Control interno Julio, 2003 APRECIACION DE RIESGOS Estos capítulos intentan ser una recopilación de diferente bibliografía sobre el tema Apreciación de riesgos, y no intenta ser un aporte propio al tema. En este sentido hemos leido, traducido y compilado diferente bibliografía, usando las expresiones y términos que se utilizan por los autores de la misma. La bibliografía utilizada fue la siguiente: Ø Control Interno Estructura Integrada. Committee of Sponsoring Organizations of the Treadway Commission (COSO), 1992. Ø Business Risk Assessment. David McNamee. The Institute of Internal Auditors. 1997. Ø Risk management: Changing the internal auditor’s paradigm. David McNamee and Georges M.Selim. The Institute of Internal Auditors. 1998. Ø Internal Control. Guidance for Directors on the Combined Code. The Institute of Chartered Accountants in England & Wales. Ø Implementing Turnbull. A boardroom briefing. The Institute of Chartered Accountants in England & Wales. Ø Global risk priorities. Enhancing value by focusing on what matters. J. Russell Gates. Exposición en la 60a. Conferencia Mundial de Auditores Internos. CAPITULO I - Introducción Las organizaciones o empresas existen a efectos de cumplir con sus objetivos a corto, mediano y largo plazo que se han impuesto. No obstante, los objetivos no siempre pueden ser alcanzados en virtud que dichas organizaciones se mueven en contextos cambiantes y expuestos a determinados factores de riesgos. Qué es riesgo, entonces? Riesgos son todas aquellas circunstancias o eventos que se interponen en el cumplimiento de los objetivos propuestos por la empresa. La organización necesita identificar, gerenciar y controlar los riesgos a los cuales se enfrenta y por lo tanto puedan hacer no cumplir sus objetivos. A este proceso lo llamaremos Análisis de riesgos, el cual comprenderá la Apreciación de los riesgos (método para identificar y medir las consecuencias de los riesgos) y el Manejo o Administración de los mismos (tomar acciones para minimizar el impacto de dichos riesgos). Qué es análisis de riesgos? Es una h erramienta de decisión que considera las consecuencias de diferentes alternativas. Por qué es necesario que una persona conozca acerca del análisis de riesgos? Porque la gente toma decisiones todos los días sobre cómo cumplir sus objetivos, cuánto tiempo y recursos se debe gastar en un proceso, y qué es importante informar a la organización. Teniendo en cuenta estas apreciaciones es que intentaremos en los próximos capítulos referirnos a los diferentes conceptos vinculados a este proceso. Apreciación de riesgos 1 Control interno CAPITULO II 1. Julio, 2003 - RIESGO Definición Los riesgos afectan la capacidad de la organización de sobrevivir, competir con éxito o mantenerse con una fortaleza financiera adecuada, la imagen pública positiva o la calidad de productos o servicios que brinda. No obstante, es claro hacer notar que eliminar o reducir los riesgos a cero es imposible, ya que el ambiente de negocios donde se mueven las diferentes organizaciones es riesgoso por naturaleza, ya que es cambiante por naturaleza. Riesgo es un concepto. Es una medida de la incertidumbre. En este sentido, se ha definido al riesgo como “el nivel de exposición a las incertidumbres que una empresa debe entender y efectivamente administrar para lograr alcanzar sus objetivos y crear valor para sus interesados”. En todo proceso de negocios, el logro de los objetivos involucra un cierto nivel de incertidumbre. Y en todo proceso de negocios, existen diversos factores que se interponen o pueden interponerse en el logro de dichos objetivos. Los Riesgos pueden involucrar consecuencias positivas o negativas; las consecuencias positivas son conocidas como oportunidades, y las consecuencias negativas son llamadas amenazas o riesgos. Consecuencias se define como aquellos resultados tangibles derivados de los riesgos en las decisiones, eventos o procesos. No podemos ver con seguridad los riesgos intangibles, pero podemos anticipar y observar las consecuencias del riesgo. Riesgo no es ni bueno ni malo, sólo es riesgo. Los efectos del riesgo y la incertidumbre pueden resultar en consecuencias malas o buenas. No obstante, cuando nosotros pensamos en riesgo, la mayoría pensamos en las consecuencias negativas más que en oportunidades. Las consecuencias pueden variar en su impacto dependiendo de un número de factores: o Los activos a