A continuación, explicaremos brevemente los métodos
investigado:
2.6.1.
Magerit 2.0 (9).
Su sigla significa "Metodología de Análisis y Gestión de
Riesgos de los Sistemas de
Información", fue creado por el Consejo
Superior de Administración Electrónica y promueve su
utilización como respuesta a la percepción
de que la
Administración y en general toda la sociedad,
depende de forma creciente de las tecnologías de la
información para el cumplimiento de su misión. La razón de ser de
Magerit está directamente relacionada con la
generalización del uso de los medios
electrónicos, informáticos, que supone unos
beneficios evidentes para los ciudadanos; pero también da
lugar a ciertos riesgos que
deben minimizarse con medidas de seguridad que
generen confianza.
2.6.1.2.
Objetivos de Magerit:
• Crear conciencia
a los responsables de los sistemas de
información de la existencia de riesgos y de la
necesidad de atajarlos a tiempo.
• Ofrecer un método
sistemático para analizar tales riesgos.
• Ayudar a descubrir y planificar
las medidas oportunas para mantener los riesgos bajo control.
• Apoyar la preparación a
la
Organización para procesos de
evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso.
Asimismo, Magerit cuida la uniformidad de los informes que
recogen hallazgos y las conclusiones de un proyecto de
análisis y gestión
de riesgos: modelo de
valor, mapa de
riesgos, evaluación de salvaguardas, estado de
riesgo,
informe de
insuficiencias y plan de
seguridad.
La versión 2.0 está estructurada en 3 libros:
"Método", "Catálogo de Elementos" y
"Guía de Técnicas".
En el libro Nº
1 referido a los Métodos se describe la metodología
desde 3 ángulos diferentes:
• Capítulo 2:
Describe los pasos para realizar un análisis del estado de
riesgo y para gestionar su mitigación. Es una
presentación netamente conceptual.
• Capítulo 3:
Describe las tareas básicas para realizar un proyecto de
análisis y gestión de riesgos, entendiendo que no
basta con tener los conceptos claros, sino que es conveniente
pautar roles, hitos y documentación para que la
realización del proyecto de análisis y
gestión de riesgos esté bajo control en todo
momento.
• Capítulo 4: Aplica
la metodología al caso del desarrollo de
sistemas de información, en el entendimiento que los
proyectos de
desarrollo de sistemas deben tener en cuenta los riesgos desde el
primer momento, tanto los riesgos a que están expuestos,
como los riesgos que las propias aplicaciones introducen en el
sistema.
En el libro Nº 2 referido a "Catálogo de
Elementos", como su nombre lo indica se ofrece un
catálogo, abierto a ampliaciones, que marca unas pautas
en cuanto a: tipo de activos,
dimensiones de valoración de los activos, criterios de
valoración de los activos, amenazas típicas sobre
los sistemas de información y salvaguardas a considerar
para proteger el sistema de
información.
En este libro se persigue los siguientes objetivos:
• Por una parte, facilitar la
labor de las personas que acometen el proyecto, en el sentido de
ofrecerles elementos estándar a los que pueden adscribirse
rápidamente, centrándose en lo específico
del sistema objeto del análisis.
• Por otra parte, homogeneizar los
resultados de los análisis, promoviendo una
terminología y unos criterios uniformes que permitan
comparar e incluso integrar análisis realizados por
diferentes equipos.
Y un tercer libro dedicado a "Guía de
Técnicas", el cual aporta luz adicional y
guías sobre algunas técnicas que se emplean
habitualmente para llevar a cabo proyecto de análisis y
gestión de riesgos: técnicas específicas
para el análisis de riesgo, análisis mediante
tablas, análisis algorítmico, árboles
de ataque, técnicas generales, análisis
coste-beneficio, diagramas de
flujo de datos, diagramas de
procesos, técnicas gráficas, planificación de proyectos y sesiones de
trabajo
(entrevista,
reuniones y presentaciones).
2.6.2.
Metodología
Gestión Integral de Riesgos en Organizaciones
"GIRO".
Esta metodología esta basada en la teoría
del Análisis Global de Peligros, en los planteamientos de
la Society of Riese Análisis (SRA) y la Global Association
of Risk Profesionals (GARP), y ha sido aplicado con gran éxito
en empresas y
corporaciones en distintos países de América
Latina.
El Método "GIRO" es un Sistema de Gestión de
Riesgos, que incorpora los siguientes elementos:
Ø Escalas de medición relativa de la probabilidad y
las consecuencias, construidas y adaptadas a las condiciones
propias de cada Entidad.
Ø El concepto
"vulnerabilidad" como elemento clave para determinar el impacto
de los eventos
posibles.
Ø El concepto de "nivel aceptable de
riesgo" para determinar la seguridad de referencia.
Ø El concepto de "escenario de riesgo" como
unidad objetivo de
análisis, lo que permite puntualizar en forma diferencial
la evaluación.
Ø Siete factores determinantes de la
vulnerabilidad, para cada escenario: personas, valores,
operación, ambiente,
imagen
empresarial e información.
Ø Estrategias
predefinidas para la intervención del riesgo en cada
escenario evaluado.
Ø Un sistema de "contabilidad
de riesgos" que permite conocer el estado y
distribución de los riesgos en el sistema
(perfil de riesgo) en un momento de tiempo determinado.
Ø Un sistema de "contabilidad de
costos" para determinar el valor de cada una de las medidas
de intervención planteadas para cada escenario.
Ø Indicadores de
gestión y calidad para
determinar variables
como: impacto de las medidas de intervención, eficacia y
eficiencia de
las medidas proyectadas, rentabilidad
de las medidas, índices de vulnerabilidad del sistema,
estabilidad del sistema ante los riesgos, etc. Un sistema
de medición para determinar la variación lograda en
los resultados de los "niveles aceptables de riesgo" en el
sistema.
Esta metodología tiene la característica
importante de ser aplicable a cualquier tipo de amenaza, ya sean
del tipo: social, tecnológica o natural; y de ser uniforme
y coherente, ya que aplica criterios corporativos a todos los
riesgos por igual.
Esta metodología está enmarcada dentro de los
criterios de Gestión de Riesgos e incorpora los conceptos
de Calidad Total,
Planeación Estratégica, etc. y
todas las herramientas
de evaluación como Árbol de Fallas y Árbol
de Eventos, etc.
2.6.3.
ORM Gestión del
Riesgo Operativo de Monitor Plus
TM(10).
Está metodología ha sido creada para el manejo
específicamente de los Riesgos Operacionales, la empresa Plus
Technologies & Innovations ha desarrollado el Software Operacional Risk
Manager de Monitor Plus TM (ORM).
El ORM ofrece un avanzado y eficaz Modelo de Gestión de
Riesgos Operacionales con un enfoque proactivo e integral par la
automatización de la Gestión
Cualitativa y Cuantitativa de los mismos.
