UNIVERSIDAD DE SANTIAGO DE CHILEFacultad de Administración y EconomíaCARRERA DE CONTADOR PÚBLICO Y AUDITOR

COSO ERM

Profesor: Nelson Palominos G.Contador Público UsachContador Auditor UsachMagíster Contabilidad y Auditoría de Gestión

Administración de riesgo y el control modernos en las entidades

Profesor: Nelson Palominos G.Contador Público UsachContador Auditor UsachMagíster Contabilidad y Auditoría de Gestión

Antecedentes sobre la comisión Treadway

En el año 1985, se forma en USA, la Comision Treadway, cuyo presidente era James C. Treadway, la cual en la actualidad se llama COSO, que es una comisión dedicada a mejorar la calidad de la divulgación financiera respecto de la ética de los negocios, los controles internos y el gobierno corporativo.

Todos sabemos que esta comisión está formada por las 5 asociaciones relacionadas con los aspectos normativos americanos como son :

-La Asociación Americana de Contabilidad-El Instituto Americano de Contadores Públicos Certificados ( IACPA)-El Instituto Americano Financiero de Ejecutivo-El Instituto Americano de Auditores Internos-Asociación Nacional Americana de Contadores Públicos

También sabemos, que la citada comisión, le solicitó en el año 1992, a la empresa de auditoría Americana Coopers & Lybrand, que redactara las conclusiones a las cuales habían llegado los participantes en materia de control interno, y ese año aparece el informe C.O.S.O (Comité of Sponsoring Organizations of the Treadway Comisión), el cual lo incorpora como en las normas de auditoría americnas a través del SAS 78 en el año 1997. En Chile, el Colegio de Contadores lo incorporó como una norma de auditoría a través de la NAGA 44 en la década del 2000.

Pero para entender mejor el sistema de control interno de una entidad, tenemos que darle valor a todo lo que se ha escrito sobre la materia a contar del siglo pasado, durante el cual la profesión del Contador Público y Auditor, tuvo su mayor desarrollo, especialmente en lo relativo al control interno, por lo tanto , donde se creo la doctrina, los procedimientos y las normas.

Antecedentes históricos del Control Interno

A principio del siglo XX, Laurence R. Dicksee, señaló que los auditores deberían preocuparse del control interno para llevar a cabo sus auditorías, y es precisamente en este siglo donde los aspectos doctrinarios del CI, tienen su mayor auge, hay una preocupación permanente par parte de la profesión respecto del tema.

En el año 1947, el IACP, emitió un documento denominado " Declaración tentativa de normas de auditoría, su alcance y la significación de su aceptación general ", documento que fue aprobado por los miembros del Instituto Americano en el año 1948.

En ese documento se indicaba las normas a las cuales estaban sujetos los profesionales auditores, y en una norma relativa al trabajo se indicaba que el profesional auditor debía " Estudiar y evaluar el Control Interno existente en la empresa, para determinar el alcance, naturaleza y oportunidad en la aplicación de las pruebas de auditoría".

Apuntes preparado por el profesor Nelson Palominos G. Luego, en vista de lo anterior el mismo IACP, nombró una comisión el año 1948 para dedicarse a los aspectos doctrinario del control interno. La citada comisión definió el control interno el año 1949.Apuntes preparados por el profesor. Nelson Palominos G.Definición de Control Interno (año 1949) " El control interno comprende el plan de organización, todos los métodos coordinados y las medidas adoptadas en la empresa, para proteger sus activos, verificar la exactitud y confiabilidad de sus datos contables, promover la eficiencia en las operaciones y estimular la adhesión a las políticas ordenadas por la gerencia".

En el año 1958, el mismo instituto subdividió el Control Interno, ya que se entendía que este contenía controles de tipo contables y de tipo administrativos.

Esa división se lleva a cabo denominando 2 tipos de controles, el Control Interno Contable y el Control Interno Administrativo.Control Interno Contable La profesión definió al CI Contable como " El plan de organización y todos los métodos y procedimientos relacionados directamente con la protección de los activos y la confiabilidad de los registros financieros".

Además, se agregó que el control interno contable, incluye controles tales como:

-Sistema de autorizaciones y aprobaciones-Separación de funciones relacionada a registro y custodia de activos.-Controles físicos sobre los activos-La auditoría interna.

Control Interno Administrativo

También el IACP, procedió a definir el CI Administrativo, como " El plan de organización y todos los métodos y procedimientos que se relacionan principalmente con la eficiencia en las operaciones, la adhesión a las políticas de la gerencia.

Este control interno administrativo incluye controles tales como:

-Análisis estadísticos-Estudio de tiempo y movimiento-Informes de funcionamiento de la organización-Programas de adiestramiento de personal-Controles de calidad.

Alcance del control interno

De las definiciones anteriores se llega a la conclusión que el control interno se extiende mucho más allá de los aspectos contables financieros, o sea abarca a toda la organización, a todas las funciones que se ejecutan en ella.

Objetivos del control interno (año 1949)

De la propia definición entregada en el año 1949 por el IACP, se desprenden 4 objetivos del control interno y son los siguientes:

a.-Protección de los activosb.-Asegurar la calidad de la informaciónc.-Promover la eficiencia operacionald.-Impulsar la adhesión a las políticas de la empresaProtección de los activos Este objetivo del control interno implicaba, que en la medida que la empresa posea procedimientos de CI, para todas sus operaciones, los recursos que ella posea estarán más protegidos, esto quiere decir que los procedimientos de control por ejemplo impedirían que se efectuaran gastos que no guardan relación con la empresa, se evitaría también ejecutar tareas innecesarias, se evitarían las duplicidades de funciones y en general se lograría con un sistema de control interno que las operaciones sigan el curso normal de ellas.

b.-Asegurar la calidad de la información Es importante señalar que en la medida que existan los procedimientos de control interno para obtener, procesar y entregar información, es obvio que esta será de mejor calidad que la obtenida en empresas que no posean procedimientos .

Cabe agregar que estos procedimientos deben existir para todo tipo de información, sea esta contable, presupuestaria o estadística.

c.-Promover la eficiencia de las operaciones Este otro objetivo del sistema de CI, debe permitir asegurar que la empresa, al emplear los procedimientos de control interno establecidos, sus operaciones se logren en forma eficiente, o sea lograr su misión, metas, objetivos, políticas a través de un uso adecuado de todos sus recursos.

Luego entonces la entidad debe obtener el máximo de beneficio en el uso racional de sus recursos. para lograr esto último, la entidad debe efectuar permanentes evaluaciones de los procedimientos y de los resultados obtenidos con los planes establecidos, e informar a los responsables de la gestión, de las deficiencias encontradas.

d.-Impulsar la adhesión a las políticas de la empresa Es importante destacar en este objetivo del CI, es que la gerencia, y en general todos los ejecutivos y supervisores que posea la organización, logren que el personal que lideran, cumplan con los procedimientos establecidos, y los tomen como propios, para determinar que las operaciones se ejecuten de acuerdo con esos lineamientos, y así lograr las metas que deben alcanzarse.

Luego en la década de los años 70, el mismo IACP, empezó a definir un sinnúmero de aspectos doctrinarios, y también a utilizar en forma fundamental el control interno para llevar a cabo las auditorías, y es así como en esa época se fijan los siguientes conceptos.

Conceptos básicos relativos al Control Interno En relación con el control interno, existen numerosos concepto que deben ser definidos para una mayor comprensión del sistema, entre los cuales tenemos:

1.-Responsabilidad de la dirección o gerencia de la empresa frente al Control interno La responsabilidad de crear, mantener, o corregir los procedimientos de control interno, es de la gerencia general de la organización, como así mismo su implantación. Luego entonces el sistema de control interno debe quedar bajo la continua supervisión de la gerencia de una entidad, para determinar si está funcionando como se requiere. Sin embargo a partir del informe COSO, la responsabilidad es de todos en la organización.

2.-Seguridad razonable de obtener los objetivos del control interno Es importante destacar que no existe una seguridad absoluta que todos los objetivos del control interno se pueden lograr en una organización, ya que en algunos casos los procedimientos de control interno no se pueden implantar por un problema de costo, ya que el COSTO DE CUALESQUIER CONTROL NO PUEDE SER SUPERIOR A LOS BENEFICIOS QUE DE ESTE PROVENGAN. Por lo anterior la relación costo-beneficio debería ser un criterio importante que se tiene que considerar, cuando se desee crear un sistema de control interno en una organización.

3.-Sistema de procesamiento de datos Los objetivos del control interno se pueden alcanzar cualesquiera sea el sistema de procesamiento de la información que posea la entidad, sea este manual, mecanizado o computacional, ya que lo que debería verse afectado son los procedimientos que se utilizan para procesar la información en cualesquiera de los sistemas.

4.-Limitaciones del control interno En cualesquier sistema de control interno que exista en una organización, siempre van a existir limitaciones, que necesariamente se deben considerar, ya sea cuando se implemente o cuando se evalue, ya que la mayoría de los procedimientos de control interno se pueden ver afectado por las siguientes causas:

-Falta de entendimiento de los procedimientos-Errores de juicio en la aplicación de los procedimientos-Descuidos personales-Fatiga-Colusión.

Los auditores, sean estos internos o externos, cuando están estudiando el sistema, evaluando o comprendiéndolo, deben considerar el riesgo de las situaciones descritas.

5.-Personal En todo sistema de control interno, hay que considerar que la seguridad razonable de alcanzar los objetivos, de la organización dependerá en gran medida de la competencia , integridad, objetividad que posea el personal de la empresa.

6.-Segregación de funciones El sistema de control interno debe evitar que funciones incompatibles sean llevadas por una misma personas, con el propósito de evitar errores o irregularidades en el manejo de las operaciones.

Es así como es necesario que las funciones de registro deben ser distintas de la de caja, la de facturación de la de cobranza, la de contabilidad de la de bodega, el vendedor, distinto del cajero.,y otras numerosas funciones incompatibles.