riesgo, o El tipo de amenaza, o La duración de la consecuencia, o La efectividad del control. Exposición es la susceptibilidad de perder o una percepción de amenaza en un activo o proceso, usualmente cuantificado monetariamente. La exposición es el monto monetario al riesgo sin considerar la probabilidad de un evento negativo. La exposición se convierte en una medida de relativa importancia cuando se priorizan los riesgos a administrar. Generalmente, cuanto más valor tenga el activo para lograr los objetivos de la organización, más importante es la exposición y por ende mayor atención necesita de parte de la Gerencia en la administración de los riesgos involucrados al mismo. Por lo tanto, la exposición se mitiga por las técnicas de administración de riesgos, incluyendo el desarrollo y mantenimiento de controles efectivos. Amenaza es una combinación del riesgo, las consecuencias del mismo, y la probabilidad que el evento negativo ocurra. Amenaza es generalmente usada como riesgo. El tipo de amenaza es realmente una expresión del tipo de consecuencia: fuego, error, omisión, fraude, caída, obsolescencia, etc. Amenazas provienen de la operación del riesgo en el ambiente, sin tomar en cuenta los controles o el ambiente de control. Las amenazas están siempre presentes, pero los controles las mantienen testeadas. La duración de la consecuencia afecta su importancia. Si el sistema de computación se cae por una hora, ese es un tipo de consecuencia. Si se cae por un día, es otro. Y si se cae por una semana, la organización pueda quedar fuera del negocio. Finalmente, las consecuencias son afectadas por la efectividad de los controles y el sistema de control interno que haya en la empresa. Esto es importante, ya que generalmente cuando los gerentes piensan en riesgo, ellos usualmente piensan en términos del riesgo administrado. El riesgo administrado para el Gerente es realmente las amenazas y consecuencias de considerar los diferentes factores de riesgo. El riesgo absoluto es el término que engloba las amenazas y consecuencias sin considerar los controles que están presentes y operando. La naturaleza del riesgo y los modelos para manejarlos dejan en evidencia estos puntos: o o Riesgo es una medición de la incertidumbre en eventos o condiciones del ambiente. Que la gerencia está enfocada en las consecuencias del riesgo. El rol estratégico de la gerencia en la organización debe ser considerado en el proceso de apreciación de los riesgos estratégicos. La clave del proceso de apreciación de riesgos radica en la cadena de metas y objetivos que trasciende o se ha fijado la empresa. Apreciación de riesgos 2 Control interno Julio, 2003 o El sistema de control gerencial juega un papel importante en la percepción de los riesgos. Fuertes controles dan la impresión que el riesgo es minimizado, cuando en los hechos sólo las consecuencias son minimizadas. No hay métodos prácticos para convertir a las incertidumbres en eventos ciertos. o El gerenciamiento del riesgo sigue a la apreciación de riesgos, así como el tratamiento continúa al diagnóstico. Administrar riesgos es la esencia del gerenciamiento. 2. Clasificación de los factores de riesgo Según el Informe COSO existen diferentes factores de riesgo, los cuales son clasificados en factores externos e internos de riesgo: Ø Factores externos: o Desarrollo tecnológico o Cambio en expectativas de clientes o Competidores o Leyes y regulaciones o Economía Ø Factores internos: o Interrupción de sistemas informáticos o Deterioro de la calidad del personal o Cambio en la asignación de responsabilidades o Cambio en actividades y accesibilidad de los activos Además de dicha clasificación, existen otras realizadas por diferentes autores en conceptos de control interno. Por ejemplo, en Implementing Turnbull – A Boardroom Briefing se ha desarrollado la siguiente clasificación en cuatro categorías de riesgo: o De negocio, o Financieros, o De cumplimiento, o Operacionales y otros En dicho documento se mencionan como factores de riesgo en cada una de las categorías los siguientes: o Riesgos del negocio: o Estrategia errónea o Presión de la competencia en el precio y en la porción de mercado o Problemas generales de la economía o Problemas económicos regionales o globales o Riesgos políticos o Obsolescencia de la tecnología o Productos sustitutivos o Políticas gubernamentales adversas o Baja en el sector de actividad de la empresa