Fue desarrollado basado en las recomendaciones realizadas de
las mejores prácticas para la identificación,
análisis, control, seguimiento y monitoreo de los riesgos
operacionales por parte de organizaciones como COSO, en lo que se
refiere a mecanismos para la adecuada evaluación del
control
interno y metodologías de análisis para la
medición del capital por
riesgos operacionales del Comité de Basilea
(11).
Este ha roto el paradigma de
la medición Cualitativa v/s Cuantitativa, y se han
integrado ambos enfoques. ORM permite a las organizaciones
financieras contar con un modelo de autoevaluación de los
Riesgos Operacionales y a la vez tener un eficiente mecanismo de
Recolección de Eventos de pérdidas.
Componente de ORM- Sistema de
Autoevaluación:
Ø Metodología: Con ORM, la entidad
podrá poner en práctica la propuesta
metodológica de gestión de riesgos alineada con los
principios de
la Planificación
Estratégica.
Ø ORM – Autoevaluación: Permite
contar con un versátil Mapa de Riesgos de los procesos de
la entidad. Este multifacético ambiente brinda
visiones tanto por unidades organizativas como por tipo de
proceso y con
amplia funcionalidad.
Ø ORM – Base de Datos
de Pérdidas: Buscando la eficacia y el mayor beneficio se
creo esta base de datos, considerando obviamente los lineamientos
de Basilea para la aplicación del Método de
Medición Avanzada (AMA). Este enfoque potencia a
la
investigación de los factores que pueden originar
pérdidas y puede influir directamente en la
reducción del capital requerido por Riesgos
Operacionales.
Además ORM le permite a la entidad:
·
Centralizar el registro de las
pérdidas históricas.
·
Identificar los eventos de fraudes y fallas operacionales
·
Automatizar los procesos de investigación por presunción de
pérdidas inesperadas.
·
Enviar y administrar alertas tempranas y oportunas.
·
Obtener datos históricos.
·
Modelar el capital en riesgo según las regulaciones
vigentes.
2.6.4.
Estándar Australiano/Neozelandés AS/NZ
4360:1999(12):
Este método fue creado por el Comité OB/7 de la
junta de estándares de Australia y Nueva Zelanda en el
año 1999, sobre administración de riesgos como una
revisión de AS/NZ 4360:1995 Administración de
Riesgos.
De acuerdo con el estándar anterior, es decir AS/NZ
4360:1995, los objetivos son los siguientes:
• Proveer un marco conceptual
genérico para el establecimiento del contexto.
• Identificación del
Riesgo
• Análisis del Riesgo
• Evaluación del Riesgo
• Tratamiento del Riesgo
• Monitoreo y Comunicación del Riesgo
ELEMENTOS DEL PROCESO DE LA GESTION DE
RIESGOS SEGÚN EL METODO AUSTRALIANO/NEOZELANDES
Fuente Propia
Elementos Principales
Los elementos principales del proceso de
administración del riesgo, son los siguientes:
a.
Establecer el contexto: Establecer el contexto
estratégico, organizacional y de administración del
riesgo en el cual el resto del proceso tomará lugar. Se
deben en primer término, establecer los criterios contra
los cuales se evaluarán los riesgos y definir la estructura del
análisis.
b.
Identificación de riesgos: Identificar qué,
por qué y cómo las cosas pueden suceder como la
base para mayores análisis.
c.
Análisis de riesgos: Determinar los controles
existentes y los riesgos analizados en términos de
consecuencia y probabilidad en el contexto de esos controles. El
análisis debe considerar el rango de consecuencias
potenciales y como probablemente esas consecuencias pueden
ocurrir. La consecuencia y la probabilidad son combinadas
para producir un nivel de riesgo estimado.
d.
Evaluación de riesgos: Comparar los niveles de
riesgo estimados contra el criterio preestablecido. Esto permite
priorizar los riesgos así como identificar las
prioridades de la administración. Si los niveles de
riesgo establecido son bajos, entonces los riesgos podrían
caer en una categoría aceptable y podría no
necesitarse un tratamiento.
e.
Tratamiento de riesgos: Aceptar y monitorear los riesgos
de prioridad baja. Para otros riesgos, desarrollar e implementar
un plan de manejo específico dentro del cual se incluyen
consideraciones de fundamento.
f.
Monitorear y revisar: Monitorear y revisar el desempeño del sistema de
administración y los cambios que podrían
afectarlo.
g.
Comunicación y consulta: Comunicación y
consulta apropiada con accionistas internos y externos no solo en
cada estado del proceso de administración del riesgo sino
en lo concerniente a la totalidad del proceso.
Este estándar especifica los elementos del proceso de
administración de riesgos, pero no tiene como
propósito forzar a la uniformidad en el sistema de
administración del riesgo. Es genérico e
independiente de cualquier sector industrial o
económico. El diseño
e implementación del sistema de administración del
riesgo estarán influenciados necesariamente por las
necesidades de la organización, sus objetivos particulares,
sus productos y
servicios, y
los procesos y prácticas específicas empleadas.
La terminología usada en este estándar ha sido
escogida para que sea congruente, en lo posible, con un amplio
rango de disciplinas de riesgos y administración de
riesgos.
Este estándar para su mejor entendimiento y posterior
desarrollo, provee al lector de una guía de definiciones
de términos utilizados dentro de él.
2.6.5.
Modelo Risk Universe (13).
Este modelo fue creado por Ernst & Young, presenta los
múltiples riesgos a los que se enfrentan las entidades y
que han de ser gestionados adecuadamente.
Este modelo clasifica los riesgos del negocio en 6
categorías:
1.- Entorno del Negocio: Riesgo de que factores
externos e independientes de la gestión de las empresas
puedan influir directa o indirectamente de manera significativa
en el logro de sus objetivos y estrategias.
2.- Transacciones: Riesgo de que se produzca una
pérdida o costo de
oportunidad en la empresa, debido a
la inadecuada estrategia de
fusiones y
adquisiciones de empresas y/o de inversión o desinversión de
activos.
3.- Operaciones:
Riesgo de que se produzca una pérdida o costo de
oportunidad en la empresa debido a que las operaciones no pueden
ser procesadas de forma oportuna y adecuada o bien, a
ineficiencias en los procedimientos o
en la asignación de los recursos.
4.- Información: Riesgo de que se produzca una
pérdida o coste de oportunidad debido a una inadecuada o
incorrecta utilización de la información que
dispone la empresa, ya sea porque no está completa y/o
porque no es oportuna.
5.- Financiero: Riesgo de que la empresa no pueda
conseguir el financiamiento
adecuado, y oportuno para realizar sus inversiones.
6.- Gobierno
Corporativo: Riesgo de que se produzca una pérdida o
un costo de oportunidad debido a una incorrecta actuación
de los consejeros y directivos de la empresa, que impide la
maximización del valor de la empresa a largo plazo para
los grupos de
interés.
De acuerdo con este modelo, del universo de
riesgos se han de identificar los riesgos más relevantes
para la entidad, es decir, aquellos que si ocurrieran no
serían aceptables por sus grupos de interés ni por
los principios del buen gobierno corporativo, y que
afectarían significativamente el logro de los objetivos
estratégicos.
