Diseo del modelo para administrar riesgos en auditora interna

Autor: Lic. Ederlys Hernndez Melndrez, M. Sc. Rafael Enrique Via Echevarra, M. Sc. Sonia Hernndez La Rosa y Lic. Yuliesky Cristo Dvora Auditoria y control interno  06-2007
 Este capitulo es el producto del estudio de los resultados a las Supervisiones efectuadas por la autora en cumplimiento del ejercicio de sus funciones como especialista Superior en Auditora ejercidas como Supervisor y su doble condicin de Profesora de la Disciplina de Contabilidad y Auditora, mediante la cual tuvo la oportunidad de confrontar en la prctica estos resultados investigativos. Estas investigaciones se corresponden con una estrategia encaminada a dar respuesta al problema planteado como objeto de trabajo en el diseo de la investigacin, las que se combinaron de la forma siguiente:

Diseo y validacin de un Modelo para diagnosticar los riesgos en el Sistema de Auditora Interna, el cual logra una interrelacin entre la Auditora Interna y la Administracin de Riesgos de la misma. Diseo y validacin de un Modelo de Organizacin del Sistema de Auditora Interna, con la aplicacin de un conjunto de procedimientos, tcnicas y herramientas con enfoque de riesgos, para garantizar mejoras de la calidad en el proceso de Auditora Interna. Este capitulo es el producto del estudio de los resultados a las Supervisiones efectuadas por la autora en cumplimiento del ejercicio de sus funciones como especialista Superior en Auditora ejercidas como Supervisor y su doble condicin de Profesora de la Disciplina de Contabilidad y Auditora, mediante la cual tuvo la oportunidad de confrontar en la prctica estos resultados investigativos.

Estas investigaciones se corresponden con una estrategia encaminada a dar respuesta al problema planteado como objeto de trabajo en el diseo de la investigacin, las que se combinaron de la forma siguiente: Diseo y validacin de un Modelo para diagnosticar los riesgos en el Sistema de Auditora Interna, el cual logra una interrelacin entre la Auditora Interna y la Administracin de Riesgos de la misma. Diseo y validacin de un Modelo de Organizacin del Sistema de Auditora Interna, con la aplicacin de un conjunto de procedimientos, tcnicas y herramientas con enfoque de riesgos, para garantizar mejoras de la calidad en el proceso de Auditora Interna. A continuacin se ilustra como se logra la organizacin del proceso de la Auditora Interna partiendo de una adecuada Administracin de Riesgos, la que se sintetiza partiendo de los siguientes pasos coadyuvando finalmente la interrelacin entre stas.

Diagnstico y evaluacin de los riesgos Se trata de una Investigacin sobre el ejercicio de auditoras en la Unidad de Auditora Interna, ejecutada mediante la utilizacin de diferentes mtodos; Empricos, tericos e histrico-lgico.

El estudio se inici en el ao 2005, como parte de un proceso de anlisis solicitado por la mxima direccin de la institucin. El mismo abarc las supervisiones efectuadas en los aos 2003, 2004 y 2005, inclusive. Este diseo se realizo con el apoyo de expertos en esta materia encargados a la vez de la asesora y direccin del rea. 2.1. Diseo del Modelo 2.1.1. Poltica de la Direccin de Auditora Interna (UAI) 1. Los riesgos sern identificados en cada uno de los subprocesos de la Auditora y toda la evidencia documental de su administracin se recoger en un expediente habilitado a tales efectos. 2. Los responsables del proceso tendrn a su vez la obligacin de informar los riesgos que se observen en dicho proceso. 3. Los responsables del proceso implementarn y darn permanente continuidad a los lineamientos que se dictan en el diseo de la Metodologa para Administracin de los Riesgos en la Direccin de Auditora .Interna 4. La Direccin de Auditora Interna conjuntamente con el Comit de Control ser la encargada de revisar que se cumpla el trabajo que se debe desarrollar en el tratamiento de los riesgos. 5. Los responsables de proceso tendrn las siguientes funciones: Iniciar las acciones para prevenir o reducir los efectos adversos de los riesgos. Mantener el control de cada riesgo hasta que el mismo sea considerado en la categora ACEPTABLE. Identificar, registrar y dar a conocer cada nuevo riesgo. Promover las soluciones a los riesgos tratados y verificar las mismas. Emitir la correspondiente comunicacin, segn corresponda, de las incidencias de riesgo en el proceso. Actualizar permanentemente el mapa de riesgo del proceso. Mantener actualizado el Expediente de Riesgos del Proceso con toda la evidencia documental referente al tratamiento de los riesgos.

