La Auditora Interna y La Administracin de Riesgos

La Ley Sarbanes-Oxley, la gua de referencia para la Administracin de Riesgos a ser publicada por el COSO, las Normas Internacionales para la Prctica Profesional de la Auditora Interna de The Institute of Internal Auditors (The IIA), el IAS 39 (Internacional Accounting Standard sobre instrumentos financieros) y el FAS- 133 (Financial Accounting Standard sobre Derivados) estn generando nuevas y especificas responsabilidades a la funcin de Auditora Interna en relacin con el proceso de Administracin de Riesgos de las organizaciones. Por otra parte, la norma ISO (ISO-IEC Guide 73) sobre el vocabulario a ser utilizado en estndares de Administracin de Riesgos, y los estndares, tanto el AustralianoNeocelands (AS/NZS 4360-1999) como el del Reino Unido (IRMAIRMIC-ALARM) sobre Administracin de Riesgos, estn trayendo a la funcin de Administracin de Riesgos nuevos elementos para ser incorporados en el proceso de manejo de los mismos. Qu tiene todo lo anterior en comn? La respuesta: la incorporacin definitiva, dentro de la alta gerencia, de la visin Holstica o Integrada del riesgo, enterrando para siempre la visin fragmentada o de silos que gobern a las organizaciones por dcadas. Esta administracin del riesgo, bajo una visin integrada, es la que le da vida a la Administracin Integral de los Riesgos o Enterprise Risk Management(ERM). 1- La Auditora Interna De acuerdo con The Institute of Internal Auditors (The IIA),la funcin de auditora interna puede ser definida de la siguiente manera: La auditora interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organizacin. Ayuda a una organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficiencia de los procesos de gestin de riesgos, control y gobierno 2- La Auditora Interna y la Administracin de Riesgos De acuerdo con The Institute of Internal Auditors (The IIA),la auditora interna tiene las siguientes responsabilidades especificas (Internacional Standard for the Professional Practice of Internal auditories) en relacin con el proceso de Administracin de Riesgos de las organizaciones: Norma 2110-Administracin de Riesgos La actividad de auditora interna debe asistir a la organizacin mediante la identificacin y evaluacin de las exposiciones significativas a los riesgos y la contribucin a la mejora de los Sistemas de Administracin de Riesgos y Control. Norma 2110.A1 - La Actividad de auditora interna debe supervisar y evaluar la eficiencia del sistema de Administracin de Riesgos de la organizacin.

Norma 2110.A2 - La actividad de auditora interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de informacin de la organizacin en relacin con lo siguiente: Confiabilidad e integridad de la informacin financiera y operativa Eficacia y eficiencia de las operaciones Proteccin de activos Cumplimiento de leyes, regulaciones y contratos Norma 2600 - Decisin de Aceptacin de los Riesgos por la Direccin Cuando el director ejecutivo de auditora considere que la alta direccin ha aceptado un nivel de riesgo residual que pueda ser inaceptable para la organizacin, debe discutir esta cuestin con la alta direccin. Si la decisin referida al riesgo residual no se resuelve, el director ejecutivo de auditora y la alta direccin deben informar esta situacin al Consejo para su resolucin. De manera general, la auditora de cualquier proceso es implementada con el fin de proporcionar seguridad razonable a la alta gerencia en relacin con el logro de los objetivos que dicho proceso persigue. El proceso de Administracin de Riesgos no escapa a esta realidad por lo que, dicho proceso es objeto de revisin y anlisis por parte de la funcin de auditora interna de la organizacin como lo son el resto de los procesos de la misma. Por lo general ,la auditora del proceso de Administracin de Riesgos va dirigida a responder entre otra s, los siguientes interrogantes: Han sido debidamente identificadas las mayores exposiciones de la organizacin? Estn debidamente evaluadas y determinadas sus consecuencias? Son las tcnicas de control de riesgos implementadas las ms convenientes? Se cuenta con un adecuado plan de contingencia o un plan de manejo de crisis? Es el programa de financiamiento de riesgos el ms apropiado a las necesidades y a los compromisos con los accionistas? Est la funcin de Administracin de Riesgos y cualquier otra asociada capacitada para el manejo del proceso de Administracin de Riesgos de la organizacin?. Es importante sealar que la auditora del proceso de Administracin de Riesgos est concebida para agregar valor y colaborar con la mejora continua de los mismos, ayudando a la organizacin a cumplir sus objetivos en relacin con la administracin de dichos riesgos. 3- Definicin de Auditora del Proceso de Administracin de Riesgos De lo anteriormente sealado, podemos definir a la auditora del proceso de Administracin de Riesgos como una actividad independiente y objetiva concebida para agregar valor, la cual consiste en la revisin y evaluacin de dicho proceso con el fin de determinar si este cumple con los objetivos para el cual ha sido diseado y conocer cun efectivo es en el cumplimiento del mismo. 4- Objetivos de la Auditora del Proceso de Administracin de Riesgos