Además las entidades se han de focalizar en los riesgos
más relevantes, en el marco de un Sistema de
Gestión de Riesgos integrado en el negocio y basado en la
creación de valor.
2.6.6.NTP 537 Modelo Simplificado de
Evaluación, Gestión Integral de Riesgo y Factor
Humano (14).
Este método es desde nuestro punto de vista
complementario a la Gestión de Riesgos, está
enfocado en el factor más importante dentro de la entidad
como lo es el recurso humano que labora dentro de ella, y que por
ende será quien ayudará directamente en el
cumplimiento de sus objetivos.
Teniendo en cuenta que la clave de la eficiencia dentro de una
entidad está en las personas, las que constituyen su
capital más valiosos es que este modelo está
diseñado como un instrumento para detectar cuales son los
aspectos esenciales en los que la mejora es más necesaria
u oportuna. No trata de una detección exhaustiva de
puntos débiles, sino de un diagnóstico de aquellos aspectos que puedan
tener serias implicaciones en el éxito de la estrategia
empresaria.
Para la elaboración de este modelo, se extrajo de los
diferentes sistemas de Gestión de Calidad y Riesgos
Laborales, aquellos aspectos comunes más relevantes sobre
la importancia del factor humano en aras de la excelencia de la
Gestión de Riesgos.
El aporte de este modelo es que pretende facilitar la
necesaria visión global del nivel de excelencia de una
organización, bajo el planteamiento de que las personas
juegan un papel crucial. Esto debe ser anterior a evaluar
aspectos más concretos de la gestión de riesgos y
poder tomar
conciencia de que, en la mayoría de las ocasiones, los
objetivos plantados no se alcanzan debidamente porque la cultura de la
empresa que se pretende implementar no se arraiga en un proceso
de cambio, el
cual siempre va ser complejo.
Esta metodología se desarrolla básicamente a
través de 6 formularios de
evaluación, los cuales se basan en los aspectos más
relevantes del factor recurso humano.
Formularios de Evaluación:
o Formulario 1: Liderazgo y
Estrategia.
o Formulario 2:
Organización del trabajo.
o Formulario 3:
Comunicación.
o Formulario 4:
Cooperación.
o Formulario 5:
Formación.
o Formulario 6: Cultura de
Empresa.
Cada formulario excepto el 6, contiene las siguientes
partes:
a. Aspecto que
evalúa el formulario y columna con los cinco requisitos
que se van a puntuar.
b. Listado de
premisas cuyo cumplimiento se pretende evaluar (en total
15, tres para cada uno de los cinco requisitos del
formulario), en cada uno de los 3 sistemas de gestión
analizados: sistema de gestión de la calidad, sistema de
gestión de la prevención de riesgos laborales y
sistema de gestión del medio
ambiente.
c. Espacio
para la suma de resultados.
La evaluación de un aspecto determinado se realiza
mediante cinco requisitos numerados que aparecen debajo del
nombre del formulario respectivo. A cada uno de los 5
requisitos se le asignan 3 premisas a las que hay que responder
para el ámbito de la Calidad, Seguridad y Medio
Ambiente.
El formulario 6 constituye una excepción, pues la
respuesta no se diferencia para cada sistema de gestión,
sino que simplemente se responde de manera general y puntuando
con 0, 0.5 ó 1.
Para la interpretación de los resultados, este
modelo nos muestra una tabla
de resultados donde se anotan los puntos obtenidos en cada uno de
los cinco primeros formularios para cada uno de los 3
ámbitos estudiados, y se calculan los totales obtenidos en
cada uno de ellos. Se indican también los
porcentajes obtenidos respecto a la puntuación
máxima.
La puntuación obtenida en el Formulario 6, en él
que las respuestas se responden de manera general se anota en la
última columna de la tabla.
Para mejor entendimiento de este modelo a continuación
se mostrará una tabla de resultado y un modelo de
evaluación.
FORMULARIO | CALIDAD | SEGURIDAD Y SALUD | MEDIO AMBIENTE | CULTURA (6) | |||
(Xc) | (Xc · %/15) | (Xs) | (Xs · %/15) | (Xma) | (Xma · %/15) | ||
Liderazgo y estrategia (1) | 10,5 | 70 % | 75 | 50 % | 4 | 26,6 % | X < 5 |
Organización (2) | 12,5 | 83,3 % | 11 | 73,3 % | 10 | 66,6 % | |
Comunicación (3) | 9,5 | 63,3 % | 8,5 | 56,6 % | 5 | 33,3 % | 10≥ X≥ 5 |
Cooperación (4) | 5 | 33,3 % | 5 | 33,3 % | 3,5 | 23,3 % | |
Formación (5) | 10,5 | 70 % | 11 | 73,3% | 5,5 | 36,3 % | X > 10 |
TOTAL (Σ) | 48 | 63,9 % | 43 | 57,3 % | 28 | 37,2 % | |
Formulario 2: ORGANIZACIÓN DEL TRABAJO |
REQUISITOS | PREMISAS | SISTEMAS | ||
C | PRL | MA | ||
1. En su empresa, existe una planificación | … determina claramente las acciones |
|
|
|
… aclara quién y, en qué plazo se |
|
|
| |
… estimula mejoras a corto plazo, pero |
|
|
| |
2. En cuanto a las acciones previstas en la | … cuentan con una dotación de medios |
|
|
|
… el personal |
|
|
| |
… se incluye la |
|
|
| |
3. En cuanto a los procesos… | … están representados en un mapa de |
|
|
|
… los equipos de |
|
|
| |
… se ha realizado un análisis |
|
|
| |
4. Los procedimientos… | … son coherentes con la complejidad del trabajo, |
|
|
|
… son aprobados, revisados periódicamente |
|
|
| |
… antes de ser normalizados pasan un periodo de |
|
|
| |
5. El control de las tareas realizadas se basa | … la formación de los trabajadores y en |
|
|
|
… la supervisión y el apoyo de los |
|
|
| |
… la información de cambios, resultados, |
|
|
| |
TOTAL | ||||
(1)
Calidad / (2) Prevención de riesgos laborales / (3) Medio
Ambiente
2.6.7.
Modelo del Pulmón.
Los modelos de
gestión se han transformado en una prioridad para las
compañías, apuntando a un fortalecimiento de los
sistemas de Gestión de Riesgos. El Modelo
Pulmón incorpora al riesgo la gestión de
calidad, como una actividad complementaria en todo el nivel
de la organización, permitiendo a las
compañías generar y preservar el valor,
manteniendo un desarrollo sostenido del negocio en un largo
plazo.
Valor, Calidad y riesgo son conceptos que se encuentran
íntimamente ligados. Según el modelo de los
Pulmones, la expectativa de un objetivo es la línea a
partir de la cual se agrega valor o se asegura valor. El llamado
"Modelo de los pulmones" (por su singular Forma) propone que
ambas gestiones son complementarias, apoyándose mutuamente
para maximizar el valor de la compañía.
Más del 80% de las acciones de calidad involucran
componentes de riesgo y viceversa.