6. La evaluacin de los riesgos tendr tres niveles: Aceptable.- Se considera aceptable el riesgo cuando se pueden mantener los controles actuales siguiendo los procedimientos de rutina. Moderado.- Es moderado el riesgo cuando deben confeccionar acciones de reduccin de daos y especificarse quien es el responsable de la implementacin de stas. Inaceptable.- Se considera inaceptable el riesgo cuando deben tomarse, de inmediato, acciones de reduccin de impacto y probabilidad para atenuar la gravedad del riesgo. Se especificar la responsabilidad, fecha de cumplimiento y fecha de revisin.

2.1.2. Diagnstico del proceso de Auditora Interna El Modelo de Organizacin, fue concebido partiendo de la Cadena de Valores del proceso de Auditora, mostrado en el Capitulo anterior. El diseo para diagnosticar los riesgos en el proceso de Auditora Interna consiste en: a) Definir criterios de valoracin de los riesgos b) Realizar el diagnstico del ejercicio de la Auditora Interna 1. Detallar las tareas a ejecutar en cada subproceso 2. Identificar los riesgos en cada subproceso 2. Evaluar los riesgos de cada subproceso 3. Confeccionar el Mapa de los Riesgos. c) Disear el Modelo de Organizacin del proceso de Auditora Interna, con enfoque de riesgo a) Definicin de los criterios de valoracin de los riesgos Los pasos a seguir en el tratamiento de los riesgos sern los que se describen a continuacin: Identificacin Anlisis Evaluacin

 Supervisin y Monitoreo Comunicacin y Consulta Identificacin.- Los riesgos sern identificados, en los puntos vulnerables de cada subproceso, atendiendo a las diversas fuentes que pueden originarlos y las posibles manifestaciones de ocurrencia de los mismos. Se detallar si su fuente es interna o externa. Deber entenderse quedar registrado: Cul es el riesgo Cmo puede manifestarse Por qu Qu controles existen en ese momento para contrarrestar sus efectos. Anlisis.- Parte del anlisis que se realiza, a los riesgos identificados, en cuanto a las consecuencias y probabilidades de ocurrencia de los mismos. Probabilidad Impacto Se analizan los riesgos combinando las estimaciones de impacto y su probabilidad de ocurrencia, en el contexto de las medidas de control existentes, valorando las fortalezas y debilidades de cada uno. Si algn riesgo resulta excluido se debe mencionar en el anlisis. Al combinar las consecuencias de ocurrir un evento con las probabilidades de que ocurra se llega a determinar un nivel de riesgo. Evaluacin. Los Niveles de Riesgo en la Direccin de Auditora Interna sern los siguientes: Aceptable Moderado Inaceptable Las fuentes de informacin que pueden ser utilizadas para estos fines son: Datos estadsticos Experiencias Prctica diaria Datos relevantes de publicaciones

