11.evaluacion de Riesgos

 

EVALUACION DE RIESGOS  

 

DEFINICIÓN

La evaluación de riesgos es el proceso mediante el cual se identifican, analizan y valoran los medios de control diseñados para manejar y minimizar las posibilidades de errores o irregularidades que se producen y afectan la eficiencia, efectividad y economía en el manejo y uso de los recursos asignados para la ejecución de las operaciones. Para detectar, manejar y minimizar los riesgos, la organización debe establecer en proceso de control suficientemente amplio, que tome en cuenta sus interacciones más importantes entre todas las áreas y de estas con el exterior, como un mecanismo idóneo para identificar y manejar las causas de los riesgos que influyen en el entorno de la organización, y aquellos que afectan su interior, con el objeto de contrarrestar los efectos negativos.

 

OBJETIVOS DE LA EVALUACIÓN DE RIESGOS La evaluación de los riesgos en el marco del control interno de cualquier organización, a través de la auditoría interna, tiene los siguientes objetivos:   a. Identificar las áreas y las causas de los riesgos, para buscar alternativas de de operación que permitan el logro de los objetivos de la organización. b. Buscar las medidas de control como base para para determinar la forma como como se van a man manejar ejar las causas de las distintas categorías de riesgos. c. Analizar y buscar soluciones soluciones para disminuir los efectos negativos negativos de los riesgos. d. Disponer de información información oportuna para analizar y reprogramar reprogramar las operaciones operaciones en sus distintos distintos niveles, y a nivel global, de ser el caso

 

IMPORTANCIA En cualquier nivel que se aplique, la evaluación de riesgos es importante porque brinda información sobre las áreas o sectores en los que pueden surgir problemas o deficiencias de control, susceptibles de transformarse en riesgos significativos en las operaciones y sus resultados.    Al hablar de riesgos se refiere a la probabilidad de que ocurra un error o irregularidad en las operaciones de la organización. Esa probabilidad existe bajo el supuesto de que ese error o esa irregularidad, no se evitará o descubrirá, por la operación ordinaria de los controles internos implantados.   Las dos posibilidades o riesgos de que ocurran errores o irregularidades tienen de alguna manera, un efecto negativo en los resultados finales de la operación que es lo que el Auditor Interno debe evaluar para buscar alternativas de operación que contrarresten sus efectos, dependiendo por supuesto, la tecnología disponible y esto, igual dará una variedad de tipos de riesgos.   Visto de otra manera, esta actividad de evaluación, brinda información sobre áreas donde existen posibilidades de mejorar para aumentar la calidad y productividad de las organizaciones, así como la oportunidad de tomar acciones que eviten problemas que, a la larga, se transforman en crisis.

 

RESPONSABILIDAD POR LOS RIESGOS Debemos dejar clarolos que la responsabilidad por administrar los riesgos es de la máxima autoridad, por supuesto, delegando en todos niveles ejecutivos enprimaria que se haya dividido la organización.  

La responsabilidad de identificar y administrar los riesgos, va más allá de los procesos internos de la organización, por esto la administración debe montar verdaderos procesos para administrar los riesgos existentes en todos los niveles de la organización, incluyendo aquellos que puedan producirse al exterior de la misma, al exterior de la organización existen por lo menos seis posibilidades de riesgos en los siguientes campos: a. En la parte parte económica porque porque siempre existe una relación relación con otros medios de producción producción o de financiamiento. financiamiento. b. En la parte ética que debe guardar la organización frente a la comunidad. comunidad. c. En lo político y legal, porque porque es inevitable este tipo ddee relaciones, lo que puede puede dañar la imagen imagen de la organ organización ización si no se pone atención a este entorno.  

d. En el medio ambiente, ambiente, que organización organización no tiene que que ver con este tema, por por lo que es necesarios necesarios verificar las regulaciones para identificar los requerimientos para cumplir con la conservación de medio ambiente. e. En lo social, toda toda organización tiene compromisos compromisos que cumplir con la sociedad civil, a más de las relacio relaciones nes que deb debee guardar con los requerimientos legales, sindicatos, guarderías, etc. f. Finalmente, en lo tecnológico, en este momento ninguna organización organización puede puede estar fuera de esta temática temática,, porque existe una relación directa con los productores y la competencia, para poder seguir vigentes en el mercado.