El propósito de la gestión es evitar que
los resultados de un objetivo sean menores que la expectativa y
el propósito de la gestión de calidad es conseguir
que los resultados de un objetivo sean iguales o mejores que las
expectativas.
Sin embargo, las gestiones de riesgo y calidad implican
un costo que la compañía debe asumir, por lo tanto,
las acciones destinadas a asegurar o agregar valor se justifican
solo si su beneficio es mayor que su costo. El
análisis realizado indica que más del 90% de las
acciones que aseguran valor tienen un costo muy inferior a su
beneficio, mientras que en el caso de la gestión de
calidad algunas de estas acciones se evalúan como
proyectos que pueden o no ser realizados.
La gestión de calidad y riesgo se realiza a todo
nivel y las acciones concretas, al igual que los objetivos
estratégicos van descendiendo de nivel organizacional y
estructural hasta llegar a los procesos o actividades propias de
cada área, con el fin de maximizar los impactos positivos
y minimizar los impactos negativos sobre los objetos de
riesgo.
Los objetos de riesgo definidos por el modelo del
pulmón son tres: personas, medio ambiente y negocio.
Esto significa, aquellos que pueden verse impactados por una
buena o mala gestión.
Los sujetos de riesgo, es decir, aquellos que pueden
impactar positiva o negativamente a los objetos de riesgo
dependiendo de una buena o mala gestión son, en general:
insumos, procesos, productos y descartes.
La cultura de riesgo estaba centrada
históricamente en la seguridad de las personas y en los
últimos años se ha abierto a temas medio
ambientales. Con el desarrollo de este modelo la
visión se ha ampliado hasta incorporar variables de
negocios que
anteriormente se veían solo como tema de calidad y
también se asocio el concepto de calidad a las personas y
el medio ambiente.
Sin embargo, aunque el modelo teórico es integro
e involucra a las distintas partes del negocio su
implementación a requerido varios años, como
consecuencia de la resistencia al
cambio o el desconocimiento existente en algunos niveles de
la organización.
Esta figura representa el valor de una
compañía como una rueda que se encuentra sobre una
rampa o pendiente, explicando en forma mas concreta la
relación entre ambas gestiones: Calidad y riesgo. El
objetivo propuesto es que esta rueda suba cumpliendo con las
expectativas.
Las expectativas pueden ser medidas a través de
indicadores de
desempeño los cuales pueden ser producción, tasas de accidentabilidad,
niveles de consumo
energético, etc.
En la figura anterior los mínimos y
máximos aceptables del indicador están
representados por los asteriscos.
El valor de la compañía (rueda) caerá en
la medida que se generen incidentes o no conformidad. De
manera inversa el valor del la compañía
accederá en la medida que se produzcan logros y
mejoras.
Como ya se ha mencionado. La gestión de riesgo y
calidad esta íntimamente ligada por la rueda del
valor. La gestión de riesgo tiene como función
servir de cuña para impedir que el valor de la
compañía descienda. Esto sólo se
logra, evitando se produzcan los incidentes y no conformidades, y
mitigando sus impactos o perdidas. Se puede decir que esta
gestión, no sólo sirve de cuña sino en
cierto momento puede llegar a empujar esta rueda, permitiendo que
suba por la pendiente o mejor dicho, aumente el valor.
La gestión de calidad tiene como función
tirar hacia arriba la rueda, permitiendo que el valor de la
compañía ascienda.
Por esto debe provocar los eventos y estados de mejora
deseados y potenciar sus impactos o ganancias. Se puede
decir que esta gestión no solo sirve para aumentar el
valor, sino que en cierto momento pueda llegar que la rueda
caiga, asegurándolo.
Si solo se realizará gestión de calidad sin
implementarse gestión de riesgo, la cuerda que tira la
rueda podría sostenerla por un tiempo desconocido, pero
también podría llegar a cortarse con la ocurrencia
de cualquier incidente, haciendo que la rueda caiga incluso
aún más bajo que el indicador mínimo
aceptable. De igual forma, si solamente se
realizará gestión de riesgo, esta sería una
cuña para sostener la rueda, pero no la haría subir
la pendiente y cualquier incidente lago mayor podría hacer
que la rueda aplaste la cuña y caiga. Ambas
situaciones tiene como lógico resultado una baja en el
valor de la compañía.
Como conclusión la gestión de riesgo y
gestión de calidad no pueden ser tratadas en forma
independiente o ajena al proceso de negocio. El mejor
escenario corresponde al caso en que la gestión de riesgo
apoye la gestión de calidad y viceversa.
Basándose en el modelo de los pulmones y la rueda
del valor se resumen todas las ideas, que se dividen en dos
partes principales. La primera de ella corresponde al mapa
de riesgo y la segunda, al mapa de oportunidades.
2.6.8.
Cartilla Guía de "Administración del Riesgo"
(15)
Esta Cartilla Guía fue creada en el año 2001,
por el Departamento Administrativo de la Función
Pública de Colombia, y
está dedicada específicamente a la Gestión
de Riesgo implementada en la Administración del Estado, de
acuerdo con la normativa vigente en ese país.
Tiene por objeto fortalecer aspectos relevantes de la
Función de la Administración
Pública, además de dar cumplimiento a los
principios constitucionales de moralidad,
igualdad,
eficacia, economía, etc., mediante la descentralización de funciones, recordando
que una de las finalidades sociales del Estado es el bienestar
general y el mejoramiento de la calidad.
Pretende que los usuarios de la guía puedan
identificar, analizar y manejar permanentemente los riesgos,
garantizando el cumplimiento de objetivos institucionales, la
supervivencia de la entidad y el fortalecimiento de la
credibilidad de la misma ante la ciudadanía.
Su objetivo general es garantizar el cumplimiento de la
misión y objetivos institucionales de la entidad de la
administración pública a través de la
prevención y administración del riesgo.
Los objetivos específicos son:
a. Brindar una
herramienta que facilite a las entidades una adecuada
administración del riesgo.
b. Generar una
visión general acerca de la administración y
evaluación de riesgos, así como del papel de la
alta y media gerencia en
coordinación con la Oficina de
Control Interno.
c. Proteger
los recursos del Estado.
d. Introducir dentro
de los procesos y procedimientos la administración de
riesgo.
e. Hacer
participes a todos los funcionarios en la búsqueda de
acciones encaminadas a prevenir los riesgos.
f. Asegurar el
cumplimiento de normas, leyes y
regulaciones.
Esta metodología se basa en 7 etapas:
1.- Directrices Generales:
·
Compromiso de la alta Gerencia.
·
Conformación de un equipo de trabajo.
2.- Valoración del
Riesgo: Esta consta de 3 etapas: la identificación, el
análisis y la determinación del nivel del riesgo,
las cuales son de singular interés para desarrollar con
éxito la administración de riesgo e implementar una
política
al respecto en la entidad. Para cada una de estas etapas se
sugiere tener en cuenta la mayor cantidad de datos disponibles y
contar con la participación de las personas que ejecutan
los procesos par lograr que las acciones determinadas alcances
los niveles de efectividad esperados.