7.-Ejecución de las transacciones Las transacciones que se ejecutan en la empresa deben ser aquellas que están debidamente autorizadas por personas responsables, y el sistema de control interno debe permitir que así se proceda.

Estas autorizaciones, se relacionan, con los pagos, el endeudamiento, con las políticas de crédito, políticas de contratación de personal, políticas de remuneraciones, adquisiciones de bienes, autorizaciones para utilizar recursos de la entidad y otras.-

8.-Registro de las transacciones Los procedimientos de control interno referentes a la contabilización de las operaciones, requieren que estas se registren en los períodos en que ellas ocurrieron, y en las cuentas que correspondan.

9.-Acceso a los activos Los procedimientos de control interno, deben estar diseñados de tal forma, que el acceso a los recursos de la entidad, esté limitado a las personas debidamente autorizadas, ya sea del punto de vista físico, sino que también de la utilización que puede dárseles.

10.-Comparación de los registros con los activos El sistema de control interno, debe poseer procedimientos que permitan que las personas que trabajan en la entidad puedan comparar la existencia física del bien con lo que aparece registrado. (arqueo de Caja, Toma de inventarios y otros procedimientos de auditoría).

Ahora bien de estos conceptos algunos de ellos en la actualidad tienen plena vigencia.

Elementos del Sistema de Control Interno En la misma época de los años 70, la profesión de auditoría definió los elementos del sistema de control interno existentes en la entidad, a través del SAS 1 y señaló que ellos estaban conformados por:

1.-Un plan de organización2.-Un sistema de procedimientos y métodos3.-Un grado de calidad del personal4.-El sistema de Información.

Con posterioridad la profesión incorpora como elementos del sistema:

5.-Las prácticas sanas6.-El control automático y el deliberado(Auditoría Interna)

En la década del 80, el IACP, emite más de 7 documentos (SAS), que vienen a cambiar en forma sustancial, la forma de llevar a cabo las auditorías, y en relación con los riesgo aparece el SAS 47 y respecto del control interno, se emite el SAS 55 en 1988, el cual nos cambia la norma de auditoría y los elementos del mismo, y al sistema se le denomina estructura. Luego entonces en esa fecha, se cambia la norma vigente desde el año 1947 y se señala:

" El auditor deberá adquirir una comprensión suficiente de la estructura de control interno, para determinar la naturaleza, oportunidad y extensión necesaria de las pruebas que deberán ejecutarse"

Esta norma es recogida por el Colegio de Contadores a través de los documentos NAGAS y se aplica en nuestro país a través de la NAGA 14 NAGA 22 y NAGA 44 de 2001.

La profesión cambia los elementos señalados en los primeros documentos emitidos, por elementos de la estructura de control interno y fueron los siguientes

Apuntes preparados por el Profesor: Nelson Palominos G.

a.-Ambiente de Controlb.-Procedimientos de Controlc.-Sistema contable. En esta oportunidad, se le da mucha importancia a los riesgos de auditoría para los exámenes que los auditores deben efectuar, y ellos son los de detección, el inherente y el de control, y el profesional auditor debe evaluarlos durante el proceso de su examen, ya que estos influyen directamente en la selección de la muestra, y en los rubros de mayor interés para efectos de la auditoría.

También la profesión le da importancia a los comites de auditoría en las organizaciones como una instancia de control diferentes a las existentes.

Luego en el año 1992, el "Committee of Sponsoring Organizations of the Treadway Commission (COSO), conformadas por el Instituto Americano de Contadores Públicos, La Asociación Americana de Contabilidad, el Instituto de Auditores Internos Americano y otras entidades, le encargaron a la empresa de auditores Coopers & Lybrand, la redacción de un documento final sobre control interno, el cual se le denominó informe COSO. Por otra parte a través del SAS 78, se modifica los aspectos doctrinarios del SAS 55, y se adopta como parte integrante de las Normas de Auditoría , las conclusiones del citado informe COSO. Luego entonces a contar del mes de enero de 1997 entra en vigencia lo señalado en el SAS 78.Segunda Norma de Auditoría según SAS 78

Tal como lo indicamos en los párrafos precedentes la nueva norma sobre el control interno señala " Un suficiente entendimiento del control interno, tendrá el auditor, al planear la auditoría, para determinar la naturaleza, tiempo y extensión de las prueba a ser desarrolladas". Además de lo anterior se define al sistema de control interno en forma diferente.Definición del Sistema de Control Interno (SAS 78)

El mismo SAS 78, señala lo siguiente . “ El control interno es un proceso efectuado por el consejo de directores de la entidad, gerencia y demás personal, designado para proporcionar una razonable seguridad en relación con los logros de los objetivos de las siguientes categorías: a.-seguridad de la información financiera, b.-efectividad y eficiencia de las operaciones, y c.-cumplimiento de las leyes y regulaciones aplicables.”

ELEMENTOS O COMPONENTES DEL SISTEMA DE CONTROL INTERNO

Además de la definición de control interno que reemplaza la fijada en el año 1949, se fijan nuevo elementos del sistema, que tanto el informe COSO, como el SAS 78, le denominan componentes y ellos son los siguientes:

A.-AMBIENTE DE CONTROL El ambiente de control. Establece el comportamiento del control en una

entidad, o sea el nivel de compromiso que asume una entidad respecto del control , o sea como el personal comprende el control dentro de una organización., y constituye la base de todos los demás elementos y componentes del sistema de CI en una empresa.

Luego el ambiente de control tiene una incidencia fundamental en las actividades empresariales de una organización, ya sea en el establecimiento de objetivos, como en la evaluación de los riesgos de la misma.

Entre los factores que se relacionan con este componente tenemos los siguientes:1.-Valores de integridad y ética2.-Compromisos de competencia 3.-Junta de directores o participación del comité de auditoría.4.-Filosofía de la gerencia y estilo de dirección5.-Estructura organizacional6.-Asignación de autoridad y responsabilidad7.-Políticas y prácticas de recursos humanos.

1.-Valores de integridad y ética

El estilo de dirección, y la forma como la gerencia percibe el control en la organización, va formando las normas de comportamiento al interior de una empresa, y refleja además la integridad de la gerencia y su compromiso con los valores éticos.

La integridad y los valores éticos de las personas de una organización son fundamentales , para la confianza que se pueda depositar en una entidad, ya que la integridad es un requisito previo al comportamiento ético de todos los aspectos relacionados con una empresa. La comisión Treadway señala en su informe COSO, “ Que un clima vigoroso dentro de la empresa y a todos los niveles de la misma, es esencial para el bienestar de la organización, de todos sus componentes, y del público en general. Un clima así contribuye de forma significativa a la eficiencia de las políticas y de los sistemas de control de la empresa, y permite influir sobre los comportamientos que no están sujetos ni a los sistemas de control más elaborado”.

Es importante recordar que la eficiencia del sistema de control interno de una organización no puede pasar a llevar la integridad y los valores éticos de las personas que crean los procedimientos de control, administran y supervisan.

Por otra parte es necesario señalar. que el comportamiento ético, así como la integridad de la dirección son productos de una cultura corporativa, que debe materializarse en la creación de normas éticas y de comportamiento de las personas que trabajan en una entidad.

Todos sabemos que en algunas entidades pueden existir fraudes u otras irregularidades y estos se dan en una empresa por las siguientes razones:

a.-Por la existencia de una motivaciónb.-Por la poca posibilidad de ser descubiertoc.-Por la existencia de una oportunidadd.-Para poner a prueba la capacidad de los defraudadores.

La entidad debe evitar la ocurrencia de lo señalado y así evitar que se produzcan situaciones de ésta naturaleza

La alta dirección de una empresa es la responsable de trasmitir los valores éticos y las normas de comportamiento a todos sus empleados.

Apuntes preparados por el Profesor Nelson Palominos G.

2.-Compromiso de competencia profesional

Cabe hacer presente que el nivel de competencia de las personas que laboran en una entidad, debe reflejarse en el conocimiento y en las habilidades necesarias para llevar a cabo las tareas que se le recomienden

Apuntes preparados por el profesor: Nelson Palominos G. La propia organización debe definir el nivel de conocimiento y habilidades

que deben poseer las personas en un determinado puesto, como así mismo debe tanto la organización , como las propias personas deben preocuparse del perfeccionamiento continuo, para no perder la competencia para ejecutar las tareas de la entidad en forma eficiente.

3.-Consejo de administración , directorio, o consejo de directorio, y comité de auditoría

El entorno de control y la cultura de las organizaciones está fuertemente influenciadas por el directorio de las organizaciones, que representan a los dueños, y por el comité de auditoría.

Indudablemente, que para tener el grado de importancia que se requiere, necesariamente tienen que ser independientes respecto de la dirección o gerencia de la empresa, como también la experiencia y grado de competencia de sus miembros.

Fuera de lo anterior es importante destacar cual es el grado de compromiso que ellos adquieren con la entidad, ya que depende de esto, para determinar su influencia en toda la organización, y por consiguiente en el ambiente de control.

4.-La filosofía de la dirección o gerencia y el estilo operativo o de gestiónCorresponde a la forma de actuar de la gerencia general de una entidad, y

su actitud frente a la información financiera, la selección de las alternativas disponibles respecto de los principios de contabilidad generalmente aceptados, la escrupulosidad y prudencia con la cual se obtienen las estimaciones contables, las actitudes frente a las funciones informáticas y contables, como también frente al personal, la forma con que se cumplen con las responsabilidades de la entidad., o sea en general como se lleva a cabo la administración de la entidad.

5.-Estructura organizativa o estructura organizacional.

Una estructura organizativa, bien diseñada por la entidad, debe proporcionar el marco dentro de la cual sus actividades deben ser planeadas, ejecutadas, controladas y supervisadas .

Esta estructura, debe tener bien diseñado, los niveles de autoridad y responsabilidad dentro de ella, como también las fuentes de información que la entidad requiere para la toma de decisiones y para el control.