 

Sin embargo, el que no exista control, aunque el responsable de ejecutar las órdenes administrativas es el funcionario delegado, esto no exime a la máxima autoridad de su responsabilidad primaria primaria de  de promover, crear, mantener y asegurar la calidad de las operaciones, evitando que existan riesgos que dañen los resultados y la existencia misma de la organización.

MEDIOS GERENCIALES DE PREVENCIÓN Y DETECCIÓN DE RIESGOS   La propia organización debe diseñar los procedimientos que permitan prevenir posibles errores, así como detectar actos irregulares través de las prácticas de control gerencial que, como ilustran, podrían ser las siguientes:  

1.Medios de prevención  

La alta administración es responsable por definir la filosofía de control la cual debe involucrar a todos los medios gerenciales de tres evaluación y seguimiento, la gerencia de muchos para actividad; sin embargo, considero que de esos elementos son los más dispone importantes para serelementos explotados conesta el fin de garantizar que lo planificado se cumpla en el marco de la reglamentación especifican así tenemos:  

 

 a unidad de Auditoría Auditoría Interna: Con un enfoque de evaluación de procesos y sistemas, es el mejor medio para prevenir cualquier posibilidad de desperdicio o fraude en las operaciones, a través de recomendaciones que mejoren el contexto donde se origina el problema. Esto requiere del apoyo y respaldo de los ejecutivos para que el auditor interno sea ubicado en el nivel más alto con un criterio de asesoría, según la complejidad de la organización.   El comité de Auditoría. Es el vínculo entre la Junta directiva, la gerencia y los Auditores Internos, encargado de asegurar la existencia y funcionamiento de un sólido control interno, así como de la confiabilidad y oportunidad de la información financiera.   En este campo de acción, utiliza la Auditoría Interna para revisar los sectores que consideren de riesgo, lo cual hace un respaldo mayor para la auditoría interna ya que, generalmente, la dependencia de la auditoría interna es de este comité, lo cual aumenta su independencia y el campo de acción.

 

 a supervisión. Es el sinónimo de garantía de calidad de los trabajos, por lo cual los niveles de supervisión deben estar bien definidos, asignándoles la autoridad necesaria para que puedan tomar alternativas en el momento oportuno.   La supervisión puede enfatizarse en los niveles de riesgo que se hayan definido, con programas específicos de revisión para comprobar la corrección de las operaciones evitando los efectos de los riesgos. El uso de estos dos elementos por parte de la gerencia garantiza la prevención de riesgos de errores, irregularidades y fraudes, así como los posibles efectos en el desarrollo de la empresa, su personal y los sistemas.  

a Tecnología. Es uno de los medios de prevención muy importante en un ambiente organizacional. Porque tienes sus propios controles que evitan que se procesen datos no legales, lo cual constituye una oportunidad para detectar anomalías; por ejemplo, en este momento, en Latinoamérica existen sistemas integrados de administración financiera, que permiten consultar y revisar las operaciones en el momento que se desee por lo que los distintos niveles ejecutivos, bien pueden hacer sus propias verificaciones para determinar posibles inconsistencias, respecto a las políticas, presupuestos, etc.,   Uno de los ejemplos concretos, es que cualquier funcionario podría consultar la información respecto a los pagos efectuados a determinados proveedores, utilizando para el efecto, el Número de Identificación Tributaria (NIT), Registro Tributario, etc., pueden tener otros nombres, pero con estos pueden determinar si se le está comprando demasiado a un solo proveedor, si se está fraccionando las compras, si los precios son los acordados, etc.

 

2. Medios de Detección El mejor ejemplo de una práctica de control es el control previo, definido como los procedimientos que se aplican antes de la ejecución de las operaciones o de que sus actos acusen efectos, verifica el cumplimiento de las normas que lo regulan y los hechos que lo respaldan, y asegura su conveniencia y oportunidad en función de los fines y programas de la organización.   El proceso de control previo debe ser avaluad por el auditor interno ya que, si se le define convenientemente y se exige su cumplimiento, las posibilidades de detectar irregularidades y fraudes son enormes, enfatizando una clasificación concreta como la siguiente:   a. Control previo al compromiso o al al gasto. gasto. b. Control previo a la autorización del compromiso compromiso o al gasto. c. Control Control previo previo al regist registro ro contab contable. le. d. e. f. g.

Control previo a la autorización autorización del pago. Control Control previo previo al desembols desembolso. o. Control Control previo previo al uso uso de de los los bienes bienes o servicio servicios. s. Control previo a la reposición reposición o actualización. actualización.