De manera especfica, los objetivos de la auditora del proceso de Administracin de Riesgos son los siguientes: Evaluar las estrategias, criterios, tcnicas y herramientas utilizadas en el proceso. Evaluar la funcin de Administracin de Riesgos o cualquier otra, en relacin con sus responsabilidades dentro del proceso. Recomendar estrategias, criterios y tcticas que mejoren la proteccin, reduzcan los costos, incremente el retorno de las inversiones tanto de la funcin de administracin de los riesgos como de cualquier otra en conexin y mejore de manera general el proceso de Administracin de Riesgos. 5- Bases de la Auditora del Proceso de Administracin de Riesgos La auditora del proceso de Administracin de Riesgos se basa en dos aspectos fundamentales: La revisin y anlisis de las caractersticas del proceso. La efectividad con que el proceso cumple con sus objetivos. 6-El Proceso de Administracin de Riesgos Se define al proceso de Administracin de Riesgos dentro de las organizaciones como un proceso de toma de decisiones en relacin con el manejo de los riesgos a los que estn expuestos las mismas. Este proceso de toma de decisiones consta de 7 etapas: Identificacin de las Exposiciones. Evaluacin de las Exposiciones. Seleccin de las Tcnicas de Control Riesgos. Seleccin de las Tcnicas de Financiamiento de Riesgos. Estructuracin del Programa de Administracin de Riesgos. Implementacin del Programa de Administracin de Riesgos. Monitoreo y Mejora del Programa de Administracin de Riesgos. (Figura 1) 7- Tipos de Riesgo La teora clsica del riesgo clasifica al mismo, segn su tipo de resultado, en dos categoras: Riesgo Puro Riesgo Especulativo Riesgo Puro Se define al riesgo puro (tambin conocido como riesgo de accidentes o hazard risk) como aquel asociado a exposiciones a prdidas originado por eventos accidentales que,al materializarse, slo pueden tener dos posibles resultados: 1. Prdidas

2. No prdidas Utilizando la clasificacin del Insurance Institute of America (AICPCU-IIA),stos se dividen en 4 grupos: Propiedades Personas Responsabilidades Beneficio Riesgo Especulativo Se define al riesgo especulativo (tambin conocido como riesgo financiero o riesgo de incertidumbre) como aquel asociado a eventos que, al materializarse, pueden tener tres tipos posibles de resultados: 1. Prdida 2. Ni prdida ni ganancia 3. Ganancia Utilizando la clasificacin de la Internacional Organization of Securities Commissions (IOSCO), estos se dividen en 7 grupos: Mercado Crdito Liquidez Operacional Legal Sistmico Reputacin (Figura 2) 8- Tipos de Proceso de Administracin de Riesgos De la clasificacin de los riesgos antes descritos, se derivan 2 tipos diferentes de procesos de Administracin de Riesgos: Del tipo Fragmentado (visin de silos) Proceso de Administracin de Riesgos de los riesgos puros. Proceso de Administracin de Riesgos de los riesgos especulativos. Del tipo Integrado (Holstico) o Enterprise Risk Management. Proceso de administracin de los riesgos integrados (tipo amplio). Proceso de administracin de los riesgos integrados (tipo restringido). Del tipo Fragmentado (visin de silos) Proceso de Administracin de Riesgos de los riesgos puros Se define al proceso de Administracin de Riesgos de los riesgos puros (tambin conocido como el de los eventos accidentales) como al proceso de toma de decisiones y el aseguramiento de que estas decisiones son puestas a funcionar, en relacin con la mitigacin de los efectos adversos que en la organizacin pudiera tener la materializacin de eventos accidentales a los cuales la organizacin est expuesta y que, por lo tanto, pudieran comprometer el cumplimiento de sus objetivos