Ahora bien es importante señalar que cada entidad debe adoptar la estructura organizacional, que más concuerde con los objetivos que se requiere alcanzar, sin embargo esta estructura puede variar por distintas razones, tales como:

-Tamaño de la entidad-Dispersión geográfica-Objetivos de la entidad-Tipo de productos que entrega la entidad al mercado

6.-Asignación de autoridad y responsabilidadLa entidad debe tener claramente establecidos, ya sea a través de

manuales y del organigrama de ella los niveles de autoridad y responsabilidad existente en una empresa.

Es importante destacar, que en algunas entidades la tendencia es delegar más autoridad y los niveles más bajo, para situar el proceso de toma de decisiones en esa primera línea, por otra parte hay otras empresas que delegan la autoridad sólo cuando sea necesario, pero independiente de la forma como se delegue es importante que el personal de la empresa conozca los diferentes niveles de autoridad y responsabilidad existentes en una organización.

7.-Políticas y prácticas de recursos humanos

Esto se refiere a la contratación, orientación, entrenamiento , evaluación, promoción y compensación del recurso humano que trabaja en una entidad. Es necesario destacar, que del punto de vista del CI, la organización debe tener procedimientos claros respecto del punto anterior, y además que ellos sean conocidos por los empleados y profesionales de la entidad.

También contribuirá al ambiente de control, la preparación que posea el recurso humano con que cuenta una organización, sus valores éticos y el grado de compromiso que adquiere con la empresa. B. EVALUACIÓN DE LOS RIESGOS

Las organizaciones se encuentran con una serie de riesgos, cuyo origen puede ser interno , como externo, que necesariamente debe evaluarse o tener en consideración.

Estos riesgos afectan a la empresa en su quehacer diario, en su competencia, su situación financiera y otros aspectos fundamentales.

Sin embargo, si bien el sistema de control interno puede minimizarlos, es imposible bajar estos riesgos a un nivel cero.

Ahora bien, tal como lo señalamos, es importante evaluar estos riesgos, que consiste en la identificación y análisis de los factores que podrían afectar alcanzar los objetivos de la entidad.

Luego la identificación de los objetivos, es una condición previa a la evaluación de los riesgos, por lo cual la identificación de los objetivos es una fase clave en el proceso de gestión.

Los riesgos en la información, incluyen eventos externos e internos, una vez que los riesgos son identificados, la gerencia debe considerar su importancia, la probabilidad de su ocurrencia, y como deben ser manejados.

Sobre el particular, la gerencia puede iniciar planes, programas o acciones para identificar los riegos específicos, o para decidir o aceptar un riego, ya sea por el costo u otra consideración.

Estos riesgos pueden surgir debido a las siguientes circunstancias:

1.-Cambios en los ambientes operacionales2.-Nuevo personal3.-Nuevos o sistemas reorganizados de información4.-Rápido crecimiento5.-Nuevas tecnologías6.-Nuevas líneas de producto o actividades7.-Estructuración de la entidad.8.-Operaciones extranjeras9.-Pronunciamientos de contabilidad.10.-Clima de ética y presión para el logro de los objetivos de la entidad.11.-Tamaño de los recursos, liquidez o volúmenes de transacciones12.-Condiciones económicas del país13.-Complejidad de las operaciones14.-Dispersión geográfica de las operaciones

Los riesgos identificados por la alta dirección, están directamente relacionados con los procesos críticos, en los que se involucran a las diversas áreas de una entidad. Por lo tanto es importante que los auditores, sean estos internos o externos identifiquen los riesgos, y así asignar prioridades de revisión a las actividades con probabilidades de riesgo mayor. Ahora bien respecto al COSO ERM, este punto es debidamente ampliado

Consideraciones para el establecimiento de prioridades

Es importante destacar que los aspectos más importante en el establecimiento de prioridades en la planeación de una auditoría, respecto de la identificación de los riesgos es la siguiente:

-Fecha y resultado de la última auditoría-Exposición financiera en términos de riesgos-Riesgos y pérdidas potenciales-Requerimiento de la gerencia-Cambios importante en las operaciones-Oportunidades para obtener beneficios operativos-Cambios en los equipos de los auditores y capacidad de los mismos.

Para determinar de una forma razonable los riesgos operativos, de una entidad, los auditores, sean internos o externos se deben evaluar los riesgos, para lo cual es necesario ponderar la importancia de las diversas operaciones de la empresa y la eficiencia de los controles de ellas.

Para lo anterior se puede utilizar el siguiente modelo de evaluación de riesgos, basado en el marco del control interno, respecto de los objetivos y componentes del C.I.

Objetivos-Eficiencia en el costo-Eficacia en las operaciones-Confiabilidad de la información-Cumplimiento con la normativa-Salvaguarda de los recursosComponentes-Ambiente de control-Evaluación de los riesgos -Actividades de control-Información y comunicación-Monitoreo o supervisión

Utilizando el modelo de evaluación de riesgo a nivel de función, áreas o rubros, es necesario determinar lo siguiente:

1.-La importancia de cada función, área o rubro frente a los objetivos de control.2.-Asignar valores a los menos importantes y a los más críticos.3.-Estimar la eficacia de los controles internos en cada uno de los componentes.

Los valores asignados se ponderan por cada uno de los componentes y representan el riesgo residual posterior a las operaciones de los controles. Por lo tanto un valor menor refleja más confianza en el funcionamiento efectivo del control interno..

Todo lo anterior es una forma de evaluar el control interno que propone el informe COCO ( Criteria of Control Board) de Canadá

C.-ACTIVIDADES DE CONTROLSon las políticas y procedimientos que ayudan a asegurarse que las

acciones necesarias, serán tomadas en cuenta para establecer los riesgos y lograr los objetivos de la entidad.Apuntes preparados por el profesor: Nelson Palominos G.

O sea son las actividades de control que realiza la gerencia y demás personal de la entidad para cumplir diariamente con las labores asignadas. Estas actividades están relacionadas con las políticas, sistemas y procedimientos relacionados con aprobaciones, autorizaciones, verificaciones, conciliaciones, inspecciones, revisiones de indicadores. y salvaguarda de los recursos.

Ahora bien, es importante tener en cuenta que para realizar una auditoría , respecto de este componente, es necesario que se consideren, las actividades de control más relevantes, dentro del marco de las políticas y procedimientos establecidos y que pertenecen a lo siguiente:

-Realización de revisiones-Proceso de información-Controles Físicos-Segregación de deberes.

D.-INFORMACIÓN Y COMUNICACIÓNEn la organización, el sistema de información es fundamental para lograr los

objetivos de la entidad, el sistema de información está compuesto por los subsistemas contables, presupuestarios y estadísticos.

Es importante destacar que la calidad de los subsistemas, afecta las habilidades de la gerencia para la toma de decisiones, y afecta también los informes que se emiten.

Por lo anterior es importante que la información que se genera sea comunicada oportunamente, de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades.:

El sistema de información de la empresa debe abarcar métodos y registros que:Apuntes preparados por el profesor Nelson Palominos G.

-Identifiquen y registren todas las operaciones ocurridas-Describa las operaciones con detalle para poder clasificar.-Mida las operaciones en términos cuantitativos-Determine el período en las cuales las operaciones ocurrieron.-Presente correctamente las operaciones en los estados que deban emitirse.

Por otra parte la comunicación incluye proporcionar información en todos los sentidos, tanto al interior como externamente.

También es importante que todos comprendan la importancia del control interno para lograr los objetivos de la entidad, y tener bien establecidos los canales a través de los cuales debe fluir la información de la empresa.

Además es necesario señalar que se debe generar información de calidad y comunicarla oportunamente, de tal manera que las personas la comprendan y puedan cumplir con sus obligaciones.

La comunicación debe adquirir formas tales como manuales, memorandum, ordenes de servicios, circulares u otras..

E.-VIGILANCIA, SUPERVISION O MONITOREOLos sistemas de control interno de una organización, necesitan que

permanentemente estén siendo evaluados, para determinar si están funcionando tal como han sido prescritos, o en caso contrario efectuar las correcciones pertinentes.

Ahora bien, esta labor le corresponde en primer lugar a quienes tienen autoridad dentro de una entidad, y también a todo el personal, y a las auditorías, tanto las internas como las externas.

Queremos señalar también que todo lo anterior es lo que conocemos sobre CI, hasta el mes de Julio de 2003, cuando se reúne nuevamente la comisión COSO, y emite un nuevo documento a contar de esa fecha, denominado COSO ERM, cuyo principal contenido es el que se indica a continuación:

El Control Interno Moderno y los riesgos (COSO ERM)

Para nadie es un sorpresa en la actualidad la administración ha evolucionada en forma extraordinaria en el último tiempo y por lo tanto esa misma evolución nos ha llevado a los auditores a ejecutar nuestras tareas de una forma diferente que en el pasado. Es así, como en el año en el año 1985 es creada, por agrupaciones relacionadas con la auditoría, la Comisión Nacional sobre Información Financiera Fraudulenta, conocida como la “Comisión Treadway”, la cual durante cinco años se centro en la tarea de definir bajo un nuevo marco conceptual, relacionado con el control interno, su doctrina, objetivos y componentes, de tal manera de poder estandarizar muchos aspectos.

Es bueno recordar tal como lo hemos indicado con antelación, en este apunte, en el año 1992 se emite un documento denominado “Informe C.O.S.O.” (Committee of Sponsoring Organizations of the Treadway Commission), el cual entrega una doctrina, enfoques y metodologías modernas dirigido especialmente a los niveles estrategicos, logisticos y tacticos dentro de la organización. Y también para los profesionales de la auditoría.

Este documento define el CONTROL INTERNO lo define como: “un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:

Eficacia y eficiencia de las operaciones Fiabilidad de la información financiera Cumplimiento de las leyes y normas que sean aplicables”.

El informe C.O.S.O. de 1992, definió cinco componentes interrelacionados entre sí, los cuales eran el Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación; y Supervisión.