 

El auditor interno debe asegurarse de que los puntos o etapas donde se aplica el control previo, hayan sido diseñados adecuadamente para que funcionen eficientemente como mecanismos de prevención y detección de actos dolosos.  

Sin embargo, los controles previos, siempre tendrán sus apreciaciones ya que depende como se procesan las operaciones; es decir, si estos son electrónicos, las cosas son más fáciles que si estos fuesen manuales, dependiendo del personal, porque la tecnología tampoco es garantía de control. El auditor interno debe vender la idea de que, si todos fuésemos el control previo del paso anterior dentro de una operación, las posibilidades de prevención y detección de actos dolosos o desperdicio de recursos son mayores y efectivos.

 

Medios Gerenciales de Prevención y Detección de Riesgos No

Medios

Descripción La unidad de auditoría interna i nterna

1

De prevención

El comité de auditoria La supervisión La tecnología Control previo al compromiso o al gasto. Control previo a la autorización del comprom compromiso iso o al gasto. Control previo al registro contable.

2

De Detección

Control previo a la autorización del pago. Control previo al desembols desembolso. o. Control previo al uso de los bienes o servicios. Control previo a la reposición o actualización.

 

  METODOLOGÍA DE EVALUACIÓN DE RIESGOS

Partiendo de que todo nace de alguna causa, que puede ser porque la auditoría interna ha detectado algún indicio de riesgo existente en algún sector u operación y ha emitido un informe, puede ser que se trate de una denuncia por parte de los clientes o usuarios o porque los requerimientos legales exigen estudios específicos sobre el particular.   De todas maneras, cualquiera de estos casos, incluyendo los propios mecanismos de la organización que promueven evaluaciones periódicas, será lo que da inicio a una evaluación de riesgos. El proceso que el autor sugiere para la evaluación de riesgos, se presenta a continuación e incluye los siguientes pasos:

 

A. DIAGNOSTICO  

Esta parte del proceso de evaluación es muy importante porque nos permitirá ubicarnos en el sector que necesita evaluarse para el efecto, el Auditor Interno debe hacer lo siguiente:     Identificarse el sector del riesgo: es de mucha importancia porque permite canalizar de mejor manera el trabajo para identificar los aspectos más específicos del riesgo existente a más de que servirá para planificar el trabajo.   Levantar

el proceso que está involucrado en el sector de riesgo. Esta parte nos muestra la magnitud del sector del riesgo y la convergencia de unidades administrativas, procesos, procedimientos, personas y normativas que se involucran en este proceso, lo cual es importante porque, de la misma manera permitirá enfocar el trabajo, a aspectos específicos con la extensión que amerite el caso.

  Identificar

los componentes del proceso. Todo proceso dispone de aspectos específicos o particulares que hay que identificar para poder evaluar con mayor profundidad.

 

Pero todos los procesos tienen algo en común, las fuentes de evidencia en mayor o menor grado, que nos permitirá evaluar y probar la existencia y magnitud de los riesgos existentes, los principales aspectos que se deben identificar tienen que ver con lo siguiente:  

        

       

Fuentes de evidencia Responsables y funciones Insumos y productos Proceso de distribución de los los productos productos

        

Proceso de de venta custodia Proceso Sistema de registro Libros y registro Informes y resultados

  

  es Preparar criterios de evaluación. evaluació toda la información que ver se ha en del los numerales nume rales precisoprimeros definir los primeros criterios n. deCon evaluación que tienen que conrecopilado la magnitud trabajo, el anteriores, tiempo, el personal que se necesita, etc., estos criterios preliminares podrían considerarse como los datos para planificar el trabajo, es decir, igual que el memorando de planificación.

 

B. PLANIFICACIÓN   Establecer objetivos y metas. Esta parte toma en cuenta toda la información que se ha recopilado en el diagnóstico, y sirve para diseñar los objetivos y las metas que se quieren avanzar en el trabajo de evaluación de los riesgos.   El establecimiento de los objetivos y metas son importantes porque sirven de base para identificar las técnicas y procedimientos que quedaran escritos en el programa de auditoría.  