estratgicos. Es el proceso manejado generalmente por los departamentos de riesgos y seguros de la organizacin (manejo del programa de retencin, administracin del programa de seguros, etc.),el departamento de recursos humanos (riesgo del personal asociados al programa de beneficios de los empleados, etc.), el departamento de seguridad y proteccin (seguridad fsica, riesgos ocupacionales ,etc.),la consultora jurdica (contratos, marco jurdico),y cualquier otro departamento con responsabilidades en el proceso. (Figura 3) Proceso de Administracin de Riesgos de los riesgos especulativos Se define al proceso de Administracin de Riesgos de los riesgos especulativos (tambin conocido como de riesgo financiero) como al proceso de toma de decisiones y el aseguramiento de que estas decisiones son puestas a funcionar, en relacin con el manejo y control del impacto que en la organizacin pudiera tener la variacin en los resultados esperados ,de todos aquellos eventos que presenten un posible resultado de prdida-ganancia y a las cuales la organizacin est expuesta, por lo que, o se pudiera comprometer el cumplimiento de sus objetivos estratgicos o se pudieran ofrecer oportunidades que pueden ser explotadas como ventajas competitivas para la organizacin. Es el proceso manejado generalmente por las direcciones de finanzas, tesorera, trading, y mercadeo y que suele estar relacionado con las estrategias de posicionamiento o hedging va instrumentos financieros derivados y otros (Forward, Swaps, Futuros, Opciones, Productos estructurados, etc.).Cabe sealar que las caractersticas y el uso de estos instrumentos financieros est regulado tanto por el IAS 39 (Internacional Accounting Standard 39, Financial Instruments: Recognition and Mesurement) como por el FAS-133 (Financial Accounting Standard Board Statement No.133 -Accounting Derivative Instruments and Hedging Activities). (Figura 4) Del tipo Integrado (Holstico) o Enterprise Risk Management Se define al proceso de administracin de los riesgos integrados o Enterprise Risk Management (ERM) como al proceso de toma de decisiones y el aseguramiento de que estas decisiones son puestas a funcionar, en relacin con el manejo y control del impacto que en la organizacin pudiera tener tanto la materializacin de un evento, o una serie de eventos, como sus consecuencias. Entendiendo por evento a todo hecho, accin, situacin o condicin que puede generar una potencial inconsistencia o desviacin de un resultado esperado, no existiendo diferencia entre si el riesgo es puro o especulativo. Es el proceso manejado generalmente por la direccin corporativa de riesgos a cargo del director de Administracin de Riesgos o Chief Risk Officer (CRO.) Cabe sealar que lo antes expresado, est de acuerdo con lo estipulado tanto en la norma ISO 73 (ISO-IEC Guide 73-Risk Management Vocabulary-Guidelines for use in standards) como en los estndares, tanto el Australiano-Neozelands (AS/NZS 4360-1999-Risk Management) como el del Reino Unido (IRMAIRMIC-ALARM-Risk Management Standard ) en relacin con la integracin del proceso de administracin de riesgos en las organizaciones. En la prctica, el proceso de riesgos integrados (ERM) se consigue en las organizaciones aplicado de dos maneras: del tipo amplio y del tipo restringido. Proceso de administracin de los riesgos integrados (tipo amplio)

Se manejan tanto los escenarios positivos como los negativos de los eventos a los que est expuesta la organizacin. (Figura 5) Proceso de administracin de los riesgos integrados (tipo restringido) Se manejan solamente los escenarios de resultados negativos asociados a los eventos a los que est expuesta la organizacin. Se integran solamente con los riesgos puros la parte de resultados negativos de los riesgos especulativos (downside).Esto permite que las organizaciones puedan generar una estrategia defensiva integrada contra eventos (sean accidentales o no) que, de materializarse, producen un efecto negativo en dicha organizacin. (Figura 6) 9- Procesos de Administracin de Riesgos. Cul Auditar? Aunque cualquiera de los 4 tipos de procesos de Administracin de Riesgos sealados en el punto anterior son auditables, se debe buscar cul es el que, al ser auditado, permita que se cumpla tanto con los objetivos de la auditora como con los objetivos de la Administracin de Riesgos que maneja dicho proceso para la organizacin. En relacin con esto, y tomando en cuenta el concepto de riesgo sealado en el Enterprise Risk Management Framework a ser publicado a mediados del 2004 (pero cuya versin final ya ha sido objeto de discusin pblica) por el COSO (The Committee of Sponsoring Organizations of the Treadway Comisin), organismo conformado por el American Institute of Certified Public Accountant (AICPA), la American Accountant Association (AAA), Financial Executives Internacional (FEI),The Institute of Internal Auditors (The IIA) y el Institute of Management Accountant (IMA), la definicin de riesgo sera la siguiente: La posibilidad de que un evento ocurra y afecte adversamente los logros de los objetivos. As como el sealado en la norma ISO 73 (ISO-IEC Guide 73-Risk Management Vocabulary-Guidelines for use in standards) donde se define al riesgo como: Combinacin de la probabilidad de un evento y su consecuencia. Con la siguiente nota aclaratoria (Nota 1): El trmino riesgo es generalmente usado solo cuando existe la posibilidad de consecuencias negativas. De la aplicacin de los dos conceptos anteriores se concluye que slo los dos procesos asociados al proceso de administracin de los riesgos integrados o Enterprise Risk Management(sea ste del tipo amplio o del tipo restringido) cumpliran con lo contenido en los conceptos de riesgo anteriormente sealados, siendo nuestra opinin que utilizando el tipo restringido (integracin de los riesgos puros con la parte de resultados negativos o downside de los riesgos especulativos) se cumplira con los objetivos planteado por la auditora interna (no sera el mismo caso para con el cumplimiento de los objetivos de la Administracin de Riesgos, los cuales dependern del rol de los mismos en cada organizacin). Adems, lo antes sealado se ve reforzado por lo sealado en la Ley Sarbanes-Oxley (The Sarbanes-Oxley Act of 2002),ley que fue puesta en vigor en los Estados Unidos en julio de