o Imposibilidad de obtener capital de financiamiento o Mala adquisición o Poca posibilidad de innovar o Riesgos financieros o Riesgo de liquidez o Riesgo de mercado o Problemas de empresa en marcha o Riesgo de crédito o Riesgo de tasa de interés o Riesgo de tipo de cambio o Altos costos de capital o Riesgos de tesorería o Mal uso de los recursos financieros o Riesgos de cumplimiento o No cumplimiento de regulaciones financieras o Riesgos de litigios o No cumplimiento de leyes o Problemas impositivos o Multas impositivas o Riesgos de seguridad y salud Apreciación de riesgos 3 Control interno o Problemas ambientales, o Etc. o Julio, 2003 Riesgos operacionales y otros o Procesos de negocios no alineados a objetivos estratégicos o Pérdida de espíritu empresarial o Quiebre de stock o Habilidades no desarrolladas o Desastres físicos o Pérdida de activos intangibles o Pérdida de confidencialidad o Pérdida de activos o Falta de continuidad en los negocios o Problemas de sucesión o Pérdida de gente clave o Imposibilidad de reducir los costos o Error en nuevos productos o servicios, o Etc. En el sector financiero, en general, los riesgos se han clasificado en tres categorías: o Riesgo de mercado. Exposición de la empresa a las variaciones en determinadas variables tales como tasas de interés, tipo de cambio, cotizaciones, etc. o Riesgo de crédito. Exposición de la empresa a las pérdidas por incobrabilidad en deudores. o Riesgo operacional. Exposición de la empresa a fallas en los sistemas de información, gente y tecnología. No importa cuál clasificación utilicemos o cuál bibliografía adaptemos para nuestra organización, lo importante a tener en cuenta es que los riesgos son propios y únicos para cada organización. Por qué es esto? Si volvemos a leer la definición de Riesgo y entendemos que son aquellos factores que se interponen en el cumplimiento de los objetivos de la organización, parece claro que dichos riesgos dependen de los objetivos que se ha impuesto la empresa y por lo tanto varían de organización en organización. Apreciación de riesgos 4 Control interno CAPITULO III 1. Julio, 2003 APRECIACION DE RIESGOS Introducción Es la evaluación cualitativa y cuantitativa de la exposición al riesgo en las diferentes actividades o procesos. Cada unidad en la empresa coloca sus activos a trabajar dentro del proceso gerencial y sistema de control interno. Los objetivos de la unidad están linqueados a las metas y objetivos de la empresa en su conjunto. Los riesgos, en la forma de cambios inciertos en el ambiente, pueden afectar los activos y/o el proceso gerencial. Los efectos de los riesgos dependen también de la naturaleza de los activos y los tipos de procesos gerenciales y controles. El rol primario de la gerencia es colocar los activos a riesgo para alcanzar los objetivos: o Humanos, o Físicos, o Financieros, o Intangibles. La estragia desarrolla el plan, organiza los recursos, y monitorea los resultados de la conversión de tales recursos de la organización en bienes y servicios para los clientes. La gerencia típicamente monitorea la organización a través del auditor interno. El rol primario del auditor interno es evaluar e informar sobre los controles gerenciales los cuales aseguran que los objetivos establecidos para eficiencia y eficacia son cumplidos. Los recursos son eficientemente usados, y las necesidades de los clientes están siendo debidamente cubiertas. El link entre los auditores y los gerentes es la apreciación de riesgos y sus consecuencias en lograr establecer objetivos estratégicos. La apreciación de los riesgos del negocio comienza con el planeamiento estratégico y el riesgo de cambios en el entorno. La apreciación de riesgos intenta analizar los riesgos en las unidades operativas a través de la cadena de valor. El origen de la apreciación de riesgos yace en el planeamiento estratégico. El planeamiento estratégico intenta tomar una visión a largo plazo de las operaciones. No obstante, cuanto más a largo plazo es la visión, mayor la incertidumbre que ha de ser considerada. Un planeamiento estructurado es un efectivo sistema de control interno. A través del planeamiento, los gerentes anticipan los riesgos inherentes en sus actividades y toman métodos para mitigar los efectos de dichos riesgos. Riesgos inherentes, también son denominados riesgos del negocio, y existen en todas las actividades. El riesgo inherente de cualquier