Preparar programa de auditoría. Para preparar el programa de evaluación, es necesario definir cuáles son las actividades que vamos a realizar, cuales son las técnicas adecuadas que se van a utilizar en la evaluación, de estas técnicas se desprenden los procedimientos de auditoría que quedan por escrito en el programa de auditoría, para que el esfuerzo sea dirigido y produzca los resultados que queremos alcanzar.   Preparar Cronograma. El cronograma de actividades no es otra cosa que la distribución de las actividades que se van a llevar a cabo en la evaluación, así como los responsables de ejecutar las mismas, tomando en cuenta su experiencia.  

 

C. EJECUCIÓN  

La ejecución de la evaluación es la puesta en práctica de los procedimientos que constan en los programas de auditoría y esto nos lleva a realizar las siguientes actividades:   Análisis del valor agregado de los procedimientos del proceso. El análisis del valor agregad debe hacerse a los procedimientos que conforman el proceso que se está evaluando, esto quiere decir que hay que identificar los pasos del proceso que agregan valor al mismo y dan una mejor imagen o calidad al producto, hay que separar aquellos pasos que no agregan valor para hacer un estudio más detenido e identificar si existen o no riesgos.   Identificar los problemas existentes (riesgos). Estudiar los procedimientos que no agregan valor al proceso, para determinar si no hay indicios de que puedan causar riesgos en todo el proceso, en una parte dentro o fuera de la organización, de lo contrario ver si es posible su eliminación o mejoramiento, o si estos están causando problemas que se pueden medir.  

Tabular resultado del estudio e identificación de problemas. La tabulación de los resultados debe evaluar los problemas que se detectaron en el análisis del valor agregado, no es otra cosa que integrar cosas comunes para tener una mejor visión de lo que realmente está aquejando a la organización.   Esta actividad nos da la oportunidad oportunidad de darle forma al informe, si ya tenemos agrupa agrupados dos los problemas, será más fácil seleccionar los títulos para ubicarlos en el cuerpo del informe.

 

D. INFORME  

Dimensionar el impacto de los riesgos. Esta parte quiere decir que hay que medir, de alguna manera los impactos que producen el problema que se detectó como riesgo, en los distintos sectores como; en la parte económica, en la organización, en los procedimientos, en lo legal, en lo político y en la parte social.   Identificar posibles soluciones. Esta parte es quizá la más importante del proceso de mejoras, porque necesita de la convergencia de criterios técnicos de quienes están involucrados en el proceso de evaluación para identificar las posibles soluciones que ayuden a la administración, a mitigar los impactos de los riesgos.   Discutir viabilidad de las soluciones. Esta parte debe ser discutida con los operativos, técnicos y autoridades para poder identificar cuál de las posibles soluciones presentadas por quienes hicieron la evaluación de los riesgos, es la mejor, que la administración esté en condiciones de llevar a cabo las acciones que le ayuden a contrarrestas los riesgospara descubiertos según su importancia.   Elaborar informe de mejoras.  con todos los antecedentes anteriores, es necesario elaborar un informe que reúna toda la información que permita a quienes deben llevar a la práctica las soluciones ya discutidas, poner en movimiento todo el engranaje de la organización para mitigar esos riesgos y darles mayor eficiencia a las operaciones del sector evaluado y agregando valor a las operaciones.

 

E. IMPLEMENTACIÓN   Estimar costos de la mejora. Con la decisión de poner en práctica las mejores opciones, es necesario hacer un programa que permite identificar o estimar los costos que se necesitan para llevar a la práctica las recomendaciones de mejoras.  

Elaborar programa de implantación de las mejoras. Si se han decidido implantar las recomendaciones y se ha asignado el personal que va a llevar a la práctica las mejoras recomendadas, debe elaborar el programa de implantación e incluir un cronograma con los tiempos, los costos para cada acción, el personal que se necesita, con lo cual se le da inicio a la implantación de las recomendaciones.  

Seguimiento posterior. El seguimiento es necesario para asegurarse de que lo que se hizo está bien dando los resultados que se esperaban; de esto, por supuesto, posiblemente haya otras acciones para reorientar o enfatizar lo que se está haciendo o lo que se hizo.   Posibles herramientas para la evaluación. Existen muchas herramientas de trabajo que se pueden utilizar en la evaluación e los riesgos, especialmente para identificar los mismos y ayudar a buscar las medidas que puedan mitigar los efectos de esos riesgos.

 

I. TIP TIPOS OS DE DE RIESG RIESGOS OS QUE QUE SE SE DEBEN DEBEN BUS BUSCAR CAR Y EVA EVA UAR  

En las operaciones de una organización, pueden existir distintos tipos de riesgos que son realmente impresionantes, tomando en cuenta la importancia relativa que cada institución o profesional aplique a su circunstancia específica.  