En esa misma época, en todas partes del mundo se emitieron con diferencias de meses o años, más o menos, diferentes informes que hablaban de control interno. Se puede citar el Informe Caldbury y turnbull en Inglaterra, el King en Sudafrica, el COCO en Cánada, el Peters en Holanda, el Olivencia en España, el Veniot en Francia , y otros

También es importante destacar que a comienzo de la década del 80 , se comienza a hablar de los Riesgos., especialmente cuando aparece el SAS 47, que lo define y señala cuales son los que afectan a una auditoría a los estados financieros, el Inherente, el de control y el de detección, este último relacionado con los auditores . En esta misma época ya se habla de evaluación de riesgo, de mapa de riesgo, de matrices de riesgos etc.

Es importante señalar que en año 1999 y surge un nuevo informe, esta vez en Reino Unido llamado Informe Turnbull al alero de la Bolsa de Valores de Londrés, que acrecienta la importancia de la Administración de Riesgos en el mundo empresarial y organizacional, y que entrega una Guía para los Directores y Administradores de Empresas.

El nuevo COSO (ERM)

Para nadie es un misterio que el INCPA incorporó el informe COSO, como una norma Americana, sólo el año 1997, a través de su boletín SAS 78, pero acontecimientos tan importantes como la caída de grandes empresas Americanas en insolvencias, no obstante que tenían audiotorías y sistemas de control interno, llevó nuevamente a reunir la comisión COSO para reestudiar el documento anterior a la luz de los acontecimientos de estos años en el mundo empresarial y de la auditoría.

Es así como en julio de 2003 se le solicitó a la empresa PricewaterhouseCoopers emitiera un nuevo documento denominado COSO ERM o COSO dos

El COSO II, incluye una guía actualizada que proporciona herramientas de ayuda a las empresas en la administración de sus riesgos, ampliando de 5 a 8 los componentes de la Administración de Riesgos Empresariales. Con ello, se entrega una respuesta a las necesidades que viven las empresas en la actualidad, las cuales operan en ambientes donde factores como la globalización, la tecnología, reestructuraciones, regulaciones, mercados cambiantes y competencias, entre otros, crean la incertidumbre.

Considerando toda la literatura existente en el tema de riesgos y control interno, este proyecto, encargado y desarrollado por la empresa “PricewaterhouseCoopers”, la cual, fundamentándose en el primer informe (C.O.S.O. I), unificó criterios construyendo una estructura que proporciona definiciones fundamentales, conceptualizaciones, categorías de objetivos, componentes, principios y otros elementos, que permiten contar con una estructura de riesgos sólida.

La Comisión Treadway plantea en la temática fundamental de su segundo informe, que la administración de riesgos, se aplica desde la puesta en marcha de las estrategias y objetivos operacionales de la organización, debiendo integrarse a todos los controles internos, hasta el resultado final y en la retroalimentación pertinente de todos los procesos.

La Administración de riesgos existe para mantener y mejorar el valor de las inversiones de sus dueños ,accionistas e interesados en la Organización, por lo cual debe enfrentarse a la incertidumbre, en el menor de los casos evitarla, teniendo presente que en ésta se encuentran los riesgos y las oportunidades asociadas. Donde, la posibilidad cierta de mantener, reforzar o perder el capital, emerge de las decisiones estratégicas de la dirección, de las decisiones operativas de personal no directivo, de la marcha de las operaciones diarias, como también de la información interna o externa disponible.

La administración de riesgos no es un fin en si mismo, más aún es un importante medio para alcanzar los objetivos empresariales (Estratégicos, operacionales, de Información y de Cumplimiento de Regulaciones) y no opera en forma aislada en una entidad, más bien se transforma en un colaboradora en los procesos de administración. La Administración de Riesgos se interrelaciona con el gobierno corporativo, entregando información a la mesa directiva sobre los riesgos más significativos y como ellos están siendo administrados, como también lo hace en el desarrollo de la gestión, proporcionando las medidas más precisas de control interno para minimizar los citados riesgos.

Componentes COSO I - 1992 Componentes COSO II - 20041. Ambiente de Control 1. Ambiente de Control Interno2. Evaluación de Riesgos 2. Establecimiento de Objetivos

3. Identificación de Eventos4. Evaluación de Riesgos5. Estrategias frente al Riesgo

3. Actividades de Control 6. Actividades de Control4. Información y Comunicación 7. Información y Comunicación5. Supervisión 8. Supervisión

Como se puede observar desde el COSO I, el componente que tiene una profundización mayor, es la Evaluación de Riesgos, la cual pasa a transformarse en el centro del análisis de un control interno moderno, es más como leerán en las páginas siguientes, se comienza a desarrollar la definición global de Administración de Riesgos Empresariales (ERM en inglés).

ADMINISTRACION DE RIESGOS

La Comisión Treadway define a la Administración de Riesgos como “un proceso, efectuado por el Directorio, Administradores y otras personas de la entidad, aplicados a la estrategia establecida en la empresa, diseñado para identificar potenciales eventos que puedan afectarla, y administrar los riesgos que están dentro de su cantidad y capacidades, para proveer una seguridad razonable con respecto al logro de los objetivos”.

La nueva definición anterior, entrega cierta terminología fundamental para la administración de riesgos, la cual al igual que el primer informe comienza a establecer una estructura básica e integrada de conceptos entre el control interno y la administración de riesgos, los cuales son:

Un proceso; esto se refiere a que la administración de riesgos no es un suceso aislado, sino que representa una serie de acciones que se extienden por toda la empresa a través de sus actividades propias, siendo estas últimas inherentes a la gestión de la dirección.

Las personas; La administración de riesgos es efectuada por personas que se desempeñan en el Consejo de Administración, la dirección y los demás miembros de la organización, a través de acciones y palabras. Estas personas son las que establecen la visión, misión, estrategia y objetivos de la entidad, e implantan los mecanismos de administración de riesgos.

Aplicada en la Estrategia; Una entidad define su visión y misión, y luego sustentado en éstas, establece sus objetivos estratégicos, los cuales son las metas de más alto nivel de la organización. También fija objetivos operacionales para la organización en forma íntegral y para unidades específicas, como divisiones y procesos, las cuales se derivan de la estrategia.

Aplicada a través de la Empresa; Para tener éxito en aplicación de la administración de riesgos, una entidad debe considerar el alcance total de sus actividades. De todos los niveles de la organización sin excepción, como planificación estratégica, asignación de recursos, unidades de negocios y sus procesos como comercialización, recursos humanos, créditos, abastecimiento, como también considera proyectos y nuevas iniciativas.

Cantidad de riesgo; Esto es la cantidad de riesgo que una organización está deseosa de aceptar en pos del logro de sus objetivos.

Proporcionar una seguridad razonable; La administración de riesgos, por muy bien diseñada que se encuentre, sólo puede aportar un grado de seguridad razonable con respecto al logro de los objetivos organizacionales. Es casi imposible evitar la Elusión y Colusión, que sin lugar a dudas afecta la Administración de los Riesgos Empresariales.

Logro de los objetivos; Dentro del contexto establecido en la misión o visión, está la definición de los objetivos y la selección de estrategias para alcanzarlos.

Las cuatro categorías de objetivos detallados (objetivos estratégicos, operativos, de información y cumplimiento de normas), la administración de riesgos los relaciona con sus ocho componentes, que vinculados entre sí, le dan una estructura sólida y vital a la entidad para conseguir los objetivos organizacionales y darle un valor agregado a la función de Auditoría Interna.

Los ocho componentes del COSO II se amplían en los próximos puntos: Ambiente interno; Definición o Establecimiento de objetivos; Identificación de eventos; Evaluación de riesgos; Respuesta o Estrategia frente al riesgo; Actividades de control; Información y comunicación; y Supervisión (Monitoreo o Vigilancia).

COMPONENTES del CI en LA ADMINISTRACION DE RIESGOS.AMBIENTE DE CONTROL INTERNO

El Ambiente de Control Interno, armoniza el conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del riesgo, siendo determinante en las conductas y procedimientos organizacionales. Es una consecuencia, asumida de la actitud de la alta dirección, la gerencia, y por los otros integrantes de la organización, con relación a la importancia del riesgo y su impacto sobre las actividades y resultados. Ejerce un ordenamiento, a través de la influencia que provee al comportamiento del personal en su conjunto.

El ambiente interno en una entidad, que comienza en la gerencia, es la base para el resto de los componentes de la administración de riesgos, proporcionando estructura y disciplina. Influye en el establecimiento de estrategias y objetivos, estructuración de actividades, en la información como en los sistemas de comunicación y en la supervisión de los procesos. El Ambiente Interno también es influenciado por factores como la historia de la organización, su cultura y subculturas, su estilo de dirección, competencia y desarrollo del personal, asignación de autoridad y responsabilidad, sus valores éticos.

Todos los factores que afectan de una forma u otra a una organización, variarán en su capacidad de afectar en conformidad al tamaño de la entidad, a la forma de administrar y en la medida en que cada uno de estos factores sea considerado.

El informe C.O.S.O. II, define de la siguiente forma los factores del Ambiente de Control:Filosofía de Administración de Riesgos.

La filosofía refleja el valor que la entidad le entrega a la administración de riesgos y cómo esta actitud afecta a la aplicación de los otros factores, lo cual se manifiesta en sus declaraciones de políticas y otro tipo de comunicaciones, a través de palabras y acciones diarias. Esto se refiere a la capacidad de entendimiento que poseen los integrantes de una entidad con respecto a la administración de riesgos, y si a sus empleados y directores se les facilita o potencia habilidades para reconocer los riesgos en forma eficaz, escogerlos, dirigirlos y tratarlos.Cantidad de riesgo.