actividad es una función de un mix de activos y la naturaleza de la actividad. Por ejemplo, un cajero tiene un grado de riesgo de negocio en su actividad. Los activos empleados pueden ser: activos físicos (edificio, mobiliario, etc.), activos financieros (el dinero), activos humanos (cajero), activos intangibles (políticas y procedimientos, información, etc.) El mayor riesgo inherente en un cajero es la pérdida del activo dinero. Podemos mitigar algunos de dichos riesgos del negocio instalando dispositivos de seguridad (cámaras, guardias, etc) y cambiando el mix de activos físicos. Todavía otros riesgos de negocio pueden ser mitigados instalando máquinas automáticas dispensadoras de dinero en lugar del activo humano. La gerencia puede mitigar otros riesgos inherentes limitando el dinero en poder del cajero. El concepto clave es que el riesgo y la oportunidad son parte de una variación continua. Esto no es nuevo: la gente ha asociado al riesgo y retorno a lo largo del tiempo. Riesgo es el potencial de resultados negativos y oportunidad es el potencial de resultados positivos. Ambos son variaciones en los planes. Los resultados de riesgos negativos son usualmente no deseables. Los resultados de oportunidades positivas pueden ser igualmente no deseables. El sistema ideal es aquel que mitigue los riesgos negativos y tome ventaja de las oportunidades positivas. Los gerentes que pueden alcanzar los dos miden su peso en oro. Un segundo concepto clave es que la naturaleza del riesgo y la oportunidad cambian a lo largo del tiempo. A corto plazo, riesgo es mayormente aquél que proviene de una variación en el sistema: errores, omisiones, demoras, y fraude. Estas amezanas fluyen a través de la organización. Las oportunidades en el corto plazo son pocas. No hay suficiente tiempo para explotar totalmente las oportunidades que existen. El efecto acumulativo es un potencial fuertemente negativo. Apreciación de riesgos 5 Control interno Julio, 2003 Si nos planteamos abandonar el razonamiento en este punto podríamos estar en condiciones de elaborar un sistema de control que mitigue los efectos negativos en este corto plazo. Muchos de nuestros sistemas de control, se elaboran basándose en los riesgos actuales de los estados contables, entendidos como aquellos que tienen un impacto negativo. Qué es lo que está faltando en nuestros sistemas de control? Formas de manejar los riesgos y oportunidades de mediano y largo plazo. Así como sobrepasamos las simples variaciones en los sistemas (errores, omisiones, atrasos, fraudes), tenemos riesgos que afectan los períodos futuros. Tales riesgos tienen que ver con efectividad en el uso de los recursos, satisfacción del consumidor en el largo plazo, etc. También podemos ver que existen diferentes oportunidades cuando consideramos el efecto del tiempo. La efectividad en el uso de los recursos puede ser mejorada en el mediano plazo, sin embargo, en el corto plazo no tenemos tiempo suficiente para evaluar los efectos de la inversión o de las decisiones conservadoras. En el largo plazo, existen diversas oportunidades con retornos significativos. Podemos explotar dichas oportunidades si conocemos cómo tomar ventaja de ellas. 2. Diferentes estadios en la apreciación de riesgos Apreciación de los riesgos del negocio significa la apreciación de riesgos y oportunidades que afectan el desarrollo de las metas y objetivos de la organización. Los riesgos pueden ser apreciados en tres niveles: Ø Estratégico: Esta apreciación de riesgos se utiliza como guía de la organización durante un prolongado período de tiempo (hasta diez años). Dicho procedimiento es usualmente realizado por la Dirección y Alta Gerencia: Proceso / programa / procesos: Esta apreciación de riesgos es utilizada, desarrollada y gerenciada durante el período actual de la organización. El gerente del proceso, programa o proceso es la persona que inicialmente tiene la responsabilidad de la apreciación. Operacional: Utilizado en las operaciones diarias. Es ta apreciación es usualmente realizada por el nivel de supervisión o por individos o equipos de trabajos designados para tal tarea. Ø Ø 2.1. Apreciación de riesgos estratégicos El proceso de apreciación de riesgos estratégicos comprende seis etapas: Ø Lograr un conocimiento profundo de las metas y objetivos generales de la organización: o Examinar los documentos fundamentales (misión, propósito, visión y otros