Cada institución o empresa es un mundo diferente con sus fortalezas y debilidades, administrativas y operativas, con mayores o menores índices de riesgo, que hará que este alcance o no sus objetivos; organizadores con buenos o deficientes mecanismos de control para manejar las causas de los riesgos; con acciones oportunas o tardías que terminan por convertirse en verdaderas crisis.  

Para ubicar los posibles riesgos que el Auditor Interno debe evaluar en forma permanente e informar de sus causas, es conveniente tratar estas posibilidades dentro de los propios elementos del control interno, y la tecnología que mueve, procesa y controla las actividades en cada componente, por lo que se han tomado los elementos más modernos citados por varios organismos y documentos como COSO, COCO, INTOSAI, etcétera, siendo éstos los siguientes:  

 

EN E AMBIENTE DE CONTRO El ambiente institucional o empresarial, es uno de los elementos del control interno.  Abarca todo el conjunto de operaciones, estructuras, personal, recursos y obligaciones. Los riesgos que pueden producirse en cada uno de sus componentes tienen que ver con los siguientes aspectos:   Filosofía y estilo de administración. Se refiere al planteamiento concreto de la filosofía de control interno, los planes estratégicos y de desarrollo, acompañado de los mecanismos de control, coordinación y seguimiento. En este punto los riesgos específicos que se pueden dar son los siguientes:   Ejecutivos que no aceptan que el control interno es su responsabilidad. Esto puede cambiar el desarrollo de la organización, ya que lo que ocurre en la cabeza, el resto del cuerpo lo imita; es decir, si el jefe exige los demás cumple, por tanto, generalmente las acciones ejecutivas son imitadas o cumplidas hacia abajo; de ser negativas, los demás niveles de la organización realizarán sus funciones con mayor o menor responsabilidad..

 

Ausencia de un plan de desarrollo del control interno La ausencia de una filosofía o concepción de lo que será l control interno de la organización, ha generado controles sin objetivos ni documentación necesaria, que permita la actualización uniforme de los procedimientos diseñados; este aspecto, a la larga, no permite la uniformidad de procesos en todos los sectores en los que opera la organización.   Generalmente la falta de fijación de estos instrumentos, promueve la implantación de controles sin objetivos, trasplantes de esquemas de otras empresas o instituciones, sin adaptar a las necesidades reales de la organización.   Concepción equivocada de la asesoría Existen muchos casos en que la asesoría, no concuerda con las necesidades de la organización y se crean puestos que simplemente generan costos de operación debido a que el profesional contratado es amigo de confianza del máximo ejecutivo, o se trata de una empresa familiar. Con esto se corre el riesgo de que se le otorgue demasiada autoridad al asesor quien, en determinados casos, toma decisiones fuera de contexto, generando problemas que luego se convierten en áreas críticas con los consecuentes riesgos y efectos negativos para la organización.  

 

Herramientas de control y seguimiento mal utilizados Una de estas herramientas es la Auditoría Interna que, en muchas organizaciones, no se utiliza para identificar y medir los riesgos en los procesos operacionales, y se le ocupa en aspectos de verificación física en sectores que tienen los más altos índices de control como el caso de las recaudaciones, los fondos de caja menuda, etcétera, quedando por fuera aspectos de evaluación que permitirían detectar los posibles riesgos y sus causas.   El comité de Auditoría es otro elemento que tampoco es bien utilizado, por lo que no existe personal asignado y preparado para dedicar su esfuerzo a desarrollar y fortalecer los controles internos, y garantizar la confiabilidad de la información financiera.

 

Ausencia de planificación estratégica Este es un tema que los Auditores Internos no estamos midiendo y de lo cual se desprenden muchos riesgos para la organización; por ejemplo: En la compra de equipo computacional se ha hecho una gran inversión sin proyectar su desarrollo, simplemente al vaivén de la moda, con costos elevados y contratos que ponen en dependencia a la organización.   Los riesgos concretos que pueden ocurrir en este campo pueden ser los siguientes:      Dependencia tecnológica tecnológica por equipos computacionales mal adquiridos o con poca capacidad.   Ausencia de planes de desarrollo a largo plazo.   Proliferación de aplicaciones para una misma actividad. 

 Ausencia de equipos similares en casos de fallas de sus propios sistemas.