Es la cantidad de riesgo que una organización está dispuesta a aceptar con el fin de alcanzar sus objetivos. Considera para este efecto en forma frecuente categorías como alta, media o baja, o expresarse cuantitativamente en forma aproximada, reflejando un balance entre metas de crecimiento, retorno y riesgo. El apetito de riesgo está directamente relacionada con la estrategia de una organización, donde el retorno deseado debe estar alineado con la capacidad de riesgo posible, por lo tanto, la administración de riesgos debe asesorar a la dirección a escoger una estrategia consistente con sus alcances.

Cultura de riesgo. Es un conjunto compartido de actitudes, valores y prácticas que caracterizan

como una entidad considera el riesgo en sus actividades diarias. Este factor, para algunas empresas proviene de los dos primeros factores, en otras es parte del azar, pero en ambos casos puede en algunas empresas haber una o más culturas de riesgos diferentes o incluso dentro de una misma unidad comercial, proceso o departamento. La administración de riesgos debe considerar cómo su cultura de riesgo afecta su equilibrio con otros elementos propios de su control, para lo cual, donde exista inconveniente la administración de riesgos debe tomar acciones para ajustar la filosofía y el apetito de riesgos, o volver a pensar la forma de cómo se está aplicando la administración de riesgos en la empresa.

Subculturas de riesgos. En algunas organizaciones existen unidades de negocios, procesos, funciones o

departamentos que de una forma u otra, dependiendo de sus objetivos, poseerán culturas levemente diferentes. Sus gerentes, en forma individual, se sienten preparados para tomar más riesgos, mientras otros son más conservadores, y estas diferentes culturas algunas veces se cruzarán en sus propósitos. Para lo cual la administración de riesgos debe velar por los equilibrios de ciertos choques que se puedan presentar, en beneficio de la Organización como un todo.

REconociendo la realidad del riesgo. Si una organización no ha sufrido pérdidas o no ha tenido ninguna exposición

significativa al riesgo, ella no debe sucumbir al mito de que un evento con consecuencias adversas no se presentará en ella, aunque pueda tener empleados competentes, procesos eficaces y tecnología confiable. La administración de riesgos debe tener presente que muchas variables en los ambientes internos y externos pueden cambiar rápidamente, y volver a una entidad completamente vulnerable en sus aspectos más sólidos y/o afectarla gravemente desde aquellos más despotenciados, o en conjunto.

Consejo de Administración y el Comité de Auditoría. Es un de los factores más críticos del ambiente interno e influencia fundamental

para otros elementos de la administración de riesgos. Hoy se habla de los gobiernos corporativos y como ellos afectan el funcionar de las Organizaciones. Ambos estamentos de la empresa, son y deben ser independientes de la administración, donde sus acciones juegan un rol vital para organización, como también la experiencia y calidad de sus miembros, el grado de participación y examen de actividades o vigilancia. Otro punto importante que incluye al Consejo de Administración y al Comité de Auditoría es que se plantean preguntas difíciles a la Dirección relativas a la estrategia, planes y desarrollo. Es así como el Consejo y el Comité deben estar preparados para cuestionar y supervisar las actividades de la gerencia, presentar opiniones alternativas y tener disposición para actuar cuando se originan situaciones no deseadas, inesperadas o problemas de hecho, a través de la interacción del Comité de Auditoría con los auditores externos e internos.

Integridad y valores éticos. Los objetivos y estrategias de una organización, y la forma como ellos son

implementados y alcanzados están basados en preferencias, valores de juicio y estilos de gestión. Los cuales, en su conjunto, definen la integridad, el compromiso ético y las normas de comportamiento para la administración, las que deben ir más allá de cumplir con las regulaciones y normas legales, donde la integridad es un requisito previo al comportamiento ético en cada uno los distintos aspectos de las actividades de una organización.

A menudo establecer valores éticos en una entidad es difícil, complejo y frustrante, debido a la necesidad de considerar los intereses de distintas partes, debiéndose establecer un equilibrio entre los intereses de la organización con clientes, empleados, proveedores, competidores y la comunidad.

La gerencia general es la figura dominante de la organización y a menudo da la pauta ética de la misma. Se pueden producir prácticas fraudulentas o cuestionables a la hora de presentar información financiera. Estos mismos factores pueden incidir en el comportamiento ético. Los individuos pueden cometer actos fraudulentos, ilegales o poco éticos, simplemente porque la organización en la que trabajan les incita o tienta. El poner énfasis en los resultados, sobre todo a corto plazo, fomenta un entorno en el que se impone un precio muy alto al fracaso.”.

Otras prácticas tentadoras son: La ignorancia (que no exista una guía explícita de procesos y funciones); inexistencia de códigos de conducta; malas comunicaciones; complacencia con las normas éticas; que los empleados sigan los malos ejemplos de la administración; falta de controles o controles ineficaces, tal como una segregación de funciones deficiente en áreas sensibles; reducir las probabilidades de detección al tener un alto nivel de descentralización que impide a la Gerencia estar al tanto de las acciones llevadas a cabo en los niveles más bajos; una función de auditoría interna débil y/o que no sea capaz de detectar e informar acerca de comportamientos indebidos; sanciones menores por comportamientos indebidos sin poder ejemplificador; inexistencia de mecanismos para animar a los funcionarios a informar de irregularidades e infracciones y acciones disciplinarias para los que no informen.

Compromiso de competencia del personal. La competencia refleja el conocimiento y las habilidades necesarias para realizar

las tareas asignadas. La Dirección determina el grado de perfección con la cual debe desarrollarse cada tarea, teniendo en cuenta los objetivos de la organización, como los planes y estrategias de la Gerencia para su obtención.

La Dirección debe especificar el nivel de competencia para cada trabajo, donde cada función se traduce en niveles de conocimiento y habilidad, los cuales pueden estar en función de la inteligencia, formación y experiencia de cada persona, así como el grado de juicio profesional aplicable a una específica función.

Filosofía de Dirección y el Estilo de Gestión. Este factor determina la manera en que la empresa es gestionada y tiende a

definir los tipos y cantidad de riesgo empresarial que se está dispuesto a aceptar. Una entidad que haya tenido éxito en el momento de correr riesgos importantes puede tener una perspectiva distinta de la administración de riesgos de otra que se ha enfrentado a sucesos con consecuencias adversas desde un punto de vista financiero o administrativo, al ingresar a aventuras económicas peligrosas. Una empresa de gestión informal puede controlar sus acciones persona a persona con los directores claves, en cambio una formal puede depender en mayor medida de políticas escritas, indicadores de rendimientos e informes de excepción, etc.

La forma de actuar es un componente fundamental para este factor, el cual se refleja en la aptitud adoptada en y ante la presentación de información financiera, la selección de alternativas disponibles respecto a los principios de contabilidad aplicables, la escrupulosidad y prudencia de las estimaciones contables y las actitudes frente a las funciones informáticas y contables, así como hacia el personal.

Estructura orgánica. Este factor

tiende a definir el marco en el cual se planifica, ejecuta, manda, comunican y supervisan las actividades de una entidad. Una estructura orgánica relevante define las áreas claves de autoridad y responsabilidad como también el establecimiento de líneas apropiadas de comunicación. Una entidad desarrolla su estructura organizativa de acuerdo a sus prioridades estratégicas, algunas pueden ser centralizadas, descentralizadas, piramidales o planas, por sector, líneas de productos, por zonas o red de distribución, o funcionales como las del sector público.

Asignación de autoridad y responsabilidad. Esta etapa

se refiere a la medida en que se autoriza a los equipos o a las personas en forma individual a utilizar iniciativas al momento de enfrentar problemas o tratar temas, estableciendo límites de autoridad. Esto también incluye el establecimiento de informes y protocolos de autorización, como de políticas que describan las prácticas más adecuadas para la entidad, conocimiento y experiencia para el personal clave y los recursos para el cumplimiento de las funciones. Como también que todo el personal esté en conocimiento y entienda los objetivos, y cómo su actuar se relaciona con su entorno laboral y contribuye a la obtención de ellos. Una delegación mayor exige implícitamente un mayor nivel de competencia al personal, como también la necesidad de contar con procedimientos que permitan supervisar con eficacia los resultados.

Políticas y Prácticas de Recursos Humanos. Estas

prácticas tienen que ver con contratación, orientación, entrenamiento, evaluación, asesoramiento, promoción, remuneraciones, como también el indicarle a los empleados los niveles de integridad, ética y competencia que de ellos se espera. Desde el reclutamiento y entrevistas el empleado, éste debe sentir el compromiso de la entidad con su persona, a través de políticas de formación de su responsabilidad y funciones, capacitación para demostrar los niveles esperados de desempeño; rotación de personal fundamentado en evaluaciones;

las remuneraciones basadas en incentivos por metas, responsabilidades mayores; y finalmente las amonestaciones en contra de la indisciplina que da a conocer que no se toleran conductas distintas a las deseadas.

Ambiente Interno - Factores a Considerar:Filosofía de Administración de Riesgos – Cultura de Riesgos – Directorio y Comité de Auditoría – Integridad y Valores Eticos – Compromiso de Competencia Profesional – Filosofía de la Gerencia y Estilo de Operación – Apetito de Riesgo – Estructura Orgánica – Asignación de Autoridad y Responsabilidad – Políticas y Prácticas de Recursos Humanos.

ESTABLECIMIENTO DE OBJETIVOS.

El establecimiento de los objetivos es una condición previa al desarrollo propiamente tal las actividades de la entidad, ya que deben haber objetivos antes que la Dirección pueda identificar, evaluar y manejar los riesgos para su obtención, éstos generalmente vienen implícitos en la misión y visión de la entidad, las cuales son su razón de ser. Luego, la Dirección define sus objetivos estratégicos, los cuales son metas de alto nivel y de largo plazo, las que se sustentan en la visión y misión de la organización, y reflejan la opción de cómo la entidad buscará darse valor y a la vez rentabilidad a las partes interesadas.