documentos) para metas yobjetivos. o Clasificar cada uno de las metas y objetivos identificados como de corto, mediano y largo plazo. Ø Elegir los riesgos estratégicos que son definidos como de mayor importancia para la organización: o Riesgo operacional: Los riesgos de que la entidad no pueda cumplir sus objetivos y metas operacionales. o Riesgos fiscales: Los riesgos que las deficiencias en los controles de gastos e ingresos puedan afectar adversamente objetivos. o Riesgos reputacionales: Los riesgos de que algunas acciones o inacciones puede afectar la capacidad de la organización de alcanzar metas y objetivos. o Otros riesgos tales como riesgos regulatorios, etc. Ø Definir los ambientes que son importantes para la organización, tales como: o Político, gobernabilidad o Tecnología o Legal y regulatorio o Competidores o Clientes y Stakeholders o Físico o Mercados o Proveedores o Financiero/económico Cada uno de estos ambientes representan incertidumbres generalmente asociadas a cada área. Ø Crear una serie de matrices con Riesgos estratégicos para cada Area analizada. Cada matriz deberá realizarse para cada objetivo y meta identificado en la primer etapa y clasificado en de corto, de mediano y de largo plazo. Apreciación de riesgos 6 Control interno Meta: Ambientes/Riesgos estratégicos Físico Económico-financiero Clientes Competidores Legal/regulatorio Tecnología Proveedores Ø Ø Julio, 2003 Horizonte temporal: Operacionales Financieros Reputacionales Usar procesos creativos tales como “tormenta de ideas”, para imaginar escenarios de posibles amenazas y oportunidades para cada una de las celdas de la matriz. Es importante pensar “out of the box” tal como sea posible. Combinar la apreciación de riesgos para cada meta y objetivo en función del horizonte temporal a efectos de lograr una composición de lugar en cuanto al Riesgo estratégico. Basado en esta apreciación los gerentes pueden realizar un plan sobre cómo manejar estos riesgos. 2.2. Apreciación de los riesgos de los procesos La apreciación de los riesgos de los procesos utiliza un método diferente para identificar riesgos y oportunidades. La identificación de los riesgos del proceso utiliza uno o más de los siguientes métodos: Ø Análisis de exposición: Riesgos desde la perspectiva de los activos involucrados. Ø Análisis ambiental: Riesgos desde la perspectiva de los cambios en el ambiente. Ø Escenarios de amenazas: Riesgos explorados desde varios escenarios de los cuales pueden desprenderse una variedad de condiciones. Esto es útil para explorar eventos catastróficos y fraudes. Cada proceso o programa puede ser formalmente apreciado y rankeado basados en la comprensión del programa o proceso y atendiendo a la percepción de riesgo encontrada. El ranking podrá darse mediante un score o rango del 1 (menor riesgo) a 5 (mayor riesgo). 2.3. Manejo del riesgo operacional El riesgo operacional es la mitigación día a día de los riesgos de seguridad y salvaguarda de los empleados a efectos de poder desarrollar su trabajo. Riesgo operacional también incluye visitantes o trabajadores temporarios en el lugar de trabajo y riesgos del público general en las operaciones. La apreciación del riesgo operacional usualmente incluye: Ø Riesgos de salud, incluyendo exposición a toxinas, radiciaciones y organismos infecciosos Ø Riesgos de seguridad, incluyendo exposición al equipamiento, maquinaria y procesos de trabajo Ø Riesgos del medio ambiente o físicos, incluyendo exposición al clima y terreno. 3. Etapas en el proceso de apreciación de riesgos El proceso de apreciación de riesgos comprende las siguientes etapas: Ø Identificación de riesgos, Ø Análisis de los mismos, Ø Administración del cambio. 3.1. Identificación de riesgos 3.1.1. Concepto En la realización de los pronósticos a corto y mediano plazo, en el planeamiento estratégico es apropiado efectuar la identificación de los riesgos de negocio. Qué preguntas podemos hacernos a efectos de realizar dicha identificación de riesgos?: o o o o o Qué no nos gustaría ver aparecer en la prensa? Qué problemas han tenido nuestros competidores en años recientes? Cuáles son los tipos de fraude a los cuales nuestro negocio puede ser susceptible? Cuáles son los mayores riesgos legales y regulatorios a los cuales nuestro negocio es tá expuesto? Qué riesgos provienen de los procesos de negocio? Apreciación de riesgos 7 Control interno Julio, 2003 La identificación de