESARROLLAR RIESGOS ESTRATÉGICOS
Incertidumbre política
Impacto Ocurrencia
Calificación
Riesgo

Riesgo Recesión económica

Caída del mercado de LPG
Tiempo de aprovechar las oportunidades del mercado
Niveles de autorización y estructura para la toma de decisión
Cumplimiento de las políticas de ética y las conducta de negocio
Evaluación de adquisiciones y nuevas inversiones
Reputación y nombre de la compañía
Participación en la apertura de mercado de Gas Natural
Tomas de decisiones tomadas desde ENRON

EVALUAR Planes de acción

Cultura corporativa y manejo de los cambios

Leyenda
Alto

Fortalezas
Medio
NUEVOS RIESGOS
Bajo
Dependencia de Organismos Oficiales, para avance de tramitación

Fortalezas Planes de Auditoría

Objetivos Monitoreo de logros

Gerencia y Participantes y Gerencia y

Auditoría Interna Auditoría Interna Auditoría Interna
 ES IMPORTANTE PUNTUALIZAR QUE :

El proceso está divido en tres etapas : Identificación (realizada a través de una

encuesta), Discusión/ Evaluación (realizada a través de un taller de trabajo-
tormenta de ideas), Asignación del valor de Riesgo/Calificación del
Riesgo/desarrollo de planes de acción (proceso realizado a través de una
metodología que permite la ponderación del riesgo en base a Impacto potencial
del riesgo en sí y grado de ocurrencia del hecho).

IDENTIFICAR:
En la etapa de identificación, se describen aquellos eventos que podrían
constituir riesgo.

DISCUTIR / EVALUAR:
En la etapa de discusión/evaluación se realiza un análisis que incluye la
determinación de la probabilidad de que el evento /riesgo ocurra, así mismo se
evalúan las consecuencias que se producirían una vez acontecido y se verifican
los controles que están asociados al área de riesgo en si y a su vez se evalúa en
que magnitud dichos controles coadyuvan en el manejo del riesgo.
 ES IMPORTANTE PUNTUALIZAR QUE :
(CONTINUACIÓN)

CLASIFICAR / DESARROLLO:
En cuanto a la etapa de asignación de valor y calificación de riesgo, esta
actividad se lleva a cabo partiendo de la evaluación de la probabilidad de
ocurrencia y de los controles asociados, basados en estos dos elementos
se determina un factor de riesgo que al final es objeto de una
priorización desde los más altos hacia los más bajos factores ; en cuanto
a los planes de acción, en esta etapa se incluyen todas aquellas posibles
opciones que de una forma u otra podrían reducir el grado de ocurrencia
o disminuir las consecuencias en caso de que el riesgo ocurra, así como
la evaluación de las diferentes opciones siguiendo para ello los criterio
establecidos por un equipo multidisciplinario de trabajo.
 CONSIDERACIONES ADICIONALES:

- La entrada de información proviene de los actores (Gerencia de la

organización/ Auditores Internos).
- La ponderación y calificación de los diversos Estados de Riesgo, así como
los planes de acción específicos destinados a minimizar el impacto del
riesgo en sí son desarrollados por un grupo de personas que representan a la
Gerencia de la organización y al grupo de auditoria interna.
- Ninguna de las etapas que conforman este proceso constituye en si una
actividad desarrollada por el auditor interno de forma individual, al
contrario, es producto de actividades desarrolladas con los actores y
responsables de los diferentes procesos de dirección de la organización.
Resultados obtenidos en Vengas, S.A. :

- Menor resistencia del auditado en el reconocimiento de sus

riesgos, ya que el mismo es parte del proceso de detección.
- Menor cantidad de hallazgos recurrentes, ya que el evaluado
conoce sus debilidades, el mismo es participe del proceso de
detección de las mismas.
- Menos tiempo requerido para revisión mayor alcance / mayor
efectividad cubriendo riesgos altos e importantes para el
negocio.
- Menos recursos requeridos para realizar el trabajo.
- Una mejora significativa de las relaciones entre el auditado y el
auditor.
 CAMBIOS GENERADOS A RAÍZ DEL
ANÁLISIS DE RIESGOS EN VENGAS, S.A. :

A raíz de la introducción de la herramienta de Análisis de Riesgos en el ambiente

de auditoría interna se ha roto con una serie de paradigmas:
- Se ha cambiado el centro de atención del control propiamente dicho al
RIESGO.
- Se ha cambiado el estilo pasando de un método impositivo a una cultura de
“invitación” (por llamarlo así), el nuevo esquema plantea a la auditoría interna
como un tipo de servicio que es demandado por la organización,
reconociéndolo como una herramienta que ayuda al manejo y el control del
negocio.
- Adicionalmente también se han generado cambios de estilo, pasando de un
estilo persuasivo a un estilo más de negociación.
 A QUE NOS HAN CONDUCIDO ESTOS CAMBIOS ?