Es fundamental para el éxito, establecer objetivos correctos que se apoyen y se alineen con la estrategia seleccionada, y que incluya a todas las actividades de la entidad. Es así, como enfocados en los objetivos estratégicos y en la estrategia misma, una entidad se posiciona para desarrollar los objetivos operacionales, creando y conservando valor. Cada objetivo operativo se une e integra a objetivos más específicos que caen en forma de cascada, a través de la organización, sobre todas las actividades. Al definirse los objetivos, se debe hacer en forma ordenada y por actividades, con el objeto que la entidad pueda identificar factores críticos fundamentales.

Los objetivos necesitan ser rápidamente comprendidos y medidos. La administración de riesgos requiere que el personal en todos los niveles, tenga un cabal entendimiento de los objetivos de la entidad como de su entorno laboral. Todos los empleados deben tener una mutua comprensión de lo que se está haciendo y de lo que está siendo cumplido.

A pesar de la diversidad de objetivos que pueden tener las organizaciones, el Informe C.O.S.O. II establece cierta categoría de objetivos, los cuales pueden tener traslapes en algunas actividades o apoyarse mutuamente:

Objetivos estratégicos. Estos tienen directa relación con la planificación de largo plazo, y son el fundamento de las restantes categorías de objetivos.

Objetivos operacionales. Estos se relacionan directamente con la eficacia y eficiencia de las operaciones de la entidad, incluye el desarrollo y alcance de los objetivos, como la salvaguarda de los recursos contra las pérdidas. Ellos varían de acuerdo a la elección hecha por la Dirección respecto de la estructura y desarrollo organizacional, que se fundamentan en la visión, misión, estrategias, prioridades, juicios y estilos de gestión.

Objetivos de Información financiera. Estos se refieren a la confiabilidad y razonabilidad de la información financiera o no financiera, acorde con principios contables y de auditoría, la cual (información) también puede ser interna o externa.

Objetivos de cumplimiento (Compliance). Estos objetivos establecen la adhesión de la entidad en cuanto al cumplimiento de leyes, normas y regulaciones que pueden afectar positiva o negativamente la reputación organizacional.

Establecer los objetivos es un componente de la administración de riesgos (ERM), y aunque éstos proporcionen metas medibles, un objetivo va a tener un mayor grado de importancia y prioridad que otros dependiendo de la actividad y de su etapa, teniendo muy presente que se lograrán ciertos objetivos y otros no, por lo cual la administración de riesgos debe proporcionar una convicción razonable a la entidad que los objetivos están lográndose a través de un desarrollo consistente de acciones y metas a través de la entidad, identificación de factores claves y de riesgo, y efectuando evaluaciones desde la selección de objetivos, los niveles de apetencia y tolerancia al riesgo, y asimismo activar lo controles que los minimicen, etc.

Establecimiento de Objetivos - Factores a Considerar:Objetivos Estratégicos – Objetivos relacionados: Operación; Información y de Cumplimiento – Análisis desde Selección de Objetivos, Cantidad, Tolerancia y Controles.

IDENTIFICACION DE EVENTOS

Los eventos son sucesos que ocurren por casualidad o causalidad, que pueden originarse de fuentes internas o externas de la empresa, y que pueden afectar el desarrollo de las estrategias o el logro de los objetivos. Para estos efectos, la Gerencia define rangos de ocurrencia de eventos potenciales de origen interno o externo y si el impacto va a ser positivo o negativo.

La identificación del evento es la mejor herramienta, aparte de la evaluación del mismo, sin embargo, lo limitado de esta práctica es poder establecer de dónde vendrá; pero los eventos potenciales negativos de remota posibilidad de ocurrencia no deben ser ignorados, ya que afectarían gravemente a la organización y a sus objetivos.

Como los eventos que influyen en las estrategias y objetivos pueden ser internos o externos, la administración de riesgos debe reconocer el factor de origen de éstos, como por ejemplo para el caso de los externos sería la economía y el comercio, catástrofes, medio ambiente, políticas de gobierno, cambios de hábitos sociales y tecnología; ahora para factores internos se identifican la infraestructura, personal, procesos y tecnología.

Por otra parte, los eventos también deben identificarse a nivel de actividad, ya que contribuye a la evaluación de los riesgos y a mantener alineado el apetito con la tolerancia de riesgo de la entidad.

La metodología de la identificación de eventos puede comprender una variada combinación de técnicas, pero la más utilizadas son aquellas que consideran el pasado histórico y los potenciales eventos futuros, como también los eventos potenciales comunes a la industria en particular.

Lo fundamental es que la metodología dependerá de la cultura de riesgo de la organización, por lo tanto la administración de riesgos debe tener desarrolladas las capacidades de identificación, para poder asegurar una correcta evaluación y control de riesgo. En especial, para aquellos eventos que activan a otros, creando una cadena de eventos interrelacionados, a los cuales se les debe encontrar su relación para poder controlarlos. Desde esa perspectiva, es recomendable para las organizaciones agrupar los eventos potenciales por categorías, incluyendo aquellos sucesos potenciales de la entidad en forma horizontal y los eventos que operan dentro de las unidades en forma vertical, lo cual permite a la Dirección desarrollar y comprender las interrelaciones entre los distintos eventos, ganando tiempo en la identificación de los riesgos como también de las oportunidades, con información relevante para crear una base de datos o portafolio para la evaluación de los riesgos y la creación de los controles respectivos; lo cual podría realizarse a través de una categorización de objetivos estratégicos, operacionales de unidades o procesos.

No todos los eventos representan un impacto negativo, pueden ser positivos o tener ambas características. Aquellos que representan riesgos requieren ser evaluados y controlados, ya que significan la posibilidad que afecten adversamente el logro de los objetivos. En cambio los eventos con un impacto potencialmente positivo representan las oportunidades, para lo cual deben ser encauzados y considerados en el establecimiento de las estrategias o en los objetivos de los procesos, para que puedan formularse las acciones para considerarlos en el futuro.

Identificación de Eventos - Factores a Considerar:Eventos – Factores que Influyen (Externos o Internos) - Metodologías y Técnicas – Independencia de Eventos – Categoría de Eventos – Riesgos u Oportunidades

EVALUACION DE RIESGOS

Este componente de la administración de riesgos, permite a una entidad considerar la los factores internos y externos que puedan ocurrir, y hasta que punto los eventos afectarán el logro de los objetivos de una organización. Aunque algunos factores son comunes a industrias de un mismo tipo, muchos son únicos a una entidad en particular, debido a sus objetivos establecidos y a sus acciones pasadas. En la evaluación de riesgos se mezclan los potenciales eventos futuros relacionados a la entidad y sus objetivos, lo que considera en el análisis del tamaño de la estructura, la complejidad de los procesos, funciones y el grado de regulación de sus actividades, entre otros.

La Dirección considera dos tipos de riesgos, siendo el primero el riesgo inherente que es aquel que afecta a una entidad ante la ausencia de acciones de la administración que fuercen a alterar la probabilidad de su impacto; y el riesgo residual es aquel que permanece después que la dirección responde al riesgo a través de sus controles., siendo el segundo un derivado del primero.

Asimismo, en la evaluación de riesgos, la Dirección considera el impacto potencial de eventos esperados e inesperados, donde muchos eventos son rutinarios y recurrentes y son administrados con relativa facilidad con programas y presupuestos. Otros son totalmente inesperados, y tienen una probabilidad de baja ocurrencia pero de gran impacto potencial y la respuesta por parte de la organización es individual, sin embargo, la incertidumbre existe con respecto de ambos tipos de eventos.

La evaluación de la incertidumbre de eventos potenciales es efectuada en dos perspectivas, probabilidad e impacto. La probabilidad representa la posibilidad que un evento dado ocurra, mientras el impacto representa su efecto. Es importante que los juicios para distinguir estas perspectivas sean responsables, cuidadosos y racionales, ya que un riesgo con una probabilidad baja de ocurrencia y un impacto potencial pequeño garantiza menor consideración; en cambio un riesgo con probabilidad alta de ocurrir y un impacto potencial significativo exige una atención especial.

En consecuencia, la administración de riesgos debe evaluar los riesgos en el contexto de la estrategia y objetivos de la organización, tendiendo a efectuarlo desde una perspectiva de corto, mediano y largo plazo, aún cuando algunos factores estratégicos posean mayor límite de tiempo, es vital entregar a la Dirección la información de aquellos riesgos que están fuera de los límites, por ejemplo, la estimación de un terremoto.

Las estimaciones de la probabilidad e impacto de riesgos futuros es recomendable determinarlas observando eventos pasados, los que pueden proporcionar resultados buenos que permitan evitar prejuicios personales, como es lo que sucede con las estimaciones subjetivas. Sin embargo, en la evaluación como para su análisis propiamente tal sustentados en el pasado, se debe tener muy presente los datos externos como cambios de los factores con el transcurso del tiempo, para predecir el futuro, que permitan minimizar la probabilidad e impacto de los riesgos, los cual debe realizarse en forma metódica y no al azar.

La metodología de evaluación de riesgos de una organización comprende una combinación de técnicas cualitativas y cuantitativas. Las primeras se utilizan cuando no es factible medir los riesgos o los datos no son suficientes, son poco creíbles o irreales. Esta técnica se ve potenciada a través de entrevistas, talleres, documentación, etc.

En cambio, las técnicas cuantitativas traen más precisión y se utilizan en actividades más complejas y sofisticadas, complementando a las técnicas cualitativas. Las técnicas de evaluación cuantitativas normalmente requieren un grado más alto de esfuerzo, la que por lo general utiliza métodos matemáticos, lo cual la vuelve dependiente de la calidad de los datos de apoyo, para una previsión confiable, como resulta de utilizar las técnicas de benchmarking, modelo probabilístico y no probabilístico. Sin embargo, se pueden utilizar las dos en conjunto, convirtiéndose en una técnica de evaluación cualitativa, facilitando su información en base más científicas.

