Autores: Lic. Ederlys Hernández Meléndrez, M. Sc. Rafael Enrique Viña Echevarría, M. Sc. Sonia Hernández La Rosa y Lic. Yuliesky Cristo Dévora.
Este capitulo es el producto del estudio de los resultados a las Supervisiones efectuadas por la autora en cumplimiento del ejercicio de sus funciones como especialista Superior en Auditoría ejercidas como Supervisor y su doble condición de Profesora de la Disciplina de Contabilidad y Auditoría, mediante la cual tuvo la oportunidad de confrontar en la práctica estos resultados investigativos.
Estas investigaciones se corresponden con una estrategia encaminada a dar respuesta al problema planteado como objeto de trabajo en el diseño de la investigación, las que se combinaron de la forma siguiente:
• Diseño y validación de un Modelo para diagnosticar los riesgos en el Sistema de Auditoría Interna, el cual logra una interrelación entre la Auditoría Interna y la Administración de Riesgos de la misma.
• Diseño y validación de un Modelo de Organización del Sistema de Auditoría Interna, con la aplicación de un conjunto de procedimientos, técnicas y herramientas con enfoque de riesgos, para garantizar mejoras de la calidad en el proceso de Auditoría Interna.
Diagnóstico y evaluación de los riesgos
Se trata de una Investigación sobre el ejercicio de auditorías en la Unidad de Auditoría Interna, ejecutada mediante la utilización de diferentes métodos; Empíricos, teóricos e histórico-lógico.
El estudio se inició en el año 2005, como parte de un proceso de análisis solicitado por la máxima dirección de la institución. El mismo abarcó las supervisiones efectuadas en los años 2003, 2004 y 2005, inclusive.
Este diseño se realizo con el apoyo de expertos en esta materia encargados a la vez de la asesoría y dirección del área.
2.1. Diseño del Modelo
2.1.1. Política de la Dirección de Auditoría Interna (UAI)
1. Los riesgos serán identificados en cada uno de los subprocesos de la Auditoría y toda la evidencia documental de su administración se recogerá en un expediente habilitado a tales efectos.
2. Los responsables del proceso tendrán a su vez la obligación de informar los riesgos que se observen en dicho proceso.
3. Los responsables del proceso implementarán y darán permanente continuidad a los lineamientos que se dictan en el diseño de la Metodología para Administración de los Riesgos en la Dirección de Auditoría .Interna
4. La Dirección de Auditoría Interna conjuntamente con el Comité de Control será la encargada de revisar que se cumpla el trabajo que se debe desarrollar en el tratamiento de los riesgos.
5. Los responsables de proceso tendrán las siguientes funciones:
Iniciar las acciones para prevenir o reducir los efectos adversos de los riesgos.
Mantener el control de cada riesgo hasta que el mismo sea considerado en la categoría ACEPTABLE.
Identificar, registrar y dar a conocer cada nuevo riesgo.
Promover las soluciones a los riesgos tratados y verificar las mismas.
Emitir la correspondiente comunicación, según corresponda, de las incidencias de riesgo en el proceso.
Actualizar permanentemente el mapa de riesgo del proceso.
Mantener actualizado el Expediente de Riesgos del Proceso con toda la evidencia documental referente al tratamiento de los riesgos.
6. La evaluación de los riesgos tendrá tres niveles:
Aceptable.- Se considera aceptable el riesgo cuando se pueden mantener los controles actuales siguiendo los procedimientos de rutina.
Moderado.- Es moderado el riesgo cuando deben confeccionar acciones de reducción de daños y especificarse quien es el responsable de la implementación de éstas.
Inaceptable.- Se considera inaceptable el riesgo cuando deben tomarse, de inmediato, acciones de reducción de impacto y probabilidad para atenuar la gravedad del riesgo. Se especificará la responsabilidad, fecha de cumplimiento y fecha de revisión.
Cómo efectuar el diagnostico y la evaluación de los Riesgos en Auditoría Interna
2.1.2. Diagnóstico del proceso de Auditoría Interna
El Modelo de Organización, fue concebido partiendo de la Cadena de Valores del proceso de Auditoría, mostrado en el Capitulo anterior.
El diseño para diagnosticar los riesgos en el proceso de Auditoría Interna consiste en:
a) Definir criterios de valoración de los riesgos
b) Realizar el diagnóstico del ejercicio de la Auditoría Interna
1. Detallar las tareas a ejecutar en cada subproceso
2. Identificar los riesgos en cada subproceso
2. Evaluar los riesgos de cada subproceso
3. Confeccionar el Mapa de los Riesgos.
c) Diseñar el Modelo de Organización del proceso de Auditoría Interna, con enfoque de riesgo
a) Definición de los criterios de valoración de los riesgos
Los pasos a seguir en el tratamiento de los riesgos serán los que se describen a continuación:
Ø Identificación
Ø Análisis
Ø Evaluación
Ø Supervisión y Monitoreo
Ø Comunicación y Consulta
Identificación.- Los riesgos serán identificados, en los puntos vulnerables de cada subproceso, atendiendo a las diversas fuentes que pueden originarlos y las posibles manifestaciones de ocurrencia de los mismos. Se detallará si su fuente es interna o externa. Deberá entenderse quedar registrado:
• Cuál es el riesgo
• Cómo puede manifestarse
• Por qué
• Qué controles existen en ese momento para contrarrestar sus efectos.