Básicamente los cambios mencionados anteriormente nos han llevado a :

- Movernos hacia las actividades de CONSULTORÍA,
- Una movilización mucho mas contundente hacia el campo del análisis de
riesgos, como una herramienta que permite optimizar el trabajo del
auditor y estrechar de una forma mas conveniente las relaciones auditado-
auditor, basados en un mayor valor agregado de la función de auditoría
interna.
- Se ha conseguido un mayor énfasis en asuntos operacionales mas que en
los asuntos de cumplimiento de auditoría en si.
- El auditor se ha integrado más al equipo gerencial de las organizaciones.
 ANÁLISIS DE RIESGOS (Modelo de Encuesta)

LOS RIESGOS OPERACIONALES A D E

B
IMPACTO OCURRENCIA
Alta Media Baja
1 2 3 4 5 6 No Aplica 5a6 3 a 4 1 a 2 COMENTARIOS

Productividad Laboral

TIPIFICACIÓN DEL RIESGO A FRECUENCIA DEL RIESGO D

ESPECIFICACIÓN DEL RIESGO B OPINIONES DEL RIESGO E

IMPACTO DEL RIESGO C

PARAMETROS DE MEDICION UTILIZADOS.

PARA MEDIR FRECUENCIA :

DE 1 A 2 BAJA / LEVE
DE 3 A 4 MEDIA
DE 5 A 6 ALTA

PARA MEDIR IMPORTANCIA O IMPACTO

POTENCIAL DEL RIESGO :

DE 1 A 2 BAJA / LEVE
DE 3 A 4 MEDIA
DE 5 A 6 ALTA
 ANÁLISIS DE RIESGOS
(Caso Práctico Vengas, S.A. 2005)
Personas % Encuestados sobre la
Población % Entrevistados
Encuestadas población

Gerencias de Regiones 5 5 13% 100,00%

Operaciones Gerencias Sucursales 38 24 63% 63,16%
Contraloría 2 1 3% 50,00%
Operaciones Corporativos 8 2 5% 25,00%
Financieros Regiones 7 6 16% 85,71%
Totales 60 38 100,00% 63,33%

Personas Encuestadas
Financieros Operaciones
Regiones ( 6 ) Gerencias de regiones ( 5 )
Operaciones
Corporativos ( 2 )

16% 13%
5%
3%
Contraloría
Operativa ( 1 ) 63%
Operaciones
Gerencias de Sucursales
( 24 )
 RESULTADOS

Calificación
RIESGOS OPERACIONALES Impacto Ocurrencia
Riesgo

Manejo de Inventarios 4,2 4,0 4,1

Paradas de operaciones 4,6 2,2 3,4

Capacidad de respuestas en emergencias y accidentes

4,9 2,3 3,6

NUEVOS RIESGOS

Instalación de Cilindro en Zonas Peligrosas 3,5 2,3 2,9

Protestas y cierres de vías 4,0 6,0 5,0

Leyenda
Alto
Medio
Bajo
 RESULTADOS

Calificación
RIESGOS FINANCIEROS Impacto Ocurrencia
Riesgo
Crédito / Clientes (Cobranza)
Ventas de contado y cobro
Procedimiento pago y desembolso de efectivo
Manejo de efectivo
Sistema de facturación y cuentas por cobrar

Leyenda
Alto

Medio

Bajo
 RESULTADOS

Calificación
RIESGOS TECNOLÓGICOS Impacto Ocurrencia
Riesgo

Funcionalidad del sistema

Seguridad en acceso
Recuperación al desastre
Cumplimiento de licencia s de software
Implementación de nuevo software

Leyenda
Alto

Medio

Bajo
 RESULTADOS

Calificación
RIESGOS ESTRATÉGICOS Impacto Ocurrencia
Riesgo
Incertidumbre política
Recesión económica
Caída del mercado
Reputación y nombre de la compañía
Participación en la apertura de mercado

Leyenda
Alto

Medio

Bajo
 RESULTADOS

Calificación
RIESGOS COMERCIALES Impacto Ocurrencia
Riesgo
Caída de la demanda
Confiabilidad del sistema
Precios y costos regulados por el gobierno
Relaciones con los clientes
Convenios de contratos a largo plazos