3.- Manejo del Riesgo:
Cualquier esfuerzo que emprendan las entidades en torno a la
valoración del riesgo llega a ser en vano, si no se
culmina en un adecuado manejo y control de los mismos, definiendo
acciones factibles y efectivas, tales como la implantación
de políticas,
estándares, procedimientos y cambios físicos, que
hagan parte de un plan de manejo.
Para el manejo del riesgo se puede tener en cuenta alguna de
las siguientes opciones:
-
Evitar el riesgo.
-
Reducir el riesgo.
-
Dispersar y atomizar el riesgo.
-
Transferir el riesgo.
-
Asumir el riesgo
.
4.- Plan de Manejo de Riesgos:
Para la elaboración es necesario tener en cuenta si las
acciones propuestas reducen la materialización del riesgo
y hacer una evaluación jurídica, técnica,
institucional, financiera y económica, es decir considerar
la viabilidad de su opción. La selección
de las acciones más convenientes para la entidad se puede
realizar con base en los siguientes factores:
a.- El nivel de riesgo.
b.- El balance entre el costo de la implementación de
cada acción
contra el beneficio de la misma.
5.- Elaboración del Mapa de
Riesgos: Este puede ser entendido como la
representación o descripción de los distintos aspectos
tenidos en cuenta en la valoración de los riesgos que
permite visualizar todo el proceso de la valoración del
riesgo y el plan de manejo de estos.
Riesgo | Impacto | Probabilidad | Control Existente | Nivel De Riesgo | Acciones | Responsables | Cronograma | Indicadores |
|
|
|
|
|
|
|
|
|
6.- Monitoreo: Una vez
diseñado y validado el plan para administrar los riesgos,
es necesario monitorearlo permanentemente teniendo en cuenta que
estos nunca dejan de representar una amenaza para la
organización, el monitoreo es esencial para asegurar que
dichos planes permanecen vigentes y que las acciones están
siendo efectivas. El monitoreo debe estar a cargo de los
responsables del área y de la Oficina de Control Interno y
su finalidad principal será la de aplicar los correctivos
y ajustes necesarios para asegurar un efectivo manejo del
riesgo.
7.- Autoevaluación: Se
debe realizar con base en los indicadores de gestión
diseñados para tal fin y los resultados de los monitoreos
aplicados en diferentes períodos. Así mismo,
se evaluará como ha sido el comportamiento
del riesgo y si se han presentado nuevos riesgos que deban ser
combatidos.
2.6.9. Análisis
Funcional de Operatividad (AFO): Hazard and Operability (HAZOP)
(16) Descripción:
El HAZOP es una técnica de identificación de
riesgos inductiva basada en la premisa de que los riesgos, los
accidentes o
los problemas de
operabilidad, se producen como consecuencia de una
desviación de las variables de proceso con respecto a los
parámetros normales de operación en un sistema dado
y en una etapa determinada. Por tanto, ya se aplique en la etapa
de diseño, como en la etapa de operación, la
sistemática consiste en evaluar, en todas las
líneas y en todos los sistemas las consecuencias de
posibles desviaciones en todas las unidades de proceso, tanto si
es continuo como discontinuo. La técnica consiste en
analizar sistemáticamente las causas y las consecuencias
de unas desviaciones de las variables de proceso, planteadas a
través de unas "palabras guía".
El método surgió en 1963 en la
compañía Imperial Chemical Industries, ICI, que
utilizaba técnicas de análisis crítico en
otras áreas. Posteriormente, se generalizó y
formalizó, y actualmente es una de las herramientas
más utilizadas internacionalmente en la
identificación de riesgos en una instalación
industrial.
La realización de un análisis HAZOP consta de
las etapas que se describe a
continuación.
Etapas:
1. Definición del
área de estudio: Consiste en delimitar las
áreas a las cuales se aplica la técnica. En una
determinada instalación de proceso, considerada como el
área objeto de estudio, se definirán para mayor
comodidad una serie de subsistemas o líneas de proceso que
corresponden a entidades funcionales propias: línea de
carga a un depósito, separación de disolventes,
reactores, etc.
2. Definición de los
nudos: En cada uno de estos subsistemas o líneas se
deberán identificar una serie de nudos o puntos claramente
localizados en el proceso. Por ejemplo: depósito de
almacenamiento.
Cada nudo deberá ser identificado y numerado
correlativamente dentro de cada subsistema y en el sentido del
proceso para mejor comprensión y comodidad. La
técnica HAZOP se aplica a cada uno de estos puntos. Cada
nudo vendrá caracterizado por variables de proceso:
presión, temperatura,
caudal, nivel, composición, viscosidad,
etc.
La facilidad de utilización de esta técnica
requiere reflejar en esquemas simplificados de diagramas de flujo
todos los subsistemas considerados y su posición
exacta.
El documento que actúa como soporte principal del
método es el diagrama de flujo
de proceso, o de tuberías e instrumentos.
3. Aplicación de las
palabras guía: Las "palabras guía" se utilizan
para indicar el concepto que representan a cada uno de los nudos
definidos anteriormente que entran o salen de un elemento
determinado. Se aplican tanto a acciones (reacciones,
transferencias, etc.) como a parámetros específicos
(presión, caudal, temperatura, etc.). La tabla de abajo
presenta algunas palabras guía y su significado.
Palabra guía | Significado | Ejemplo de desviación | Ejemplo de causas originadoras |
NO | Ausencia de la variable a la cual se aplica | No hay flujo en una línea | Bloqueo; fallo de bombeo; válvula cerrada o |
MÁS | Aumento cuantitativo de una variable | Más flujo (más caudal) | Presión de descarga reducida; succión |
Más temperatura | Fuegos exteriores; bloqueo; puntos calientes; | ||
MENOS | Disminución cuantitativa de una variable | Menos caudal | Fallo de bombeo; fuga; bloqueo parcial; sedimentos en |
Menos temperatura | Pérdidas de calor; | ||
INVERSO | Analiza la inversión en el sentido de la | Flujo inverso | Fallo de bomba; sifón hacia atrás; |
ADEMÁS DE | Aumento cualitativo. Se obtiene algo más que | Impurezas o una fase extraordinaria | Entrada de contaminantes del exterior como aire, |
4. Definición de las
desviaciones a estudiar: Para cada nudo se plantea de forma
sistemática todas las desviaciones que implican la
aplicación de cada palabra guía a una determinada
variable o actividad. Para realizar un análisis
exhaustivo, se deben aplicar todas las combinaciones posibles
entre palabra guía y variable de proceso,
descartándose durante la sesión las desviaciones
que no tengan sentido para un nudo determinado.
Paralelamente a las desviaciones se deben indicar las causas
posibles de estas desviaciones y posteriormente las
consecuencias.
En la tabla anterior se presentan algunos ejemplos de
aplicación de palabras guía, las desviaciones que
originan y sus causas posibles.