Por otra parte, la Administración de riesgos puede evaluar eventos correlacionados, donde la combinación de éstos puede significar diferentes probabilidades o impactos. Mientras el impacto de un único evento fuerte puede ser débil, una secuencia de eventos fuertes tiene un mayor y significante impacto. Para este último suceso múltiple, la administración de riesgos debería hacer esfuerzos para evaluar en escenarios de análisis, el impacto de los eventos y los efectos que éstos originarían, aunque no se debe dejar de tener presente la constante repetición de eventos menores.

Un riesgo con impacto alto y probabilidad de ocurrencia alta, generalmente se denomina riesgo de criticidad catastrófica.

Un riesgo con impacto alto y probabilidad de ocurrencia baja, generalmente se denomina riesgo de criticidad peligrosa.

Un riesgo con impacto bajo y probabilidad de ocurrencia alta, generalmente se denomina riesgo de criticidad rutinaria.

Un riesgo con impacto bajo y probabilidad de ocurrencia baja, generalmente se denomina riesgo de criticidad menor.

Evaluación de Riesgos - Factores a Considerar:Riesgo Inherente y Residual – Probabilidad e Impacto – Metodologías y Técnicas – Correlación – Criticidad de los Riesgos.

RESPUESTA O ESTRATEGIA FRENTE AL RIESGO.

Habiendo evaluado los riesgos pertinentes, la administración de riesgos debe determinar cómo responderá o reaccionará ante ellos, lo que incluye evitar el riesgo, reducirlo, compartirlo y aceptarlo. Considerando la respuesta, se deben tener presente los costos y beneficios en directa relación con la tolerancia de riesgo deseada.

De acuerdo a lo expresado, la reacción al riesgo se clasifica en las siguientes categorías:

Evitar el riesgo. Las acciones son dirigidas a eliminar o evitar las actividades que originan riesgo, como eliminar una línea de productos o no operar con un sector de clientes.

Reducir el riesgo. En este caso las acciones tienden a reducir la probabilidad, el impacto o ambos. Por ejemplo, estableciendo controles más rigurosos o automatizar para bajar la probabilidad; o bajando el monto de las transacciones por cliente; o ambas.

Compartir el riesgo. La intención en esta situación es minimizar la probabilidad de riesgo o impacto, compartiendo una parte del riesgo con otros, como sucede con el caso de los seguros.

Aceptar el riesgo. Esta se refiere a que no se toma ninguna acción, ante la probabilidad de riesgo o impacto.

Para muchas entidades, las opciones de respuesta apropiadas para algunos tipos de riesgos son obvias y bien aceptadas, en cambio para otras las opciones disponibles de respuesta no están muy claras en el breve plazo y se requiere actividades de identificación más extensas, como análisis y estudio de mercado. Por lo tanto, la Administración de riesgos de una organización debe considerar las respuestas potenciales dentro de una categoría de riesgo (criticidad), lo que entrega una profundidad suficiente para la selección de la respuesta y cambios de los niveles, respetando las siguientes etapas:

Evaluar los efectos potenciales de la estrategia de riesgo ante la probabilidad e impacto;

Evaluar los costos contra los beneficios de respuestas potenciales;

Analizar las posibles oportunidades para alcanzar los objetivos de la organización, que van más allá de los riesgos específicos.

Por otra parte, al evaluar las posibles respuestas a los riesgos, se deben analizar los riesgos inherentes con la intención de alcanzar un riesgo residual que se mantenga alineado con la tolerancia de riesgos organizacionales, donde una combinación de respuestas puede proporcionar un resultado óptimo, afectando el riesgo de eventos potenciales.

Considerando lo anterior, al evaluar los efectos de las respuestas a las probabilidad e impactos, la administración de riesgos debe comprender que una respuesta podría afectar a la probabilidad de riesgo o el impacto de riesgo diferentemente. Para lo cual, la respuesta potencial a la evaluación, puede considerar eventos pasados y tendencias actuales y futuras, como sucede en el caso de los costos contra los beneficios, donde se debe tener presente que éstos son analizados por medio de diferentes niveles de precisión para definir las opciones de respuestas alternativas, entre las cuales se cuentan la evaluación subjetiva, el compromiso de la dirección, los valores éticos, etc.

La administración de riesgos al identificar los eventos que afectan a la organización en el logro de sus objetivos, puede también hacerlo en forma positiva, las cuales representan oportunidades que traen consigo algunas opciones de riesgo, y éstas pueden aparecer cuando las acciones de respuesta a los riesgos están alcanzando un límite de efectividad total, y en especial cuando el refinamiento de los riesgos proporcionen sólo cambios marginales en su probabilidad e impacto.

Consecuente, y una vez evaluados los efectos de las alternativas de respuesta a los riesgos, la dirección decide manejarlas seleccionando una respuesta o combinación de ellas que enfrente a la probabilidad e impacto de riesgos con la tolerancia de riesgos de la entidad.

Una vez seleccionado una respuesta, se necesita un plan de aplicación para ejecutarla y recalibrar el riesgo en una base residual, como de un procedimiento que permita a la Dirección asegurar su aplicación eficaz, estos procesos son las Actividades de Control. Aún cuando, siempre se ha de reconocer que algún grado de riesgo residual existirá, y no sólo por la escasez de los recursos, sino que también debido a la incertidumbre futura inherente a todas las actividades.

La administración de riesgos considera a los riesgos desde una perspectiva global creando un portafolio de riesgos, formando una visión de riesgos general, donde el gerente responsable de cada departamento, función o unidad comercial desarrolla una evaluación compuesta de riesgos y respuestas al riesgo para esa unidad. Esta visión entrega el perfil de riesgo relativo, sus objetivos y tolerancias de riesgos, lo que le permite no exceder el deseo como la tolerancia de riesgo global de la entidad, manejar el riesgo por unidades en forma coordinada y enfrentar la probabilidad de riesgos e impactos múltiples o relacionados por unidades en forma individual y en conjunto a través de respuestas proactivas y con una asertiva visión para las oportunidades.

Respuesta a los Riesgos - Factores a Considerar:Identificar Respuestas a los Riesgos – Seleccionar Respuestas – Opinión del Portafolio de Riesgos.

ACTIVIDADES DE CONTROL

Estas son políticas y procedimientos que ayudan a asegurar que las respuestas a los riesgos de la Dirección sean llevadas a cabo, a través de toda la organización. Estas actividades son aplicadas con respecto a cada uno de las categorías de objetivos: estratégicos, operativos, información y cumplimiento, y que en su conjunto son partes del proceso que permiten a una organización alcanzar sus metas comerciales. Son fundamentales para la respuesta a los riesgos en forma propia y oportuna.

Existen variados tipos de actividades de control, pero el Informe C.O.S.O.II sólo se limita a definir cuatro, que son los siguientes:

Función Directiva o Actividad Administrativa. Los directivos desarrollan funciones o actividades revisando y desarrollando informes.

Procesos de Información. Una variedad de controles es desarrollado para comprobar la exactitud, totalidad y autorización de las transacciones.

Controles Físicos. Equipos, inventarios, inversiones, caja y otros activos son sometidos a recuentos físicos y comparados con archivos de control;

Indicadores de rendimiento. Análisis de diferentes datos combinados entre sí, que en conjunto con acciones correctivas conforman una actividad de control.

Normalmente, las actividades de control involucran dos elementos que son las políticas, que establecen qué debe hacerse y los procedimientos que desarrollan las políticas. El resultado de la aplicación de procedimientos asociados a las políticas debe ser revisado a través de seguimientos y efectuar las acciones correctivas apropiadas, o en su defecto corregir las políticas.

Por otra parte, los sistemas de información debido a su papel fundamental en la actualidad cuentan con una extrema confianza, lo que por consecuencia lógica deben contar con actividades de control integrados, las que se agrupan en controles generales y de aplicación, donde ambos controles en total contribuyen a asegurar la exactitud, totalidad y validez de la información.

Los controles generales son aquellos que se aplican a muchos si no a todas las operaciones y permiten su continuidad, como sucede con los sistemas de administración tecnológica, infraestructura, seguridad, adquisición de software, desarrollo y mantención.

Los controles de aplicación son aquellos que están incluidos en los procedimientos informatizados dentro de los software de aplicación, y están diseñados para asegurar la integridad, exactitud y validez de la captura de datos en los procesos, y evitan que se introduzcan errores en el sistema, detectándolos y corrigiéndolos, como sucede con la captura de errores en los datos y su comprobación, cálculos para validar datos, prueba de datos predefinidos y test de datos lógicos. La íntima relación de ambas categorías de control informático nace en que los controles generales son necesarios para un adecuado y seguro funcionamiento de los controles de aplicación que dependen de los procesos informáticos.

Las actividades de control como respuesta al riesgo de cada organización dependerá de los objetivos, los juicios personales de la Dirección, la complejidad de la entidad, su historia y su cultura. Sin embargo, la naturaleza y el alcance de las operaciones de la organización afectarán a sus actividades de control, por lo cual la organizaciones con diversas funciones pueden presentar problemas de control más complejos, como sucede en el caso de una entidad descentralizada y con sucursales. Por el contrario una empresa más simple con actividades menos variadas y centralizada, con estructura más plana, no enfrentará mayores complicaciones en sus actividades de control como respuesta a las probabilidades de riesgo o su impacto.

INFORMACION Y COMUNICACIÓNCada organización ha de obtener información relevante financiera o no,

relacionada con actividades internas o externas. Esta información debe ser entregada a las personas a tiempo, en un formato que les permita llevar a cabo sus responsabilidades de administración de riesgos como sus otras funciones. La información se vuelve necesaria en todos los niveles de la organización, desde la más rutinaria hasta la más relevante, tanto de fuentes internas como externas, lo que permitirá a la entidad mantenerse o adaptarse a las condiciones cambiantes, para identificar, evaluar y responder a los riesgos, contribuyendo con ello a que ésta alcance uno o más objetivos, a través de sus distintas categorías.