 Comprobaciones efectuadas por investigacin de mercado Resultados de experimentos Modelos establecidos Opiniones y juicios de expertos y especialistas Las tcnicas para analizar los riesgos, entre otras, puede ser: Entrevistas Grupos de expertos Cuestionarios individuales Supervisin y Monitoreo. Es preciso que los riesgos y la efectividad de las medidas de control de cada uno, sea monitoreado y supervisado para tener la seguridad de que las condiciones cambiantes, tanto internas como del entorno, no alteren las prioridades del tratamiento de los mismos. Adems contribuye a la identificacin de las nuevas fuentes de riesgos y por consiguiente el comienzo del tratamiento de los nuevos riesgos identificados. Comunicacin y Consulta .En cada paso del proceso de administracin de los riesgos es importante mantener una adecuada comunicacin de los interesados. En cada paso debe existir una forma en que se comunique el trabajo que se est realizando con los riesgos. Esta comunicacin debe preverse en ambas direcciones, es decir, solamente no estar concebida esta como un flujo de informacin hacia los interesados, debe existir la retroalimentacin del emisor con los criterios de todos los involucrados, de manera que exista comunicacin sobre el control ejercido, es decir informacin de los Supervisores hacia los niveles correspondientes, incluido el auditor, y asesora con el fin de lograr mejoras en el ejercicio de la auditora Interna. b) Diagnstico del proceso de Auditora Interna b-1. Tareas a ejecutar en cada subproceso e identificacin de los riesgos Para efectuar el diagnstico del proceso de auditora Interna e identificar los riesgos en el proceso, debe efectuarse el estudio partiendo de las tareas previstas para cada subproceso, y determinar los riesgos.

Para ello se debe utilizar un Estndar el que se muestra a continuacin:

Conocidos los riesgos, debe iniciarse el proceso de evaluacin de los mismos, lo que requiere los siguientes pasos: b-2. Clasificacin de los riesgos Evaluacin.- Es el resultado de comparar los niveles de riesgo establecidos, con los criterios que se tienen preestablecidos para su evaluacin. En este caso los criterios son los siguientes: a) Probabilidad de ocurrencia del Riesgo b) Impacto ante la ocurrencia del Riesgo. Para ello: las probabilidades de ocurrencia debern determinarse en: a) Poco Frecuente (PF) b) Moderado (M) c) Frecuente (F) Poco Frecuente: cuando el Riesgo ocurre slo en circunstancias excepcionales. Moderado: Puede ocurrir en algn momento.

Frecuente: Se espera que ocurra en la mayora de las circunstancias. El Impacto ante la ocurrencia sera considerado de: a) Leve (L) b) Moderado (M) c) Grande (G) Leve: Perjuicios tolerables. Baja prdida financiera. Moderado: Requiere de un tratamiento diferenciado: Prdida financiera media. Grande: Requiere tratamiento diferenciado. Alta prdida financiera. La evaluacin del Riesgo sera de: Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles actuales, siguiendo los procedimientos de rutina. Moderado: (Riesgo Medio). Se consideran riesgos Aceptables con Medidas de Control. Se deben acometer acciones de reduccin de daos y especificar las responsabilidades de su implantacin y supervisin. Inaceptable: (Riesgo Alto). Deben tomarse de inmediato acciones de reduccin de Impacto y Probabilidad para atenuar la gravedad del riesgo. Se especificar el responsable y la fecha de revisin sistemtica. Si se quisiera evaluar el Impacto de los Riesgos en un subproceso, se utiliza un Estndar el que se muestra a continuacin: Para evaluar, se utiliza el Estndar, donde se identifican todos los riesgos de cada uno de los subprocesos diagnosticados anteriormente, y se evalan en conformidad con lo previsto anteriormente. La evaluacin de riesgos proporciona la lista de prioridades para el tratamiento de los riesgos por medio de las acciones a seguir en cada caso.

Se deben tener en cuenta los objetivos de la organizacin y el grado de oportunidad que se puede alcanzar como resultado de tratar el riesgo. Se tendr en cuenta, tambin, el grado de beneficio para las partes involucradas. b-3. Mapa de los Riesgos Luego de evaluado todos los riesgos, se sitan en el cuadrante del Mapa que le corresponde segn la Matriz. Resulta una tcnica conocida y muy usada, como herramienta de trabajo, la representacin grfica. Se ilustra a continuacin:

Ilustracin No. 6. Niveles de Riesgo (Matriz) Como puede observarse, el grfico anterior ilustra los cuadrantes donde segn su Impacto y Probabilidad de Ocurrencia se sitan estos Riesgos, y su color identifica la Evaluacin del mismo, lo que no significa que en el Plan de Medidas no se tengan en cuenta todos los Riesgos, pues deber mantenerse el seguimiento de todos los identificados y el Plan de accin de cada uno. Las opciones a tener en cuenta para acometer acciones de reduccin de riesgos pueden ser:

 Evitarlo Reducir probabilidad de ocurrencia Reducir consecuencias Transferir el riesgo Retener el riesgo Luego estas opciones debern evaluarse y tener en cuenta el costo beneficio de la decisin de tratamiento del riesgo. Se confeccionarn planes de tratamiento de riesgos. En los mismos se tendr en cuenta: El riesgo en orden de prioridad Opciones posibles de tratamiento Nivel que adquiere el riesgo luego de ser tratado Resultado del anlisis costo beneficio Responsable de acometer la accin Calendario de implementacin Forma en que se va a monitorear Y desde luego muchas otras, que puedan derivarse de un anlisis casustico en una UAI. El Plan de Accin estara en correspondencia con el tipo de riesgo, con la organizacin donde se realiza el servicio, con el tipo de auditora, con el subproceso que se realice y por supuesto con el auditor o auxiliar que la ejecute. Vital importancia reviste el dominio de la actividad, el monitoreo en la ejecucin sucesiva sobre el manejo de futuras acciones y la supervisin sistemtica en diferentes momentos de realizacin de las auditoras en correspondencia sobre la incidencia de los riesgos pasados o reiterados en los subprocesos con mayores impactos. Las Organizaciones de Auditora Interna deben elaborar planes de Accin que contribuyan a la preparacin del auditor sobre el cumplimiento del ejercicio de la profesin. Plan de Accin

El Plan de Accin estara en correspondencia con el tipo de riesgo, con la organizacin donde se realiza el servicio, con el tipo de auditora, con el subproceso que se realice y por supuesto con el auditor o auxiliar que la ejecute. Vital importancia reviste el dominio de la actividad, el monitoreo en la ejecucin sucesiva sobre el manejo de futuras acciones y la supervisin sistemtica en diferentes momentos de realizacin de las auditoras en correspondencia sobre la incidencia de los riesgos pasados o reiterados en los subprocesos que mayores impactos se han observados. Por el impacto que hoy produce la ocurrencia de los riesgos observados en la investigacin, debe elaborarse un Plan de Accin en el que se proponga, fundamentalmente El diseo de un Sistema Organizativo de ejecucin para cada uno de los subprocesos de la auditora. Capacitar a los profesionales de la auditora en la formacin terico-prctica que garantice la calidad en el ejercicio de sus funciones. Evaluar los resultados de las supervisiones Mantener la vigilancia de la posible comisin de riesgos en el desarrollo sistemtico del ejercicio de las auditoras. Monitorear el cumplimiento de la Cadena de Valores por cada profesional. Etc. Responsables: Departamento de Auditora Supervisor Jefe de Grupo Auditor Estndares: Consiste en Guas, con determinado aspectos a evaluar, por cada subproceso, el cual debe concluir con una evaluacin, la que deber clasificar segn la probabilidad de ocurrencia y el Impacto ante la misma. Deber adems de resumirse, representarse en un grfico, con el fin de elaborar el consecuente Plan de Accin para reducir la probabilidad de ocurrencia.

Controles: Frecuentemente debe evaluarse el comportamiento de cada subproceso y por cada rea de trabajo. Resulta importante establecer un sistema de control en esa Cadena de Valores, donde todos los subprocesos en Auditora son necesarios para lograr un servicio eficaz, y eficiente, con los requerimientos de calidad esperada. Una administracin eficiente de los Riesgos, sera entonces una aproximacin cientfica de su comportamiento, anticipando posibles prdidas accidentales con el diseo e implementacin de procedimientos que minimicen la ocurrencia de prdidas o el impacto financiero de las prdidas que puedan ocurrir. A continuacin se muestra los resultados de la validacin del Modelo de Diagnstico y Evaluacin de Riesgos expuesto anteriormente. 2.2. Validacin del Modelo 2.2.1. Resultados del Diagnstico Como se enuncia anteriormente la investigacin se bas en el estudio efectuado a las Supervisiones realizadas en un perodo de tres aos a diferentes profesionales en el ejercicio de determinadas auditoras. Para efectuar el diagnstico fue necesario realizarlo, partiendo del flujo logstico de la Cadena de Valores a partir de cada subproceso de Auditora en la Organizacin de Auditora Interna de la Corporacin Copextel S.S., donde sealamos las tareas ms importantes a realizar en cada uno de stos, en este servicio, que como proceso fundamental realiza esta organizacin, y se hacen mencin a riesgos en el cumplimiento de diferentes tareas, y posibles en cualquier organizacin que brinde los servicios de auditora, aplicndose el estndar propuesto en el Diseo. En el estudio fueron diagnosticados los siete subprocesos propuestos por la autora en esta investigacin, tareas a partir d criterios con especialistas de la Direccin de Auditora y auditores de la UAI, de diferentes provincias, as como expertos del Tema. Sin lugar a dudas, no est todo escrito y slo es una primera intencin de estudio pues el proceso no es un esquema nico, en cada rea de accin debe adaptarse el

