METODOLOGÍA DE EVALUACIÓN DE RIESGOS

METODOLOGÍA DE EVALUACIÓN DE RIESGOS
PARA LA OFICINA DEL INSPECTOR GENERAL
PROPÓSITO
Las Normas Generales para el Funcionamiento de la Secretaría General requieren que el
Secretario General establezca los procedimientos adecuados de auditoría interna para verificar el
cumplimiento de las normas vigentes mediante el examen selectivo de transacciones oficiales y
procedimientos operativos relacionados con los recursos que administra la Secretaría General. La
Oficina del Inspector General es la dependencia responsable de llevar a cabo los procedimientos de
auditoría interna. La Oficina del Inspector General (OIG) ayuda a la SG/OEA a cumplir sus objetivos
introduciendo un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los
procesos de gestión de riesgos, control y gobernanza. Suministra, para los niveles gerenciales
pertinentes, análisis, evaluaciones, recomendaciones y comentarios relevantes objetivos sobre las
actividades que analiza. Las auditorías deben ser conducidas, supervisadas y controladas de acuerdo
con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (ISPPIA)
aprobadas por el Instituto de Auditores Internos, la autoridad profesional internacionalmente
reconocida en el campo de las auditorías internas.
De acuerdo con el artículo 118 de las Normas Generales y de conformidad con el
presupuesto aprobado, el Inspector General le debe presentar al Consejo Permanente, antes del fin de
cada año, un plan de actividades de investigación y auditoría de los programas, servicios y
actividades de la SG/OEA para el siguiente período de dos años y actualizarlo anualmente (Plan de
Auditorías). El Consejo Permanente puede solicitar la inclusión de investigaciones o auditorías
específicas tras revisar dicho plan.
Asimismo, la AG/RES. 2774 (XLIII-O/13) le solicitó a la Secretaría General que realizara
esfuerzos con el fin de mejorar la transparencia y eficiencia de sus operaciones, para establecer
sistemas adecuados de planificación, control y evaluación que les faciliten a los Estados Miembros
hacer el seguimiento de la programación presupuestal y la supervisión fiscal.
Este documento presenta el modelo de análisis de riesgos empleado por la OIG para apoyar
el proceso de planeación anual basado en riesgos de conformidad con las ISPPIA.
De acuerdo con las ISPPIA, el Inspector General debe establecer planes basados en riesgos
para determinar las prioridades de las actividades de auditoría interna, de manera congruente con los
objetivos y fines de la SG/OEA, y debe comunicar los planes y los requisitos o limitaciones de
recursos, incluyendo los cambios temporales significativos, al Secretario General, el Consejo
Permanente y la Junta de Auditores Externos para revisión, consideración o aprobación. El Inspector
General debe tomar en cuenta el marco de gestión de riesgos de la SG/OEA, incluyendo el uso del
nivel de disposición a asumir riesgos que la administración debe establecer para las distintas
actividades o áreas de la Organización. De no existir un marco, el Inspector General debe aplicar su
propio juicio de los riesgos tras consultar con el Secretario General, el Consejo Permanente y la Junta
de Auditores Externos. Se debe considerar el uso de consultorías con base en su posibilidad de
mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la Organización. El plan debe
incluir las consultorías aceptadas.
El modelo reconoce y toma en cuenta la resolución AG/RES. 2774 (XLIII-O/13) y los
documentos de la CAAP conexos relacionados con el fortalecimiento de la OEA a través de la
modernización de sus operaciones. A partir de estos esfuerzos se producirán nuevos marcos. En el
-2-
pasado se desarrolló un marco como parte del Proyecto de Transformación y Modernización de la
SAF (STAMP), que no se concluyó.
Sin embargo, la OIG utiliza su propio juicio sobre los riesgos porque la SG/OEA no ha
establecido todavía los niveles de disposición a asumir riesgos. Cada año, la OIG revisa el universo
de áreas auditables de la SG/OEA, evalúa el riesgo de cada una de ellas, identifica a los sujetos
auditables para el año siguiente y estima los recursos necesarios para las actividades del año
siguiente. Este proceso comprende la actualización del universo de auditoría, la referencia cruzada de
los fines declarados de la Organización, los planes operativos y los riesgos y considera los resultados
de las auditorías anteriores y las recomendaciones pendientes. La OIG también revisa anualmente la
metodología de evaluación de riesgos (en ejecución) y el modelo para áreas que es posible mejorar.
Obtener
información de
por las partes
interesadas
Evaluación de
Riesgo
Desarrollar un
plan de
auditoria en
conjunto con la
gerencia
Revisión y
aprobación por
SG PC y BEA
1.
Establecer el universo de auditoría y validar el modelo de evaluación de riesgos: En
2013, la OIG establecerá el universo de auditoría y el modelo de evaluación de riesgos.
Después de 2013, la OIG actualizará el universo de auditoría cada año y actualizará
periódicamente su modelo de evaluación de riesgos para asegurar la interacción y la
congruencia con los fines y objetivos estratégicos de la SG/OEA, los procesos de gestión
existentes para lograr los fines y objetivos y los riesgos que podrían afectar su logro.
2.
Obtener aportes de las partes interesadas: Se consideran los siguientes aportes:






Indicadores de alerta y tendencias de riesgo identificados mediante análisis de la
información recogida de encuestas enviadas al personal clave dentro de la SG/OEA.
Aportes recogidos de entrevistas con las autoridades de la SG/OEA, de los
representantes de los Estados miembros, de los miembros de la Junta de Auditores
Externos y de la administración de la SG/OEA.
Resultados de auditorías recientes.
Recomendaciones pendientes.
Producir un análisis de los riesgos de la Organización utilizando el Software de
Gestión de Auditorías de la OIG (AMS).
Conocimiento del personal de la OIG de los procesos y sistemas de la SG/OEA.
-3-
3.
Evaluar Riesgos: La OIG identificará, documentará y evaluará los riesgos inherentes y
residuales utilizando el AMS y calificará cada uno con uno de los tres niveles de riesgo:



I - Crítico
II - Importante
III - Sugerido
4.
Determinar un plan de auditoría basado en riesgos: A partir de los pasos anteriores, la
OIG identificará y priorizará las actividades por realizar.
5.
Revisión y aprobación del Secretario General: De acuerdo con las ISPPIA el plan de
auditoría debe remitirse al Secretario General para su revisión y aprobación.
6.
Aprobación por el Consejo Permanente: El plan de auditoría se le remitirá al Consejo
Permanente para su aprobación formal. Los cambios al plan de auditoría que pueden ocurrir
durante el transcurso del año se deberán manejar como sigue:


Los cambios al plan deben ser autorizados por el Inspector General.
El Inspector General deberá comunicar oportunamente los cambios significativos al
Secretario General, el Consejo Permanente y la Junta de Auditorías Externas.
La OIG desempeña un papel importante en la supervisión del riesgo. Sin embargo, no es el
principal responsable de su implementación o mantenimiento. La OIG apoya a la administración y al
Consejo Permanente y a la CAAP en este proceso mediante:





Monitoreo
Evaluación
Análisis
Informes
Recomendación de mejoras.
De acuerdo con las mejores prácticas establecidas por el Instituto de Auditores Internos, la
OIG puede ampliar su participación en el proceso de evaluación de riesgos, siempre que se apliquen
ciertas condiciones, a saber:





Debe quedar claro que la responsabilidad de la gestión de riesgos sigue recayendo en
la administración.
La naturaleza de las responsabilidades del auditor interno debe documentarse en la
carta de auditoría interna y tener la aprobación del comité de auditoría.
La auditoría interna no debe manejar ninguno de los riesgos a nombre de la
administración.
La auditoría interna debe proveer asesoría, desafíos y apoyo en la toma de decisiones
de la administración, y no tomar las decisiones sobre gestión de riesgos.
La auditoría interna tampoco puede aportar aseguramiento objetivo sobre ninguna
porción del marco de gestión de riesgos global de la institución bajo su
-4-