5. Sesiones HAZOP: Las
sesiones HAZOP tienen como objetivo la realización
sistemática del proceso descrito anteriormente, analizando
las desviaciones en todas las líneas o nudos seleccionados
a partir de las palabras guía aplicadas a determinadas
variables o procesos. Se determinan las posibles causas, las
posibles consecuencias, las respuestas que se proponen,
así como las acciones a tomar.
En el caso de procesos discontinuos, el método HAZOP
sufre alguna modificación, tanto en su análisis
como en la presentación de los datos finales.
6. Informe final:
El informe final consta de los siguientes documentos:
o
Esquemas simplificados con la situación y
numeración de los nudos de cada subsistema.
o
Formatos de recogida de las sesiones con indicación de las
fechas de realización y composición del equipo de
trabajo.
o
Análisis de los resultados obtenidos. Se puede llevar a
cabo una clasificación cualitativa de las consecuencias
identificadas.
o
Listado de las medidas a tomar. Constituye una lista preliminar
que debería ser debidamente estudiada en función de
otros criterios (coste, otras soluciones
técnicas, consecuencias en la instalación, etc.) y
cuando se disponga de más elementos de
decisión.
o
Lista de los sucesos iniciadores
identificados.
7. Ámbito de
aplicación: La mayor utilidad del
método se realiza en instalaciones de proceso de relativa
complejidad o en áreas de almacenamiento con equipos de
regulación o diversidad de tipos de trasiego. Es uno de
los métodos más utilizados que depende en gran
medida de la habilidad y experiencia de los miembros del equipo
de trabajo para identificar todos los riesgos posibles.
En plantas nuevas o
en fase de diseño, puede ayudar en gran medida a resolver
problemas no detectados inicialmente. Además, las
modificaciones que puedan surgir como consecuencia del estudio
pueden ser más fácilmente incorporadas al
diseño. Por otra parte, también puede aplicarse en
la fase de operación y en particular ante posibles
modificaciones.
8. Recursos necesarios: El
grupo de
trabajo estable estará constituido por un mínimo de
cuatro personas y por un máximo de siete. Podrá
invitarse a asistir a determinadas sesiones a otros
especialistas.
Se designará a un Coordinador/Director del grupo,
experto en HAZOP, y que podrá ser el técnico de
seguridad, y no necesariamente una persona vinculada al proceso.
Aunque no es imprescindible que lo conozca en profundidad, si
debe estar familiarizado con la ingeniería de proceso en general.
Ventajas e inconvenientes del método: El
método, principalmente cubre los objetivos para los que se
ha diseñado, y además:
·
Es una buena ocasión para contrastar distintos puntos de
vista de una instalación.
·
Es una técnica sistemática que puede crear, desde
el punto de vista de la seguridad, hábitos
metodológicos útiles.
·
El coordinador mejora su conocimiento
del proceso.
·
No requiere prácticamente recursos adicionales, con
excepción del tiempo de dedicación.
Los principales inconvenientes, pueden ser:
·
Al ser una técnica cualitativa, aunque sistemática,
no hay una valoración real de la frecuencia de las causas
que producen una determinada consecuencia, ni tampoco el alcance
de la misma.
·
Las modificaciones que haya que realizar en una determinada
instalación como consecuencia de un HAZOP, deben
analizarse con mayor detalle además de otros criterios,
como los económicos.
·
Los resultados que se obtienen dependen en gran medida de la
calidad y capacidad de los miembros del equipo de trabajo.
2.7. Selección del Modelo
de Gestión de Riesgos.
Después de realizar una identificación y
evaluación de los diversos métodos existentes, para
organizar la implementación de las funciones
básicas que deben llevarse a cabo para una Gestión
de Riesgos, la siguiente tabla nos muestra en resumen los
métodos que se revisaron:
MéTODO | SOFTWARE | GENERALES | ESPECIFICOS |
Magerit 2.0 | * |
|
|
ORM | * |
|
|
GIRO | * |
|
|
AUSTRALIANO/ NEOZELANDES |
| * |
|
GUIA CARTILLA COLOMBIANA |
|
| * |
METODO DEL PULMON |
|
| * |
RISK UNIVERSE |
| * |
|
NTP 537 |
|
| * |
HAZOP |
|
| * |
En primer lugar se observa metodología del tipo
Software, la cual al tratar de implementarla nos
significaría un costo alto al adquirir estos programas
(precio
fluctúa entre los 800 y 1.000 dólares),
también habría que invertir en la parte informática de la empresa y en la capacitación del personal para
interiorizarse de cómo funciona y cuales son sus
aplicaciones de más importancia. Además este
tipo de método están enfocados a los riesgos del
tipo TI (tecnología
información), por lo que sería mejor implementarlos
en entidades como lo es el Servicio de
Impuestos
Internos quién trabaja con gran información del
tipo tecnológica informática, en sus procesos de
Rentas, Pago de Contribuciones en línea, etc.
Con respecto al Método Risk Universe creado por la
Empresa Ernst & Young, podemos señalar que abarca una
gran cantidad de riesgos con respecto al negocio, pero su gran
limitación es que existe muy poca información sobre
él, como para poder implementarlo en alguna entidad.
Con respecto al Modelo del Pulmón, nos parece muy
interesante la complementación que realiza de la
Gestión de Calidad y la Gestión de Riesgos, y
estamos de acuerdo que van de la mano pero desde el punto de
vista que la Entidad en la cual se realizará la
implementación requiere de entregar un servicio de alta
calidad, nos parece que en este aspecto la Dirección de Vialidad esta apuntando hacia
la certificación de sus procesos.
Por lo que nuestra metodología escogida sería el
Método Estándar Australiano
Neozelandés, el cual nos parece de mejor
entendimiento y más fácil implementación ya
que es aplicable a una actividad, una etapa de un proceso,
etc. También este puede aplicarse en todos los
niveles de una organización ya sea estratégico u
operacional.
CAPITULO III:
AUDITORÍA INTERNA Y CONTROL INTERNO DENTRO DE LA
GESTIÓN DE RIESGOS.
En este capítulo conoceremos los términos de
auditoria, su significado algunos antecedentes
históricos y como es la función de la
Auditoria Interna dentro de la Gestión de Riesgos,
además conceptos generales de los gobiernos corporativos,
las diversas definiciones del Control Interno como el C.O.S.O. I
y II.
3.1
Generalidades.
3.1.1. Nacimiento
del Concepto de Auditoría (17).
Auditoría viene del inglés
"to audit", que significa verificar, inspeccionar, a su vez el
término inglés "audit." encuentra su origen al
igual que la palabra española audiencia, en las voces latinas
"audire"=oír y "auditio"=acto de oír.
La acepción o significado del término
auditoría ha experimentado notables cambios con el
transcurso del tiempo, para terminar siendo una de las palabras
de acepción más compleja de la moderna
economía y administración. El termino
auditoría significa inspeccionar, revisar, verificar e
investigar.
3.1.2.
Antecedentes Históricos de Auditoría.