 

Indefinición del proceso administrativo Muchas organizaciones no han definido y aplicado bien en sus acciones el proceso administrativo, por lo que no se da cuenta con verdaderos planes y programas para el desarrollo de las operaciones y el crecimiento de la organización, más bien, estos obedecen a la inquietud ejecutiva del Jefe de un Departamento o Director, sin tomar en cuenta los objetivos empresariales, y sin que al final se integre en un plan institucional de Actividades que permita una ejecución integral de operaciones en forma armónica.   Ausencia de liderazgo El liderazgo mal interpretado en los distintos niveles ejecutivos causa indisciplina en el personal, promociona la burocracia y finalmente estanca las operaciones que se convierten en un riesgo que puede ocasionar perjuicios a la organización.   Existen casos de empleados que hablan directamente con el máximo ejecutivo pasando por encima de su jefe inmediato, lo que rompe el esquema, siendo una manifestación de la ausencia de liderazgo.  

 

 a organizac organización ión de la institución Tiene que ver con la separación de funciones de carácter incompatible o lo que es lo mismo, una buena distribución departamental de funciones (Departamentalización de funciones), de tal manera que responda a los objetivos de la organización, como alson: servicio que ésta brinda. En este punto los riesgos que están presentes y que el Auditor interno debe identificarasí y evaluar   Organización apartada de los objetivos empresariales. empresariales. Aspecto que no permite establecer con claridad el campo de acción de los distintos departamentos o funciones, lo cual crea irremediablemente los “imperios”, que promueven acciones sin coordinación y fuera de los objetivos globales y de una proyección concreta de desarrollo empresarial.  

a ausencia de una organización que responda a los objetivos del negocio negocio,, crea riesgos en la dirección, ejecución y control de las operaciones, diluyendo el grado de responsabilidad y autoridad de los colaboradores asignados a cada nivel, lo cual genera un aumento innecesario en los costos de operación, así como la dificultad de establecer la responsabilidad específica por actos dolorosos, por resultados equivocados o no concordantes con los objetivos.  Los riesgos que se pueden presentar en este campo, entre otros, son los siguientes: Dependencia organizacional por la concentración de autoridad, funciones y procedimientos. Estilos gerenciales muy conservadores.  Ausencia de motivación personal Sistemas incompatibles con la organización. Funciones incompatibles con los objetivos de los sistemas y los departamentos.  Ausencia de Manuales de funciones y procedimientos.

 

El funcionamiento de la Junta de Directores y los Comités Es fundamental la definición del rol de la Junta de Directores en las decisiones y conducción de las operaciones, y la creación de Comités que ejecuten y controlen áreas específicas. En este punto existe la posibilidad de crear varios comités que pueden ayudar a identificar los riesgos; entre otros, podemos encontrar los siguientes ejemplos:   Comité de Auditoría Con funciones específicas para desarrollar el control interno y darle confiabilidad a la información financiera, con el apoyo técnico de la Auditoría Interna, lo cual representa un buen mecanismo de prevención de riesgos.   La ausencia de este Comité no ha permitido un enfoque de trabajo más objetivo de la Auditoría Interna, por lo que a veces se le ocupa en otros menesteres cuyo costo no se justifica.

 

Comité de evaluación de resultados y seguimiento Con funciones específicas para medir los resultados frente a los planes y programas, cuyos informes deben estar orientados a la motivación de decisiones, de tal manera que permitan una reorientación de las acciones.   La falta de coordinación de criterios y actividades entre estos comités también puede significar un riesgo, porque éstos promocionarán y se tomarán medidas independientes que puedan afectar a otros sectores.   Estos Comités, eventualmente pueden trabajar en forma integrada, o ser extendidos a otros niveles, según complejidad de las operaciones.   os métodos para asignar autoridad y responsabilidad responsabilidad En un manual de organización y funciones del personal, deben constar los procedimientos que faciliten la asignación de responsabilidades y el establecimiento de la autoridad requerida para la ejecución de las actividades de cada servidor. En este punto los riesgos que se pueden identificar son los siguientes:

 

Distorsión en el ámbito de autoridad Originado por la falta de especificación de los límites de la autoridad conferida a determinados funcionarios, lo cual crea un clima de competencia desleal y confusión en los subalternos, pudiendo producirse acciones equivocadas con efectos negativos para la organización.   Concentración de autoridad y responsabilidad Que incompatibilidad riesgogenera de errores y corrupción.de funciones, invasión y evasión de responsabilidades, aumentando las posibilidades de   Con estas características existe personal que toma decisiones, sin consultar a otros niveles o sectores, lo cual puede originar compras innecesarias, pagos duplicados, etcétera.   Aplicación arbitraria de autoridad Creando dos bandos antagónicos, los sancionados y los beneficiados del favor del jefe, aumentando el riesgo de ineficiencia porque los empleados trabajan para el jefe y no para los objetivos de la organización.