Análisis.- Parte del análisis que se realiza, a los riesgos identificados, en cuanto a las consecuencias y probabilidades de ocurrencia de los mismos.
Ø Probabilidad
Ø Impacto
Se analizan los riesgos combinando las estimaciones de impacto y su probabilidad de ocurrencia, en el contexto de las medidas de control existentes, valorando las fortalezas y debilidades de cada uno. Si algún riesgo resulta excluido se debe mencionar en el análisis. Al combinar las consecuencias de ocurrir un evento con las probabilidades de que ocurra se llega a determinar un nivel de riesgo.
Evaluación. Los Niveles de Riesgo en la Dirección de Auditoría Interna serán los siguientes:
Ø Aceptable
Ø Moderado
Ø Inaceptable
Las fuentes de información que pueden ser utilizadas para estos fines son:
¨ Datos estadísticos
¨ Experiencias
¨ Práctica diaria
¨ Datos relevantes de publicaciones
¨ Comprobaciones efectuadas por investigación de mercado
¨ Resultados de experimentos
¨ Modelos establecidos
¨ Opiniones y juicios de expertos y especialistas
Las técnicas para analizar los riesgos, entre otras, puede ser:
¨ Entrevistas
¨ Grupos de expertos
¨ Cuestionarios individuales
Supervisión y Monitoreo. Es preciso que los riesgos y la efectividad de las medidas de control de cada uno, sea monitoreado y supervisado para tener la seguridad de que las condiciones cambiantes, tanto internas como del entorno, no alteren las prioridades del tratamiento de los mismos. Además contribuye a la identificación de las nuevas fuentes de riesgos y por consiguiente el comienzo del tratamiento de los nuevos riesgos identificados.
Comunicación y Consulta .En cada paso del proceso de administración de los riesgos es importante mantener una adecuada comunicación de los interesados. En cada paso debe existir una forma en que se comunique el trabajo que se está realizando con los riesgos.
Esta comunicación debe preverse en ambas direcciones, es decir, solamente no estará concebida esta como un flujo de información hacia los interesados, debe existir la retroalimentación del emisor con los criterios de todos los involucrados, de manera que exista comunicación sobre el control ejercido, es decir información de los Supervisores hacia los niveles correspondientes, incluido el auditor, y asesoría con el fin de lograr mejoras en el ejercicio de la auditoría Interna.
b) Diagnóstico del proceso de Auditoría Interna
b-1. Tareas a ejecutar en cada subproceso e identificación de los riesgos
Para efectuar el diagnóstico del proceso de auditoría Interna e identificar los riesgos en el proceso, debe efectuarse el estudio partiendo de las tareas previstas para cada subproceso, y determinar los riesgos.
Conocidos los riesgos, debe iniciarse el proceso de evaluación de los mismos, lo que requiere los siguientes pasos:
b-2. Clasificación de los riesgos
Evaluación.- Es el resultado de comparar los niveles de riesgo establecidos, con los criterios que se tienen preestablecidos para su evaluación. En este caso los criterios son los siguientes:
a) Probabilidad de ocurrencia del Riesgo
b) Impacto ante la ocurrencia del Riesgo.
Para ello:
• las probabilidades de ocurrencia deberán determinarse en:
a) Poco Frecuente (PF)
b) Moderado (M)
c) Frecuente (F)
Poco Frecuente: cuando el Riesgo ocurre sólo en circunstancias excepcionales.
Moderado: Puede ocurrir en algún momento.
Frecuente: Se espera que ocurra en la mayoría de las circunstancias.
• El Impacto ante la ocurrencia sería considerado de:
a) Leve (L)
b) Moderado (M)
c) Grande (G)
Leve: Perjuicios tolerables. Baja pérdida financiera.
Moderado: Requiere de un tratamiento diferenciado: Pérdida financiera media.
Grande: Requiere tratamiento diferenciado. Alta pérdida financiera.
La evaluación del Riesgo sería de:
Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles actuales, siguiendo los procedimientos de rutina.
Moderado: (Riesgo Medio). Se consideran riesgos Aceptables con Medidas de Control. Se deben acometer acciones de reducción de daños y especificar las responsabilidades de su implantación y supervisión.