Las auditorías han existido aproximadamente
desde el siglo XV. El origen exacto de las
auditorías de informes financieros es objeto de
controversia, pero se sabe que hacia el siglo XV, algunas
familias pudientes establecidas en Inglaterra
recurrían a los servicios de auditores para asegurarse de
que no había fraude en las
cuentas que eran
manejadas por los administrados de sus bienes. Sin
embargo, la auditoría en su acepción más
restringida o verdadera auditoría, consiste en la
comprobación de la veracidad de la verdadera
auditoría, en la comprobación de la veracidad de la
información contable facilitada por sociedades
generalmente privadas y de naturaleza
mercantil, no nace en Europa hasta
después de la revolución
industrial, ya en pleno siglo XIX, aunque con un desarrollo
muy desigual en unos y otros países.
Fue entonces cuando, como consecuencia del desarrollo
extraordinario de la sociedad
anónima como forma jurídica de empresa,
surgió la necesidad de que la información contable
facilitada a los accionistas y a los acreedores respondiera
realmente a la situación patrimonial y económica –
financiero de la empresa.
La auditoría como profesión fue reconocida en
Gran Bretaña por la Ley de Sociedades
de 1862, en la que se establecía la conveniencia de que
las empresas llevaran un sistema metódico y normalizado de
contabilidad y la necesidad de efectuar une revisión
independiente de sus cuentas.
En 1879 se le impuso en Gran Bretaña a las entidades
bancarias la obligación de someter las cuentas anuales al
juicio de un auditor independiente.
En 1880 la Reina Victoria les confirió a los auditores
de Inglaterra y Gales el derecho a llamarse Chartered
Accountants.
Desde 1862 hasta 1900, la profesión de auditor se
desarrollo extraordinariamente en Inglaterra y se introdujo en
los Estados Unidos de
América
hacia 1900. Antes de esa fecha, muchos contadores públicos
o auditores titulados ingleses y escoceses se habían
ido ya a los Estados Unidos para prestar asistencia
técnica a los inversionistas británicos, en aquella
era de rápida industrialización en
Norteamérica.
En Francia, la
ley de 24 de julio de 1867, que durante un siglo ha sido
considerada la carta
constitucional básica del derecho de sociedades, regula la
figura de comisaría de cuentas, cuya misión es
presentar a la Junta General de la Sociedad un informe sobre las
cuentas anuales de la misma preparadas por los
administradores.
El Código de
Comercio Italiano de 1882 supuso un importante paso adelante
en el camino del control de las sociedades
mercantiles por auditores independientes. Sin embargo, la
historia de la
auditoría en Italia, a
diferencia de Alemania, en
donde la auditoría se introduce tardíamente, se
remonta a la época de las ciudades-estado, y en 1851 se
fundó en Venecia la que fue, probablemente, la primera
asociación de auditores.
En esta época, segunda mitad del siglo XIX, los
objetivos de la auditoria eran fundamentalmente dos:
• La
detección y prevención de fraudes.
• La
detección y prevención de errores.
Hasta comienzos del siglo XX, el trabajo de los auditores se
concentraba principalmente en el balance que los empresarios
tenían que presentar a sus banqueros en el momento que
decidieran solicitar un préstamo. Por aquella época
la cuenta de pérdidas y ganancias era vista como un
documento confidencial del que los terceros no podían
disponer.
Fue a partir de 1900 cuando a la auditoría o
contaduría pública, como se le llamaba en los
Estados Unidos de América, se le asignó el
objetivo de analizar la rectitud de los estados
financieros. Después de esa fecha la función
del auditor como detective fue quedando atrás, y el
objetivo principal del trabajo del auditor paso hacer la
determinación de la rectitud o razonabilidad con la
que los estados financieros reflejan la situación
patrimonial y financiera de la compañía, así
como el resultado de sus operaciones.
3.2. Concepto de
Auditoría
Interna(18).
La Auditoría
Interna está encargada de examinar todo tipo de
operaciones realizadas por un ente, lo que la hace diferente de
la auditoría de estados financieros, ya que está
última centra su interés en lo que se relaciona con
la información expuesta por los estados financieros
relativa a la situación financiera y los resultados
económicos del periodo auditado. En cambio, la
Auditoría Interna ejecuta sus actividades de examen con el
propósito de formular juicios técnicos sobre la
calidad y confiabilidad de la información y los sistemas
de información general; acerca de la validez, vigencia y
adhesión a las políticas, normas y procedimientos
generales y particulares aplicados en cada una de las
áreas y unidades de la entidad; y sobre la vigencia y
efectividad de los controles directos incorporados en las
operaciones.
Otra de las finalidades de la Auditoría Interna es
evaluar el desempeño en las tareas que les han sido
encomendadas a los miembros componentes del equipo humano de la
organización.
Es decir, verificar si las personas se desempeñan con
sujeción a las políticas y normas preestablecidas,
si las tareas se desarrollan de acuerdo con los procedimientos
definidos y si están permitiendo avanzar adecuadamente
hacia el cumplimiento de las metas y logro de los objetivos para
los cuales fueron establecidos.
Igualmente, la Auditoría Interna cumple con
proporcionar a la dirección superior del ente,
información independiente y objetiva, diferente de aquella
que fluye por los conductos regulares de comunicación
establecidos por la organización.
Finalmente, la Auditoría Interna debe asegurar la
eficiencia en el desempeño de las responsabilidades
asignadas a los miembros de la organización, por cuanto, a
través del examen critico de las actuaciones, tiene que
estar en condiciones de detectar las debilidades,
desviaciones y fallas potenciales o existentes y proponer las
medidas correctivas que correspondan.
El ámbito de acción de la Auditoría
Interna deberá comprender a la organización como un
todo y, en particular, cada una de las unidades componentes. Sin
dejar de lado la interacción de la organización con
su entorno o medio ambiente.
El alcance de la Auditoría Interna debe comprender
necesariamente el examen y la evaluación de la
adecuación y efectividad del sistema de control interno de
la organización, la evaluación de la eficiencia y
eficacia del sistema de información administrativo, y la
evaluación de la calidad del desempeño de los
miembros en el cumplimiento de sus responsabilidades.
Al final del trabajo de auditoría, el auditor
deberá emitir un informe en el que exprese su
opinión técnica fundada respecto de la calidad con
que se esta administrando la organización o una
área especifica de ella.
Se ha definido a la Auditoría Interna, dependiendo del
alcance del trabajo y campo de acción cubierto, como:
• Una función asesora del
nivel ejecutivo máximo en la administración
eficiente de las operaciones realizadas por la
organización.
• Una función encargada de
verificar el funcionamiento efectivo y adecuado del sistema de
control interno, pasando a constituirse en control indirecto o
control de controles.
• Una función de
evaluación de la gestión de una
organización y del desempeño de cada una de
sus unidades.
• Una función de
evaluación de los resultados obtenidos, medidos en
función de los recursos de todo tipo empleados, las metas
y objetivos prefijados.
Según Ruben O. Rusenas, "La Auditoría
Interna es una función de alta y gran jerarquía,
que requiere profesionales especializados, inteligentes,
capaces e íntegros.