 

ELEMENTOS DE CONTROL INTERNO-EN EL AMBIENTE DE CONTROL No.

COMPONENTES

a.

Filosofía y estilo de administración

b.

La organización de la institución

c. d. e. f.

g.

POSIB ES RIESGOS * Ejecutivos que no aceptan que el control interno es su responsabilidad *Ausencia de un plan de Desarrollo del Control Interno *Concepción equivocada de la asesoría *Herramientas de control y seguimiento mal utilizadas *Ausencia de planificación estratégica *Indefinición del proceso administrativo *Ausencia de liderazgo *Dependencia organizacional por la concentración de autoridad, funciones y procedimientos *Estilos gerenciales muy conservadores *Ausencia de motivación

personal *Sistemas incompatibles con la organización *Funciones incompatibles con los objetivos de los sistemas y los departamentos *Ausencia de manuales de funciones y procedimientos. El funcionamiento de la Junta de Directores y *Comité de Auditoría *Comité de evaluación de Resultados y seguimiento los Comités Los métodos para asignar autoridad y *Distorsión en el ámbito de autoridad *Concentración de autoridad y responsabilidad responsabilidad *Aplicación arbitraria de autoridad Los métodos de control gerencial para el seguimiento y supervisión de la ejecución de las operaciones Las políticas y prácticas para la administración del personal Las influencias externas que afecten las operaciones y la práctica empresarial

*Supervisión como un cargo y no como función *Ausencia de acciones correctivas *Asesoría externa a través de consultores o auditores *La información *Personal resentido *Entrenamiento sin objetivos *Diferentes escalas de salarios para las mismas funciones *Personal mal ubicado *Falta de autoridad, ingobernabilidad * Personal desmotivado *Entrenamiento sin objetivos *Diferentes escalas de salarios para las mismas funciones *Personal mal ubicado *Falta de autoridad, ingobernabilidad

 

ELEMENTOS DE CONTROL INTERNO - EN LOS PROCESOS Y SISTEMAS No

COMPONENTES

A Las polícas Contables B

Aplicación de principios profesionales

C

leyes aplicables

D registros contables

E

informes Internos y externos

F

Procedimientos de registros y Control

POSIBLES RIESGOS Compromisos no registrados, Información Inconable, Los Sistemas y la Tecnol Tecnología ogía Información no comparable, Métodos de Valuación distorsionados, falta de revelación suciente Incumplimiento de compromisos, Decisiones no Autorizadas Imposibilidad de informar, informar, dicultar para p ara integrar y consolidar datos, proceso de rendición de cuentas inadecuadas. Decisiones equivocadas, informes externos inconable, imposibilidad de aplicar acciones correcvas. Operaciones no capturadas por el sistema incumplimiento de clausula contractuales.

 

E EMENTO DE CONTRO INTERNO- OS PROCEDIMIENTOS DE CONTRO

No

COMPONENTES

a Necesidad de Controlar

b Necesidad de Informar

POSIBLES RIESGOS Mal uso de recurso, deterioro de acvos, incremento de burocracia, eliminación de la iniciava Información inúl, generación de

información

voluminosa Integración, descentralización, de que se integran acvidades, información pasos que c procesos, funciones o autoridad se desconcentre acvidades, informes, control etc.

d

Evasión de Autoridad y responsabilidad

Apoyo al proceso de Toma de e decisiones

f  Generar Historia Operacional

Empleados que responsabilidades

invada

o

evada

las

sin información adecuada, oportuna y conable las decisiones pueden traer consigo perjuicios para la organización, Perdida de información, dicultando la recuperación de sus derechos y el cumplimento de

sus obligaciones en forma oportuna  

E EMENTOS DE CONTRO INTERNO – EVA UACION DE RIESGOS

No

COMPONENTES

POSIBLES RIESGOS

A

Operavos de control

Falta de entendimiento de la importancia de las funciones de cada puesto, trabajos sin coordinación