Inaceptable: (Riesgo Alto). Deben tomarse de inmediato acciones de reducción de Impacto y Probabilidad para atenuar la gravedad del riesgo. Se especificará el responsable y la fecha de revisión sistemática.
Si se quisiera evaluar el Impacto de los Riesgos en un subproceso, se utiliza un Estándar el que se muestra a continuación:
Para evaluar, se utiliza el Estándar, donde se identifican todos los riesgos de cada uno de los subprocesos diagnosticados anteriormente, y se evalúan en conformidad con lo previsto anteriormente.
La evaluación de riesgos proporciona la lista de prioridades para el tratamiento de los riesgos por medio de las acciones a seguir en cada caso.
Se deben tener en cuenta los objetivos de la organización y el grado de oportunidad que se puede alcanzar como resultado de tratar el riesgo. Se tendrá en cuenta, también, el grado de beneficio para las partes involucradas.
b-3. Mapa de los Riesgos
Luego de evaluado todos los riesgos, se sitúan en el cuadrante del Mapa que le corresponde según la Matriz. Resulta una técnica conocida y muy usada, como herramienta de trabajo, la representación gráfica.
Como puede observarse, el gráfico anterior ilustra los cuadrantes donde según su Impacto y Probabilidad de Ocurrencia se sitúan estos Riesgos, y su color identifica la Evaluación del mismo, lo que no significa que en el Plan de Medidas no se tengan en cuenta todos los Riesgos, pues deberá mantenerse el seguimiento de todos los identificados y el Plan de acción de cada uno.
Las opciones a tener en cuenta para acometer acciones de reducción de riesgos pueden ser:
¨ Evitarlo
¨ Reducir probabilidad de ocurrencia
¨ Reducir consecuencias
¨ Transferir el riesgo
¨ Retener el riesgo
Luego estas opciones deberán evaluarse y tener en cuenta el costo beneficio de la decisión de tratamiento del riesgo.
Se confeccionarán planes de tratamiento de riesgos. En los mismos se tendrá en cuenta:
¨ El riesgo en orden de prioridad
¨ Opciones posibles de tratamiento
¨ Nivel que adquiere el riesgo luego de ser tratado
¨ Resultado del análisis costo beneficio
¨ Responsable de acometer la acción
¨ Calendario de implementación
¨ Forma en que se va a monitorear
Y desde luego muchas otras, que puedan derivarse de un análisis casuístico en una UAI.
El Plan de Acción estaría en correspondencia con el tipo de riesgo, con la organización donde se realiza el servicio, con el tipo de auditoría, con el subproceso que se realice y por supuesto con el auditor o auxiliar que la ejecute.
Vital importancia reviste el dominio de la actividad, el monitoreo en la ejecución sucesiva sobre el manejo de futuras acciones y la supervisión sistemática en diferentes momentos de realización de las auditorías en correspondencia sobre la incidencia de los riesgos pasados o reiterados en los subprocesos con mayores impactos. Las Organizaciones de Auditoría Interna deben elaborar planes de Acción que contribuyan a la preparación del auditor sobre el cumplimiento del ejercicio de la profesión.
Plan de Acción
El Plan de Acción estaría en correspondencia con el tipo de riesgo, con la organización donde se realiza el servicio, con el tipo de auditoría, con el subproceso que se realice y por supuesto con el auditor o auxiliar que la ejecute. Vital importancia reviste el dominio de la actividad, el monitoreo en la ejecución sucesiva sobre el manejo de futuras acciones y la supervisión sistemática en diferentes momentos de realización de las auditorías en correspondencia sobre la incidencia de los riesgos pasados o reiterados en los subprocesos que mayores impactos se han observados.
Por el impacto que hoy produce la ocurrencia de los riesgos observados en la investigación, debe elaborarse un Plan de Acción en el que se proponga, fundamentalmente
ü El diseño de un Sistema Organizativo de ejecución para cada uno de los subprocesos de la auditoría.
ü Capacitar a los profesionales de la auditoría en la formación teórico-práctica que garantice la calidad en el ejercicio de sus funciones.
ü Evaluar los resultados de las supervisiones
ü Mantener la vigilancia de la posible comisión de riesgos en el desarrollo sistemático del ejercicio de las auditorías.
ü Monitorear el cumplimiento de la Cadena de Valores por cada profesional.
ü Etc.
Responsables:
• Departamento de Auditoría
• Supervisor
• Jefe de Grupo
• Auditor
Estándares:
Consiste en Guías, con determinado aspectos a evaluar, por cada subproceso, el cual debe concluir con una evaluación, la que deberá clasificar según la probabilidad de ocurrencia y el Impacto ante la misma.
• Deberá además de resumirse, representarse en un gráfico, con el fin de elaborar el consecuente Plan de Acción para reducir la probabilidad de ocurrencia.