Modelo, pues la garanta del diseo debe lograr ajustarse al medio con sus determinadas caractersticas y condiciones. El resultado de este Diagnstico, Evaluacin y Mapa de los Riesgos del proceso de Auditora Interna de la UAI objeto de estudio aparecen ilustrados en el Anexo Nro. 1, 2, y 3, que se adjunta al final del Informe de la Investigacin. Por el impacto que produce la ocurrencia de los riesgos observados en la investigacin, se elabor un Plan de Accin en el que se propuso, fundamentalmente: El diseo de un Sistema Organizativo de ejecucin para cada uno de los subprocesos de la auditora. Por supuesto result necesario para lograr una adecuada implementacin: Capacitar a los profesionales de la auditora en la formacin terico-prctica que garantizar la calidad en el ejercicio de sus funciones, a partir de los procedimientos, tcnicas y herramientas previstas en el Modelo. Evaluar sistemticamente los resultados de las supervisiones efectuadas a los Auditores, en variadas Auditorias. Mantener la vigilancia de la posible comisin de riesgos en el desarrollo sistemtico del ejercicio de las auditoras. Monitorear el cumplimiento de la Cadena de Valores por cada profesional. Etc. Para cumplir el Plan de Accin, propuesto por la autora, fue elaborado un Modelo de Organizacin del Sistema de Auditoria Interna, efectuada con enfoque de riesgos, en la que se previeron adems: Objetivos de trabajo Responsables de ejecucin Estndares Controles a efectuar Y adems se le incluye un glosario de Trminos Los resultados obtenidos hasta la fecha, se encuentran validados por las diferentes instituciones, las cuales se soportan como avales de su aplicacin en Anexos al final del Informe de investigacin, entre las que se encuentran: Su aplicacin prctica como manual de Auditora Interna, en la UAI, objeto de estudio las que se corresponden con el Objeto de investigacin y campo de accin respectivamente. Estudio de aplicacin de la Delegacin Territorial de Auditoria de la provincia Sancti

Spiritus. Utilizacin como Bibliografa en la imparticin de diez Postgrados de Auditora en el Centro Universitario de Sancti Spiritus Jos Mart y tres de los mdulos que se imparten de Diplomados de Auditora que se realizan en un Programa de Recalificacin de los auditores de la UAI de entidad objeto de estudio, desarrollados en la Zona Occidental, Zona Central y Zona Oriental. Dictamen de Sesin Cientfica del Centro Universitario de Sancti Spiritus Jos Mart, como Tema para aspirar al Grado Cientfico de Doctor en Ciencias. Certificado de aprobacin de tema por la Academia de Ciencias. Varias de las notificaciones de estudio y consulta de profesionales y estudiantes de determinados pases de Amrica latina que acceden a las Publicaciones de diferentes Publicaciones efectuadas en sitios de Internet. Certificados de Publicaciones de diferentes temas relacionados con el Modelo de organizacin diseado. (13 ) Participacin en el Forum Municipal de Economa de la ANEC (2007) con calificacin de Relevante. Lic. Ederlys Hernndez Melndrez ederlysarrobasuss.co.cu