B

Evaluación de riesgos

Falta de oportunidad para migar los riesgos audiencia de acciones de riesgo

C

Manejo de cambios

Reacción de los cambios, retraso de los proyectos, costo más evaluados rechazo al cambio se puede converr en el mayor riesgo de la organización organización

 

E EMENTOS DE CONTRO INTERNO-SUPERVICON Y SEGUIMIENTO No

COMPONENTES

POSIBLES RIESGOS

A

La supervisión

Falta de oportunidad de información relevante para detectar los riesgos y toma de decisiones

B

seguimiento monitoreo

Recomendaciones para mejorar lo realizado, reorientando las acciones

 

VA ORANDO OS PASOS DE UN PROCESO   Tomemos un ejemplo que ocurre en cualquier ente, una compra que pueda ser de bienes o servicios, y sobre el cual el Auditor Interno puede llegar a un acuerdo con los responsables de la gestión para valorar esos pasos o segmentos en los que se divide la operación; se puede asignar arbitrariamente un valor (10, 100, 1000), para todo el proceso, luego se puede dividir ese valor para los diferentes segmentos en los que se ha dividido el proceso.   El valor que se asigna a un segmento, estará en relación a la importancia o posibilidad mayor o menor de riesgos que encierra ese segmento; para ilustrar veamos un ejemplo; en cualquier organización una compra se divide en los siguientes aspectos:

 

No.

SEGMENTO DEL PROCESO

VALOR

VALOR

PORCENTAJES

% DE

ASGINADO

EVALUADO

%

RIESGO

(2)

(3)

(4)

(5)

(6)

 (1) A B C

Requisición (Pedido) Cozación Adjudicación

10 10 20

10 2 10

100 20 50

0 80 50

D

Elaboración de la Orden de Compra

10

10

100

0

E F

Recepción Registro

20 10

5 10

25 100

75 0

G

Pago de la Obligación

10

10

100

0

H

Control de la Información

10

2

20

80

TOTALES

100

59

 

El formulario que se diseñe, tendrá impresos los datos hasta la columna (3) "Valor Asignado", luego de cualquier trabajo, el auditor interno le asignara un valor estimado o procesos que se están evaluando con el uso del formulario.   Con esta información el Auditor Interno está en condiciones de llenar la columna (4) "Valor Evaluado", esta columna además de permitirá llenar la siguiente columna (5) "Porcentajes"; para esto divide el valor de la columna (4) "Valor Evaluado” para la columna (3) "Valor Asignado". Para llevar la columna (6) "Porcentajes de Riesgos", solo debe restar el porcentaje de la columna (5) del 10 por ciento que significa el valor asignado.   Como se puede apreciar, existe un 59 por ciento de riesgo en la ejecución del proceso, pero para la atención del auditor, sirven más los porcentajes individuales de cada segmento. En cada evaluación del proceso de compras que realice el Auditor Interno, puede medir el riesgo, efectuando el seguimiento de algunas operaciones para comprobar si cumplen todos los pasos y, según en su la cumplimiento, se fijara un valor dentro del rango inicialmente asignado; la sumacon de los valores determinados evaluación, dividido por el valor total del proceso, permitirá medir el grado del riesgo que tiene ese proceso y sobre lo cual el  Auditor Interno trabajara para determinar sus causas, y para buscar las alternativas para contrarrestar sus efectos.

 

Otro ejemplo es el que se incluye en la Lamina No. 05, pero tomando como base los componentes del ambiente de control interno. CRITERIO DE CALIFICACION DE RIESGOS No.

Elementos del Proceso

VALOR

VALOR

PORCENTAJES

% DE

 

 

ASGINADO

EVALUADO

%

RIESGO

(1)

(2)

(3)

(4)

(5)

(6)

a.

Filosoa de control interno

11

100

0

22

78

50

72

100

0

50

50

60

40

62

48

25

75

60

40

00

100

40

60

 

 

11 b.

Integridad y valores écos

09

c.

Competencia Competenc ia del personal

11

d.

Filosoa y eslo gerencial

09

2 08 09

e.

Estructura organizaci organizacional onal

08 4

f.

Funcionamiento de la dirección

10 06

g.

Métodos para jar funciones y autoridad

06

h.

Método de control gerencial

08

i.

Polícas y práccas de administración

10

05 02 06

 j.

Inuencias externas

08 00

k.

Condiciones de gobernabilidad

10 04

 

 

 

TOTALES

100

57

% Global 43