Controles:
Frecuentemente debe evaluarse el comportamiento de cada subproceso y por cada área de trabajo.
Resulta importante establecer un sistema de control en esa Cadena de Valores, donde todos los subprocesos en Auditoría son necesarios para lograr un servicio eficaz, y eficiente, con los requerimientos de calidad esperada. Una administración eficiente de los Riesgos, sería entonces una aproximación científica de su comportamiento, anticipando posibles pérdidas accidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir.
A continuación se muestra los resultados de la validación del Modelo de Diagnóstico y Evaluación de Riesgos expuesto anteriormente.
2.2. Validación del Modelo
2.2.1. Resultados del Diagnóstico
Como se enuncia anteriormente la investigación se basó en el estudio efectuado a las Supervisiones realizadas en un período de tres años a diferentes profesionales en el ejercicio de determinadas auditorías.
Para efectuar el diagnóstico fue necesario realizarlo, partiendo del flujo logístico de la Cadena de Valores a partir de cada subproceso de Auditoría en la Organización de Auditoría Interna de la Corporación Copextel S.S., donde señalamos las tareas más importantes a realizar en cada uno de éstos, en este servicio, que como proceso fundamental realiza esta organización, y se hacen mención a riesgos en el cumplimiento de diferentes tareas, y posibles en cualquier organización que brinde los servicios de auditoría, aplicándose el estándar propuesto en el Diseño.
En el estudio fueron diagnosticados los siete subprocesos propuestos por la autora en esta investigación, tareas a partir d criterios con especialistas de la Dirección de Auditoría y auditores de la UAI, de diferentes provincias, así como expertos del Tema. Sin lugar a dudas, no está todo escrito y sólo es una primera intención de estudio pues el proceso no es un esquema único, en cada área de acción debe adaptarse el Modelo, pues la garantía del diseño debe lograr ajustarse al medio con sus determinadas características y condiciones.
El resultado de este Diagnóstico, Evaluación y Mapa de los Riesgos del proceso de Auditoría Interna de la UAI objeto de estudio aparecen ilustrados en el Anexo Nro. 1, 2, y 3, que se adjunta al final del Informe de la Investigación.
Por el impacto que produce la ocurrencia de los riesgos observados en la investigación, se elaboró un Plan de Acción en el que se propuso, fundamentalmente:
ü El diseño de un Sistema Organizativo de ejecución para cada uno de los subprocesos de la auditoría.
Por supuesto resultó necesario para lograr una adecuada implementación:
ü Capacitar a los profesionales de la auditoría en la formación teórico-práctica que garantizará la calidad en el ejercicio de sus funciones, a partir de los procedimientos, técnicas y herramientas previstas en el Modelo.
ü Evaluar sistemáticamente los resultados de las supervisiones efectuadas a los Auditores, en variadas Auditorias.
ü Mantener la vigilancia de la posible comisión de riesgos en el desarrollo sistemático del ejercicio de las auditorías.
ü Monitorear el cumplimiento de la Cadena de Valores por cada profesional. Etc.
Para cumplir el Plan de Acción, propuesto por la autora, fue elaborado un Modelo de Organización del Sistema de Auditoria Interna, efectuada con enfoque de riesgos, en la que se previeron además:
ü Objetivos de trabajo
ü Responsables de ejecución
ü Estándares
ü Controles a efectuar
ü Y además se le incluye un glosario de Términos
Los resultados obtenidos hasta la fecha, se encuentran validados por las diferentes instituciones, las cuales se soportan como avales de su aplicación en Anexos al final del Informe de investigación, entre las que se encuentran:
• Su aplicación práctica como manual de Auditoría Interna, en la UAI, objeto de estudio las que se corresponden con el Objeto de investigación y campo de acción respectivamente.
• Estudio de aplicación de la Delegación Territorial de Auditoria de la provincia Sancti Spiritus.
• Utilización como Bibliografía en la impartición de diez Postgrados de Auditoría en el Centro Universitario de Sancti Spiritus “José Martí” y tres de los módulos que se imparten de Diplomados de Auditoría que se realizan en un Programa de Recalificación de los auditores de la UAI de entidad objeto de estudio, desarrollados en la Zona Occidental, Zona Central y Zona Oriental.
• Dictamen de Sesión Científica del Centro Universitario de Sancti Spiritus “José Martí”, como Tema para aspirar al Grado Científico de Doctor en Ciencias.
• Certificado de aprobación de tema por la Academia de Ciencias.
• Varias de las notificaciones de estudio y consulta de profesionales y estudiantes de determinados países de América latina que acceden a las Publicaciones de diferentes Publicaciones efectuadas en sitios de Internet.
• Certificados de Publicaciones de diferentes temas relacionados con el Modelo de organización diseñado. (13 )
• Participación en el Forum Municipal de Economía de la ANEC (2007) con calificación de Relevante.