El desafío para la Dirección es procesar y refinar volúmenes enormes de datos en información relevante, lo cual se soluciona estableciendo sistemas de información, los cuales capturan datos, los procesan, analizan e informan pertinente y oportunamente, de una forma que resulte útil para las actividades de control de una organización. Estos sistemas de información pueden ser formales e informales y se complementa con los datos que se obtienen de una conversación con clientes, proveedores o personal, o con la asistencia a seminarios, ayuda profesional, etc. y que todos en conjunto entreguen información crítica que permita identificar riesgos y oportunidades.

Los sistemas de información, en atención a las tendencias modernas, se han integrado fuertemente con fines estratégicos, fundamentados en que los sistemas entregan información relevante con mayor claridad, lo que les permite contribuir a crear nuevas oportunidades y ventajas, tornándose más proactivos que reactivos. Asimismo, al integrar los sistemas de información con las operaciones, se facilita el acceso a información entrampada en departamentos o procesos para ser utilizada por la Dirección en tiempo real y oportunamente.

Para apoyar a la administración de riesgos, una entidad utiliza datos históricos y presentes. Los datos históricos permiten a la organización desarrollar soluciones a los actuales problemas contrarios a los objetivos, planes y expectativas, proporcionando las visiones de cómo la entidad actuó bajo las condiciones actuales, ya repetidas, lo que permite a la Dirección identificar tendencias como prever actuaciones y situaciones futuras, convirtiéndose en una alerta temprana de eventos potenciales. Asimismo, los datos actuales permiten a una organización determinar su perfil de riesgo presente en un punto específico y permanecer dentro de rangos de tolerancia de riesgos establecidos, contribuyendo a la administración de riesgos a tomar visiones en tiempos reales de la existencia de riesgos inherentes en procesos, funciones o unidades e identificar las posibles variaciones de lo esperado. En conjunto, ambos tipos de datos permiten a la entidad evaluar la probabilidad e impacto futuro de eventos potenciales sobre los objetivos y poder efectuar las modificaciones suficientes sobre las actividades, en conformidad a su deseo y tolerancia al riesgo.

Las oportunidades que permite alcanzar una infraestructura de información adecuada son fundamentales para una entidad, convirtiéndose en una capturadora de datos en márgenes de tiempo válido y fuente de información consistente con las necesidades de una organización que contribuye a identificar, evaluar y responder a los riesgos dentro de un margen de tolerancia, siendo sus flujos consistentes con la proporción de cambios organizacionales y con los ambientes internos y externos. La infraestructura convierte los datos en información real y oportuna que permite a los empleados llevar a cabo la administración de riesgos y otras responsabilidades. Se proporciona la información correcta en un formulario dentro de un margen de tiempo real y necesario, al nivel correcto de detalle, tanto en los departamentos, unidades o procesos como a las personas adecuadas.

Ante la creciente dependencia de los sistemas de información, cada día más sofisticados, y sistemas de decisión automatizados, la confiabilidad en los datos se vuelve crítica, ya que los datos inexactos pueden producir riesgos no identificados o evaluaciones y decisiones erróneas, por lo tanto, la información para ofrecer suficientes datos relevantes para efectuar una correcta administración de riesgos, debe presentar un nivel de calidad óptimo en lo referente a: contenido de detalles e información necesaria; oportunidad de la información en el tiempo y momento necesario; información actualizada y disponible; exactitud de la información sustentada en datos correctos; finalmente, accesibilidad de la información para las personas adecuadas y aseguramiento contra los cybercrímenes.

La comunicación es inherente a los sistemas de información, y para toda entidad que cuente o no con un sistema de información la comunicación juega un rol preponderante, ya que deben proporcionar información relevante a las personas adecuadas, con el objeto que cumplan con sus labores operativas en forma adecuada.

La Dirección, en un sentido de comunicación interna, debe entregar a todo el personal clave de su organización mensajes claros, precisos y eficaces, en especial al personal crítico para la administración de riesgos, por lo que la comunicación de información sobre los procesos y procedimientos debe estar alineada con la cultura de riesgo. Por lo tanto, resulta fundamental para que la comunicación sea efectiva asegurar el conocimiento de la importancia de una administración de riesgos eficaz; comunicar la tolerancia y apetencia de riesgos de la entidad; implementar y mantener un lenguaje de riesgo común; y finalmente, advertir al personal de su rol y de sus responsabilidades en el apoyo a los componentes de la administración de riesgos.

Todos estos puntos en su conjunto permitirán al personal estar atentos y saber que cuando un evento inesperado ocurre, la atención no sólo será prestada al propio evento sino que también a las causas. Asimismo, el personal también necesita saber cómo sus actividades se relacionan con el trabajo de otros, lo que les ayudará a reconocer un problema, determinar su causa y una acción correctiva, como también estar en conocimiento de conductas aceptables e inaceptables, y creer de verdad que sus superiores quieren saber sobre los problemas y de sus soluciones. De esta manera una debilidad potencial en el sistema puede identificarse y tomar acción para que no se repita.

Los canales de comunicación interna, de los cuales el más importante es el de la Dirección, deben asegurar que los empleados puedan comunicar la información de riesgos , sin temor a represalias por la entrega de información relevante. Los canales de comunicación externa pueden proveer un importante ingreso de información relativa a la calidad de productos o servicios, preferencias y gustos de los consumidores, cambios del entorno en todas sus expresiones y factores, lo que afecta directamente a la apetencia y tolerancia a los riesgos de la entidad. La comunicación externa también debe ser oportuna, pertinente, significativa, y estar en conformidad a principios y requisitos legales y reguladores.

Un factor importante a considerar en la comunicación con el entorno y el interno de la entidad, es la forma o medios de comunicación, materializado por manuales de políticas, memorándum, anuncios, publicidad, medios electrónicos, conductas, mensajes orales, expresiones corporales, etc. Destacando que el actuar de la dirección con el entorno y con el trato a sus empleados es la herramienta más poderosa de la comunicación, donde las acciones dicen más que las palabras, además, que está influenciada por la historia y cultura de la entidad. Todas estas expresiones en su conjunto pueden crear riesgos como oportunidades.

SUPERVISION (MONITOREO – VIGILANCIA)

La Administración de riesgos de una organización cambia con el tiempo, las respuestas al riesgo que alguna vez fueron eficaces pueden no serlo hoy, las actividades de control pueden encontrarse obsoletas e ineficaces, los objetivos de la entidad pueden cambiar. Esto puede originarse por cambios de personal, de estructura, nuevos procesos, etc. Estos cambios hace necesario determinar si los componentes de la Administración de riesgos siguen siendo eficaces. Esta supervisión se puede hacer a través de actividades continuas o evaluaciones puntuales, lo que permite fijar una tendencia de este informe C.O.S.O. II, en lo que se refiere a cuanto mayor sea el nivel y la eficacia de la supervisión y seguimiento continuos, menor será la necesidad de evaluaciones puntuales. Asimismo, para que exista una seguridad razonable, la Dirección debe fijar la frecuencia de evaluaciones puntuales, teniendo en consideración que si la frecuencia aumenta demasiado, se debe centrar los esfuerzos en una mejor las actividades de supervisión continua. La existencia de ambas acciones permiten el mantener la eficacia del sistema de Administración de riesgos.

Dentro de las actividades de supervisión continua, el informe C.O.SO. II, presenta las siguientes:

Los informes de explotación son integrados y conciliados con otros informes financieros y usados para administrar operaciones con el objeto de detectar inexactitudes significantes o excepciones a los resultados.

Utilización de modelos de evaluación de riesgos, para estimar el impacto potencial de los movimientos del mercado en la posición financiera de una organización.

La comunicación de los agentes externos debe ser confirmada con la información internamente generada o señalar problemas.

Las regulaciones también pueden comunicar a la entidad disposiciones u otras materias que afecten las funciones o los procesos de administración de riesgos.

Los auditores internos y externos permanentemente proponen recomendaciones para fortalecer la Administración de riesgos.

Los seminarios de formación, las sesiones de planificación y otras actuaciones, proveen de importante retroalimentación a la Dirección sobre la Administración de riesgos.

El personal debe ser consultado periódicamente sobre si conocen, cumplen los códigos de conducta de su entidad.

Mientras la supervisión continua sobre los procesos permite proporcionar una retroalimentación constante de la efectividad de los otros componentes y factores de la

administración de riesgos, las evaluaciones puntuales que se detallan, permiten una mirada fresca sobre la efectividad de la administración de riesgos y en especial sobre los procedimientos de la supervisión continua, y que son los siguientes:

El alcance y la frecuencia de las evaluaciones puntuales de la administración de riesgos variará según la magnitud, respuestas y controles de riesgo de la entidad, y si éstos tienen mayor prioridad o son más críticos, como también a la categoría de objetivos que afecta.

No es conveniente que una misma unidad evalúe sus respuestas al riesgo y sus controles relacionados a la administración de riesgos. Es la Auditoría Interna la que debe ejecutar esta evaluación como parte de sus actividades regulares o a solicitud de la autoridad, y también considerar la opinión de la auditoría externa.

La evaluación puntual de la administración de riesgos es un proceso en si misma, y los evaluadores deben entender cada una de las actividades de la entidad, establecer estándares para cada componente y determinar, a través de pruebas, si el proceso proporciona la seguridad razonable con respecto a los objetivos.

La metodología es variada y ésta se puede realizar a través de hojas de control, cuestionarios, encuestas, técnicas de flujogramación y de benchmarking.

El nivel de documentación de la administración de riesgos de una entidad variará conforme al tamaño y complejidad de ésta, como de otros factores, por lo general las empresas grandes tienen todas sus políticas y procesos en manuales, la cual es optimizada con la evaluación.

La mejor fuente de información de deficiencias en la organización es la administración de riesgos en sí misma, donde las actividades de supervisión continua, que incluye las de gestión y las de monitoreo diarios a los empleados proporcionan una identificación rápida de deficiencias, mientras que las evaluaciones puntuales del sistema de administración de riesgos pueden señalar áreas que necesiten mejoras, lo cual se realiza a través de interlocutores como de informes internos y externos a la Dirección.Nelson Palominos G.