2002 como respuesta a la ocurrencia de los mayores escndalos corporativos y contables en algunas de las ms prominentes empresas norteamericanas que manejaban fondos pblicos (al ser objeto de pblica cotizacin en las bolsa de valores).Esta ley establece nuevas normas y prcticas de contabilidad as como tambin sanciones civiles y penales para directores y ejecutivos de las corporaciones involucrados en delitos bajo esta ley. Cabe sealar que el radio de accin de esta ley se extiende a cualquier empresa registrada en la Comisin de Valores de los Estados Unidos (SEC) y que cotice en cualquier mercado registrado en el SEC (NYSC, NASDAQ, AMEX, etc.) no importando si la empresa es norteamericana o no. La ley le da nuevas y especficas responsabilidades a los comits de auditora (auditor y committees) de las organizaciones as como tambin seala al (SEC) como el encargado de normar la implementacin de las nuevas prcticas en los procedimiento y de supervisin en relacin con: La exactitud de la informacin contenida en los estados financieros a ser publicados por las empresas. La efectividad de los controles internos de los procesos de negocio que sirven de base para dicha informacin. En relacin con el segundo aspecto (efectividad de los controles internos), se desprende que las organizaciones debern utilizar todo un sistema de control interno (internal control system) que les sirva como referencia para poder cumplir con dicho requerimiento. Este sistema tendr que contener entre otros, un subsistema que permita el control del proceso de Administracin de Riesgos de las organizaciones y que adicionalmente le sirva como marco de referencia para poder evaluar el mismo. Dado que el objetivo de la ley es asegurar que la informacin financiera en manos del pblico sea la correcta, independientemente deber re flejar la totalidad integral de los procesos internos, por lo que, el proceso de Administracin de Riesgos que apoye al sistema de control deber estar tambin integra do y no fragmentado, es decir, bajo un ambiente de administracin de los riesgos integrados o Enterprise Risk Management. Adicionalmente, sea cual sea el standard sobre Administracin de Riesgos o framework seleccionado,(COSO, Standard Australiano-Neozelands, Reino Unido), stos ya han incorporado la visin integral de riesgos o Enterprise Risk Management como la prctica a utilizar. 10- Conclusiones Como sealan T. L.Barton,W.G. Shenkir y P. L.Walter en su libro Making Enterprise Risk Management Pay Off:Una efectiva Administracin de Riesgos no es algo opcional en el siglo XXI, los accionistas la demandarn y los mejores directivos de las organizaciones la adoptarn. Esa efectiva Administracin de Riesgos pasa por manejar a todas las potenciales fuentes que amenazan el logro de los objetivos de la organizacin, no importando si estas amenazas presentan o no, a su vez, fuentes de ventajas competitivas. sta es la administracin de los riesgos integrados o Enterprise Risk Management. Esta visin est en contraposicin con la visin tradicional de ver a los mismos silo por silo, pero, para el xito de sta, se necesita una funcin de Administracin de Riesgos que maneje el cambio y controle el proceso que dicho concepto genera y una funcin de auditora interna que asegure y brinde asesora al mismo, todos con un mismo objetivo: el de ayudar y contribuir al cumplimiento de los objetivos que le permita a la organizacin el logro de su misin, su razn de ser.

Fig1

Fig2

Fig3

Fig4

Fig5

Fig6.