L. B Sawyer, "La Auditoría Interna es la
evaluación independiente de las diversas operaciones y
sistemas de control dentro de una organización, a fin de
determinar si las políticas y procedimientos establecidos
son aplicados, los estándares fijados son alcanzados, los
recursos son utilizados eficiente y económicamente, los
planes trazados son realizados de manera eficiente y si los
objetivos de la organización se están
realizando".
3.3. La Auditoría
Interna como actividad independiente y
objetiva(19).
Los auditores internos deben ser ajenos a las actividades que
auditan.
Los auditores alcanzan su independencia
cuando pueden llevar a cabo su trabajo con libertad,
objetividad, apego a las normas, estándares
internacionalmente aceptados y que rigen la actividad del
profesional auditor interno. La independencia nos permite rendir
juicios imparciales, hecho esencial para una apropiada conducta de los
mismos auditores. La independencia se logra a través de un
adecuado posicionamiento
en la organización de la empresa y su objetividad. La
posición organizacional de la Auditoría Interna
debe ser relevante para asegurar acciones efectivas sobre los
hallazgos y recomendaciones de auditoría.
La objetividad requiere que los auditores internos tengan una
actitud de
independencia mental y una honesta confianza sobre el resultado
de su trabajo. El establecer procedimientos, diseñar,
instalar y operar sistemas no son funciones de auditoria; el
llevar a cabo tales actividades presume perder la objetividad e
independencia del auditor.
Ø ACTIVIDAD DE
ASEGURAMIENTO: Es el examen objetivo de evidencias con
la finalidad de realizar una evaluación independiente de
los procesos de Gestión de Riesgos, Control y Gobierno de
la Organización.
Ø ACTIVIDAD DE
CONSULTORÍA: Actividades de asesoramiento y servicios
relacionados, de naturaleza y alcances diversos, previamente
acordados y dirigidos a añadir valor y a mejorar los
procesos de Gobierno y Gestión de Riesgos.
Ø AGREGAR VALOR: La
Auditoría Interna debe tener la capacidad de aportar
comentarios que permitan a nuestras organizaciones ganar en
productividad,
mejorar procesos, disminuir costos, mejorar
los servicios para tener clientes
satisfechos y aumentar la relación riesgo-entorno.
3.4. ¿Qué no
debe esperarse de una Auditoría Interna?
Un Departamento de Auditoría Interna no debería
ser reconocido por las características que, a
título informativo y sin carácter taxativo, se enumeran a
continuación:
a)
Convertirse en un lugar de retiro o de estacionamiento de
Directivos en desgracia u obsoletos y, en general, de personal
con el que no se sabe bien que hacer.
b)
Desarrollar una mentalidad "policíaca", inquisitiva,
pretendiendo sorprender en fallos o deficiencias al personal de
la empresa.
c)
Ser una agrupación de "delatores" que
trasmiten a la Dirección sospechas, impresiones sin
consistencia real o puramente subjetivas, o denuncias recibidas
de otros departamentos o personas.
d)
Ser un depósito de la empresa, al cual se requiera para
echar mano de su personal cada vez que aparezca un incendio
a apagar en la empresa.
e)
Convertirse en un simple auxiliar de la Auditoría Externa
o un enemigo permanente de la misma o de otros Departamentos de
la organización.
f)
Devenir en un departamento sin categoría ni prestigio en
la empresa, que se dedique a tareas rutinarias e intrascendentes
de control e inspección.
3.5. La Auditoría como
técnica de análisis y supervisión de
riesgos.
La empresa moderna tiene dentro de sus principales intereses
el enfrentamiento de manera activa a los riesgos que
afectan su estabilidad y seguridad integral. De esta manera es
importante la búsqueda de alternativas que permitan el
tratamiento de estos riesgos de manera conciente y
razonada, de aquí que una de las técnicas
más utilizadas hoy en gran parte del mundo, es el
desarrollado por la Administración ó Gerencia de
riesgos, que es caracterizada por muchos como una
técnica gerencial, que posibilita de manera integral
detectar, evaluar y manejar los riesgos de pérdida a los
que se enfrenta la empresa moderna.
Para cumplir ese objetivo el analista de riesgo despliega
acciones propias de la dirección y gestión de
empresa con la especificidad de las ciencias y
técnicas aplicables a los riesgos y las herramientas para
su gestión. Como parte fundamental de esa labor directiva
debe procurar la máxima coordinación con todas las
áreas operativas de la empresa en la circulación
fluida que tenga relación con los riesgos.
Una de las actuaciones de análisis y
supervisión de riesgos más efectiva está
constituida por la realización de
Auditorías, herramientas fundamentales para la
comprobación del cumplimiento de los planes de seguridad y
base de la mejora permanente de los mismos.
La auditoría es una herramienta fundamental en el
tratamiento de los riesgos, ya que es una función
independiente ubicada dentro del organigrama
empresarial, con la finalidad de verificar si las actividades se
están realizando de acuerdo con las normas y
procedimientos establecidos por los niveles de dirección y
si responden a los mejores métodos de operación y
control.
La auditoría tiene el objetivo de ayudar a los miembros
de la organización en el desempeño efectivo de sus
responsabilidades; cuando este objetivo se logra, es porque
la auditoría ha proporcionado análisis,
evaluaciones, recomendaciones, asesoría e
información respecto a las actividades que se han auditado
(serían los posibles riesgos detectados dentro de cada
área que componga la empresa).
Los objetivos fundamentales de la auditoría son:
·
Mantenimiento
de un sistema de control interno efectivo.
·
Cumplimiento de las normas y procedimientos establecidos para el
logro de los objetivos de la empresa.
·
Identificación de las áreas donde ocurren
desviaciones y posibles riesgos.
3.6. Normas de
Auditoría según Instituto de Auditores
Internos(20).
Las normas de auditoría establecen los lineamientos
básicos que el profesional debe seguir en el cumplimiento
de su labor (y en esto no hay legislación alguna que
sustituya las normas).
Como el objeto de éstas normas es el ejercicio de una
actividad profesional, no cabe otra alternativa que esa misma
profesión dicte su contenido.
Las normas que rigen son emanadas del Instituto Internacional
de Auditoría y se refieren a:
· La
condición básica para el ejercicio de la
auditoría que es la independencia del auditor en
relación al objeto de la auditoría.
· Las
características necesarias en cuanto a capacidad
profesional, tanto de la Unidad de Auditoría Interna como
del propio auditor interno.
· Las
normas para el desarrollo de la auditoría que incluyen los
contenidos básicos referidos a las características
propias de la ejecución de la labor, la
documentación y las técnicas a emplear.
· Las
normas sobre la administración del Departamento de
Auditoría Interna.
Normas del Instituto de Auditores Internos:
* NORMAS SOBRE ATRIBUTOS
1. Propósito, Autoridad y
Responsabilidad
• Independencia y Objetividad
• Independencia de la
Organización
• Objetividad Individual
• Impedimentos a la Independencia
u Objetividad
 Página anterior | Volver al principio del trabajo | Página siguiente  |