Leyenda
Alto

Medio

Bajo
 RESULTADOS DE LOGRO DE OBJETIVOS
LUEGO DE HABER IMPLEMENTADO UN
MODELO DE ANÁLISIS DE RIESGOS :

Egresos o
Ingresos o Staff Auditoría y
Staff Inicial Transferencias
Transferencias Internas Procesos
Internas
Año 2001 22 6 2 18
Año 2002 18 3 1 16
Año 2003 16 2 14
Año 2004 14 2 12
Año 2005 12 1 11

Disminución porcentual acumulada últimos cinco años de 50%

Conclusiones:

1.- El análisis de riesgo puede convertirse en la base, que permita

promover el acercamiento entre Auditoría Interna y el resto de la
Gerencia en la organización.
2.- Constituye una herramienta “Moderna” que ayuda a ser más eficiente
el servicio de Auditoría Interna.
3.- Esta siendo utilizado para asistir el proceso de desarrollo de los
planes de negocio.
4.- Constituye una gran oportunidad para proyectar una imagen no sólo
como detectores de hallazgos y deficiencias sino como
“Habilitadores para el cumplimiento de logros, metas y objetivos de
la organización”
El Instituto de Auditores Internos en su publicación “Consejos para la practica”
2100, en la cual define el rol del auditor interno en el proceso de manejo de
riesgos comenta :“Norma Relacionada: 2100 Naturaleza del Trabajo; La
actividad de auditoría interna debe evaluar y contribuir a la mejora de los
procesos de gestión de riesgos, control y gobierno, utilizando un enfoque
sistemático y disciplinado...”
 RELACIÓN DEL ANÁLISIS DE RIESGO
CON ESTÁNDARES DE LA PROFESIÓN:

Π1220 EL DEBIDO CUIDADO PROFESIONAL

Π1220 A1.- El Auditor Interno debe de practicar un adecuado cuidado
profesional considerando : Lo adecuado y efectivo del Manejo de
Riesgo, Control y los procesos de dirección.

Π1220 A2.- El Auditor Interno debe de alertar sobre los riesgos significativos
que podrían afectar objetivos, operaciones y recursos. No obstante los
procedimientos de aseguramiento por sí solos, aún cuando son elaborados con
el debido cuidado, no garantizan que los riesgos significativos serán
garantizados.
 RELACIÓN DEL ANÁLISIS DE RIESGO
CON ESTÁNDARES DE LA PROFESIÓN:
(CONTINUACIÓN)

ΠManejo de Riesgo (2110, 210A1, 2110A2, 2110C1, 2110C2).

 Asistir a la organización en el proceso de identificación y evaluación de

riesgo, teniendo en cuenta:
- Efectividad en operaciones
- Salvaguarda de activos
- Cumplimiento de leyes y demás regulaciones.
- Confiabilidad e integridad de la información.

 Contribuir a la mejora del proceso de manejo de riesgo y de los sistemas de

control.
 Monitorear y evaluar efectividad del sistema de manejo de riesgo.
 Considerar para sus actividades de consultoría, el tema de riesgo y el
conocimiento que de el tenga de forma consistente con los objetivos
acordados.
 Actividades de consultoría un nuevo concepto dentro
de los estándares de manejo de la Actividad de
Auditoría Interna.

Œ 2010 C1.- El Director de Auditoría deberá considerar la aceptación de

actividades de consultoría en la capacidad potencial de éstas actividades
para mejorar el manejo de riesgos, añadir valor a la organización (ó a una
parte de ella), y mejorar el nivel operacional de la organización. Las
actividades que hayan sido aceptadas deberán ser reflejadas en el Plan Anual
de Auditoría Interna.

SERVICIO DE CONSULTORÍA: actividad de servicio de asesoría a cliente cuya

naturaleza y alcance es determinada de mutuo acuerdo (entre asesor y cliente-
solicitante del servicio), por medio del cual se intenta añadir valor a la
organización y mejorar las operaciones de la organización (se incluyen
actividades de consultoría, asesoría, facilitación de diseño y de procesos y
entrenamiento).
 EDGAR
EDGARRAFAEL
RAFAELGARCIA
GARCIAAA
JEFE
JEFEUNIDAD
UNIDADDE DEAUDITORIA
AUDITORIA
VENGAS,
VENGAS,S.A.S.A.
C.I.A,
C.I.A,C.P.C.,
C.P.C.,CFE
CFE
CARACAS-
CARACAS-VENEZUELA
VENEZUELA
egarcia@vengas.com.ve
egarcia@vengas.com.ve