responsabilidad. Tal aseguramiento debe ser provisto por terceros adecuadamente
calificados.
Cualquier trabajo fuera de las actividades de aseguramiento debe ser reconocido
como consultoría y deben obedecerse las normas de implementación relacionadas
con este tipo de tareas.
Universo de auditoría
El universo de auditoría es una representación exhaustiva de la SG/OEA y de sus procesos
operativos, unidades institucionales y ubicaciones que en conjunto integran la cadena de valor de la
institución y están cubiertos por el mandato de la OIG. El universo de auditoría se organiza
considerando las “Organizaciones de la SG/OEA” y las “Familias de segmentos.”
Organizaciones de la SG/OEA
Las organizaciones de la SG/OEA son las áreas de la Organización de los Estados
Americanos (es decir, el Fondo Regular, Recuperación de Costos Indirectos (RCI), el FEMCIDI y los
Fondos Específicos y de Servicio de la OEA). El orden jerárquico, la organización y la
responsabilidad de la SG/OEA se establecen en la Orden Ejecutiva 08-01 (con sus revisiones) y en la
Orden Ejecutiva 11-01.
-5-
Familias de segmentos
Las familias de segmentos son macroprocesos resultantes del agrupamiento lógico de los
segmentos de auditoría:






Gobernanza y entorno de control
Gastos
Ciclo de vida de los proyectos
Capital humano
Gestión financiera
Tecnología de información
Segmentos: Los segmentos representan los procesos operativos, unidades de organizaciones
o ubicaciones de la SG/OEA. El universo de auditoría se examinará en su totalidad y se documentará
cada año utilizando el AMS de la OIG como parte de la evaluación de riesgos y el proceso de
planeación anual. La lista completa de entidades, familias y segmentos estará disponible a través del
AMS de la OIG.
Riesgos y controles
El modelo incluye referencias a riesgos y controles conexos. Los riesgos se refieren a
acontecimientos que pueden incidir en el logro de los fines y objetivos estratégicos de la SG/OEA. El
modelo considera dos tipos de riesgos: riesgos inherentes y riesgos residuales. En general, los
controles también forman parte del modelo. Los controles generalmente corresponden a los riesgos
conexos. En general se identifican y evalúan según su eficacia y eficiencia.
Gestión de riesgos: En el manejo de los riesgos, la gestión de la SG/OEA puede utilizar distintas
acciones de gestión de riesgos, que incluyen mitigación del riesgo, transferencia del riesgo y
aceptación del riesgo. La SG/OEA está en proceso de desarrollar un marco de gestión de riesgos
como parte de la iniciativa de modernización.
ESTRUCTURA DE GOBIERNO DE LA OEA
• Roles y Responsabilidades
• Código de Ética
• Modelo de Soporte Administrativo
Manejo de Riesgos
Manejo de Recursos Estándar y Sistemas
-6-
Riesgos inherentes
Los riesgos inherentes son los que plantearía una actividad si no se dispone de controles u
otros factores mitigantes (el riesgo bruto, o el riesgo previo a los controles). Los riesgos inherentes se
determinan por la posibilidad y el impacto de la ocurrencia de un acontecimiento,
independientemente de los controles que puedan existir para abordarlo. También se conoce como
riesgo no mitigado, en contraposición del riesgo mitigado (después de considerar la eficacia de los
controles).
Controles
La OIG también identifica y evalúa los controles relacionados con cada riesgo inherente. La
eficacia y la eficiencia de los controles se determinan por la posibilidad y el impacto de la ocurrencia
de la actividad mitigante.
Existen controles en dos niveles distintos dentro de una organización: a nivel institucional
(controles para toda la organización) que afecta el entorno de control y tiene un efecto generalizado
sobre la manera en que se implementan y aplican los demás controles (por ejemplo, las políticas para
la contratación de los empleados o los programas contra el fraude y la corrupción) y a nivel de
actividades, que se refiere a las acciones emprendidas para lograr un objetivo específico dentro de un
proceso de transacción (por ejemplo, cómo asegurar que los pagos a terceros sean válidos para los
servicios prestados, las reconciliaciones bancarias, etc.)
Riesgos residuales
Los riesgos residuales son los riesgos restantes después de considerar y evaluar la eficacia y
la eficiencia de los controles. Son los riesgos remanentes una vez que se toman en cuenta los
controles (el riesgo neto, o el riesgo después de los controles). De manera similar a los riesgos
inherentes, los riesgos residuales se expresan en términos de su impacto y posibilidad de ocurrencia,
tras considerar las acciones de gestión de riesgos existentes (la reducción de los riesgos a través de
controles mitigantes o de la transferencia del riesgo). Las acciones de aceptación del riesgo por la
administración no se consideran en la evaluación de los riesgos residuales. Para los fines de la
evaluación de riesgos, la evaluación de los riesgos residuales debe mantenerse sin cambios y con la
aceptación de la administración.
Evaluaciones de riesgos y controles
Posibilidad e impacto: Los riesgos inherentes, los riesgos residuales y los controles se
evalúan con base en dos variables: posibilidad e impacto. Las combinaciones posibles de posibilidad
e impacto determinan uno de tres niveles predefinidos:



I - Crítico
II - Importante
III - Sugerido
-7-
La posible combinación determina uno de tres niveles predefinidos de evaluación de la
eficacia y eficiencia de los controles:



I - Ineficaz
II - Parcialmente eficaz
III - Eficaz
Matriz de los niveles de riesgo
El Gráfico I especifica las combinaciones posibles de posibilidad e impacto.
-8-
Gráfico I: Lineamientos para la evaluación de riesgos - Matriz de posibilidad e impacto
5 - Muy alto (casi
seguro; ya es un
hecho)
Grado III - Sugerido
Grado II - Importante
Grado II - Importante
Grado I - Crítico
Grado I - Crítico
4 - Bajo (raro) no es
probable que ocurra
Grado III - Sugerido
Grado III - Sugerido
Grado II - Importante
Grado I - Crítico
Grado I - Crítico
3 - Medio (posible)
muy probable
Grado III - Sugerido
Grado III - Sugerido
Grado II - Importante
Grado II - Importante
Grado I - Crítico
2 - Medio bajo
(improbable) cierta
probabilidad de que
ocurra
Grado III - Sugerido
Grado III - Sugerido
Grado III - Sugerido
Grado II - Importante
Grado II - Importante
1 - Bajo (raro) no es
probable que ocurra
Grado III - Sugerido
Grado III - Sugerido
Grado III - Sugerido
Grado III - Sugerido
Grado II - Importante
Posibilidad residual
1 - Bajo
2 - Medio bajo
3 - Medio
4 - Alto
5 - Muy alto
(impacto
insignificante)
(impacto mínimo)
(impacto moderado)
(impacto importante)
(impacto grave)
Impacto residual
Alcance:
● Impacto en un
departamento u
oficina nacional
● Impacto en un
departamento
● Impacto
departamental o en
toda la Secretaría
● Impacto en toda la
Organización
● Impacto en toda la
Organización
Consecuencias:
● Insignificantes – la
consecuencia más
baja
● Mínimas –
amenazarían un
elemento de una
función
● Moderadas –
requieren ajustes
significativos en una
función global
● Importantes –
amenazarían fines u
objetivos funcionales
● Graves –
impedirían el logro
de fines u objetivos
funcionales
Importancia
financiera
● Importancia
financiera
insignificante
● Importancia
financiera mínima
● Importancia
financiera moderada
● Importancia financiera
importante
● Importancia
financiera grave
Importancia
operativa
● Solamente unas
● Un número mínimo
cuantas transacciones de transacciones de la
Organización
● Un número
moderado de
transacciones de la
Organización
● Un número importante
de transacciones de la
Organización
● Todas o casi todas
las transacciones de
la Organización
● Compromete o
afecta negativamente
un recurso informático
importante crítico,
pero con
consecuencias
departamentales
● Compromete recursos
informáticos que apoyan
uno o varios procesos o
funciones operativos de
la Organización, con
consecuencias en toda la
Organización
● Compromete toda
la infraestructura
informática de
recursos de TI que
apoyan uno o varios
procesos operativos o
funciones de apoyo
de la Organización,
con consecuencias en
toda la Organización
Importancia para los ● Un servidor,
recursos informáticos computadora o
proceso informático
no crítico
● Compromete o
afecta negativamente
un recurso
informático, con
consecuencias que no
necesariamente se
extienden a nivel
departamental
-9-
Descripciones
adicionales:
● Carencias en los
procesos que
provocan falta de
eficiencias
● Compromete
procesos o funciones
de apoyo específicos
de la OEA, con
consecuencias que no
necesariamente se
extienden a nivel
departamental
● Compromete un
proceso o función de
apoyo de la OEA con
consecuencias
departamentales
● Compromete uno o
más procesos operativos
o funciones de apoyo de
la OEA con
consecuencias en toda la
Organización
● Compromete uno o
más procesos
operativos o
funciones de apoyo
de la OEA con
consecuencias en
toda la Organización
Ejemplos
● Eliminar
redundancias de
controles
● Redundancias en
sistemas y procesos
● Planes
departamentales
inadecuados
● Separación de
responsabilidades en toda
la Organización – falta de
separación de
responsabilidades,
políticas, procedimientos
o control, con
exposiciones
significativas a pérdidas
y riesgos para la
reputación de la
Organización
● Riesgos para la
reputación de alto
perfil – Cero
tolerancia al fraude y
la corrupción
● Aumentar las
eficiencias
● Oportunidades de
mejoras mínimas
● Incumplimiento de
políticas o
procedimientos
asociados con riesgos
inherentes medios
● Asuntos tácticos y
estratégicos
● Deficiencias
graves en la
realización o
supervisión de
actividades
operativas
● Deficiencias en la
realización o
supervisión de
actividades operativas
● Deficiencias
significativas en la
realización o supervisión
de actividades operativas
● Deficiencias
importantes en la
realización o
supervisión de
actividades
operativas
● Documentación o
mejora de las políticas
y procedimientos
● Derechos de acceso del
personal para crear,
modificar y aprobar
transacciones de alto
valor procesadas en
sistemas computarizados
o de otros tipos, que
generan exposición
objetiva a riesgos o
fraude, colusión,
malversación u otras
irregularidades
● Control operativo
● Incumplimiento de
crítico inexistente o no políticas o
implementado
procedimientos asociados
con riesgos inherentes
altos
● Oportunidades de
mejoras importantes
- 10 -
Auditorías y evaluación de segmentos de abajo arriba
Los riesgos inherentes, los riesgos residuales y también los controles se identifican y evalúan
consistentemente en distintos niveles del universo de auditoría. Desde una perspectiva de abajo arriba
es posible identificar y evaluar individualmente los riesgos y controles dentro de las auditorías
específicas y posteriormente se pueden subir al segmento superior que le corresponde a la auditoría.
Los riesgos y controles consolidados dentro de cada segmento se utilizan para evaluar los riesgos y
controles de manera conjunta por entidad, familia y segmento.
Vínculo con la estrategia institucional
El modelo también considera los fines y objetivos globales de la SG/OEA, tal como se
representan en la Visión para las Américas compartida, http://oasconnect/Default.aspx?tabid=66.
La estrategia institucional y sus fines y objetivos globales se consideran en el modelo de las
siguientes maneras:


En el nivel de los segmentos, vinculando el universo de auditoría con los fines y
objetivos estratégicos. La OIG revisará periódicamente el nivel de contribución de
cada segmento a uno o más de los cuatro pilares de la SG/OEA.
A nivel de los riesgos y controles individuales, identificando y evaluando cada
riesgo o control individual, considerando el contexto en que existen estos riesgos y
controles individuales. El contexto estratégico de cada riesgo o control individual
está implícito en la lógica aplicada al evaluar su posibilidad e impacto.
Vínculo con la gestión de riesgos de la SG/OEA
De acuerdo con la interpretación del Instituto de Auditores Internos de las ISPPIA, el
Inspector General es responsable de desarrollar un plan basado en riesgos que tome en cuenta el
marco de gestión de riesgos de la Organización, incluyendo sus niveles de tolerancia al riesgo
establecidos por la administración para las distintas actividades o partes de la Organización. De no
existir un marco, el Inspector General debe aplicar su propio juicio de los riesgos tras consultar con el
Secretario General y el Consejo Permanente.
El modelo reconoce y toma en cuenta el marco de gestión de riesgos en proceso que está
desarrollando la Organización. No obstante, el Inspector General aplica su propio juicio con respecto
a los riesgos porque la SG/OEA no ha establecido todavía los niveles de disposición a asumir riesgos.
El modelo considerará el marco de gestión de riesgos, una vez completado, para identificar y evaluar
los riesgos. Cada riesgo específico se categoriza como sigue:




Estratégico y de desarrollo
Operativo
De informes (es decir, presupuesto, financiero)
De cumplimiento
- 11 -
Evaluación de riesgos de la SG/OEA
El modelo permite evaluaciones consolidadas por familias de segmentos y por nivel de
grupos de la SG/OEA con base en los resultados a nivel de los segmentos de la evaluación de los
riesgos inherentes, los riesgos residuales y los controles.
Se establece un nivel de riesgo para cada segmento utilizando el promedio de todos los
riesgos relevantes. Existen tres niveles de riesgo predefinidos (alto, medio y bajo). A partir de esa
base, la OIG formula el plan de auditoría basado en riesgos identificando y priorizando las tareas de
auditoría que se llevarán a cabo.
En el Gráfico II se muestran las “familias de segmentos de la SG/OEA”.
Gobernanza y
entorno de
control
Gastos
Ciclo de vida de
los proyectos
(aprobación,
ejecución y
evaluación)
Capital humano
Gestión
financiera
Tecnología de
información
Planeación
estratégica y
desarrollo
Organización y
estructura
Gestión del presupuesto
Diseño de proyecto
Administración
de
compensación y
beneficios
Adquisiciones
Aprobación del
proyecto
Cumplimiento
de reglamentos
y normas del
personal
Financiamiento de
donantes
Gestión de riesgos
Gestión de efectivo
Controles de aplicación
Empresas y personas por
contrato
Supervisión técnica
Compras contratistas
Ética e integridad
Administración
de nómina,
Gestión de viajes
Supervisión fiduciaria
Desarrollo
profesional y
desempeño
Inversiones
Servicios de secretaría
Evaluación del
proyecto y
lecciones
aprendidas
Gestión del conocimiento
Selección,
Terminación
reclutamiento y
de empleados
contratación
Cuotas y centras por cobrar
Administración de infraestructura
Cuentas por pagar
Administración
de pensiones
Informes financieros
Controles de cómputo generales
- 12 -
Cobertura de las auditorías y criterios de prioridad
La cobertura de las auditorías y la prioridad para cada organismo de la SG/OEA se establece
sobre las siguientes bases:





Los segmentos con riesgos residuales altos tienen mayor prioridad y se deben auditar
dentro de un plazo de un año.
Los segmentos con riesgos residuales medios deben ser cubiertos por lo menos una
vez dentro de un período de tres años.
Pueden seleccionarse tareas de auditoría para el año siguiente para segmentos con
riesgos residuales medios y bajos, con la justificación debida.
También pueden incorporarse al plan las solicitudes de la administración, a través de
un acuerdo sobre la necesidad de aseguramiento adicional (auditoría) y servicios de
asesoría de auditoría.
Los objetivos, alcance y calendarios detallados de las actividades se determinan
durante la fase de planeación y se formalizan en una carta de actividades.
PROCEDIMIENTOS DE EVALUACIÓN DE RIESGOS
Enfoque global
El enfoque general de los procedimientos de evaluación de riesgos incluye:





Evaluación continua en lugar de una actividad en un solo momento (mensual,
trimestral, semestral, en lugar de anual solamente).
Delegación y participación de todo el personal de la OIG en sus respectivas
funciones.
Evaluación, revisión y aprobación de los procedimientos.
Prioridades basadas en riesgos, frecuencia y control de calidad.
Los insumos clave para las evaluaciones de riesgos son:
o
Los resultados de los informes de actividades expedidos.
o
El seguimiento mensual/trimestral de las recomendaciones pendientes.
o
La implementación de cambios operativos y de procesos.
Evaluación, revisión y aprobación del calendario y la frecuencia



I - Los riesgos críticos (rojo) deben ser revisados y aprobados por lo menos trimestralmente.
II - Los riesgos importantes (naranja) deben ser revisados y aprobados por lo menos
semestralmente.
III - Los riesgos sugeridos (amarillo) deben ser revisados y aprobados por lo menos
anualmente.
- 13 -
Funciones y responsabilidades

Inspector General
o
o

Revisar y aprobar todos los riesgos por lo menos anualmente.
Énfasis particular en la aprobación de los I - riesgos críticos trimestralmente y los II riesgos importantes por lo menos semestralmente.
Personal de la OIG
o
o

Evaluar todos los riesgos (dentro de la delegación del Inspector General)
Revisar y aprobar todos los riesgos por lo menos semestralmente.
Estrategia y calidad de la OIG
o
IG00078S03
Producir informes de excepciones sobre riesgos con retraso.