riesgos debería ser un análisis sistemático para todo objetivo de la empresa. En cada objetivo de la empresa, deberíamos preguntarnos por qué dicho objetivo puede no cumplirse, qué factores o qué causas pueden distorsionar el cumplimiento de los mismos. Seguramente para cada objetivo de la empresa pueden identificarse uno o varios riesgos. Este proceso de identificación debería además hacerse con cierta abstracción de la importancia o de la probabilidad de ocurrencia. Según el informe COSO debería efectuarse bajo el método “hoja en blanco” a efectos de que se consideren todos los tipos de factores que podrían afectar los objetivos. El elemento clave en la apreciación de riesgos es la identificación de amenazas y oportunidades. El riesgo no puede ser medido, priorizado o gerenciado hasta que el mismo haya sido identificado. La identificación de riesgos invoucra especulación acerca de las amenazas relevantes que pueden afectar la organización y sus capacidades para alcanzar los objetivos. 3.1.2. Métodos de identificación de riesgos Los tres mayores enfoques para identificar riesgos son: Ø Ø Ø Análisis de exposición Análisis ambiental Escenarios de amenazas Elegir uno de estos enfoques es lo más apropiado y depende de cada organización. No obstante, generalmente se utilizan los tres enfoques combinados para realizar el proceso. 3.1.2.1. Análisis de exposición Los gerentes ponen activos a riesgo para alcanzar sus objetivos. Uno de los tres mayores enfoques para identificar riesgos es el enfoque o análisis de exposición. En el enfoque de exposición, el foco está en el activo a riesgo en el proceso: Ø Activos físicos tales como planta y equipamiento, Ø Activos financieros tales como caja e inversiones, Ø Activos humanos incluyendo el conocimiento y experiencia del staff, Ø Activos intangibles tales como información, reputación, reconocimiento de la marca. El enfoque de exposición toma en consideración el Tamaño, Tipo, Portabilidad y Locación de los activos. Las amenazas y los riesgos son explorados tomando en consideración como pueden afectar materialmente los activos. El enfoque de exposición trabaja mejor en aquellos procesos que dependen fuertemente de sus activos para alcanzar los objetivos. Ejemplos de unidades u organizaciones intensivas en el uso de activos pueden ser: Ø Procesos manufactureros, Ø Construcción, Ø Operaciones de caja, Ø Procesos de inventario, Ø Actividades de investigación y desarrollo. Cómo funciona?: Ø Ø El proceso a analizar incluye alguno de los activos clave. Tales activos tienen que ser identificados por tamaño, tipo, portabilidad y locación. Ejemplo: Una auditoría ha sido asignada para revisar los gastos de remodelamiento y expansión de un espacio de oficina. El mayor activo involucrado son los Materiales de construcción y el Espacio actual de oficina. Algunos de los materiales de construcción son pequeños y valuosos, otros son pequeños e inmateriales y otros son grandes y valuosos. Todos los materiales están almacenados en el edificio de oficinas. El Espacio de oficina es un activo que es utilizado para alcanzar los objetivos actuales. El Espacio de oficina está expuesto a pérdidas a través del ruido excesivo y distracción durante la remodelación. A partir de ahí es necesario introducirnos en la especulación. La especulación se genera a través de pensar cómo estos activos están expuestos a pérdidas de valor o deterioro para alcanzar los objetivos. Ejemplo: Apreciación de riesgos 8 Control interno Julio, 2003 Pequeño, portable, inmaterial Pequeño, portable, valioso Grande, valioso Espacio de oficina Ø Riesgo de pérdida No significativo Robo, fuego, daño en el manejo Fuego, daño en el manejo Fuego, problemas de energía Riesgo de deterioro No significativo Daño en el manejo Daño en el manejo Ruido, polvo excesivo, fluctuaciones en energía En último lugar sería necesario priorizar los riesgos identificados en el punto anterior, a efectos de tomar acciones sobre los mismos. Por ejemplo, en el caso anterior los riesgos identificados fueron priorizados de la siguiente manera: Ø Daño en el manejo Ø Fuego Ø Problemas de energía Ø Robo Ø Ruido Ø Polvo excesivo 3.1.2.2. Enfoque del ambiente La organización existe en un determinado ambiente externo el cual se conforma de otros ambientes tales como: Ø Ambiente físico: lugar, clima, terreno, acceso Ø Ambiente económico: finanzas, tasas de interés, economía general Ø Regulaciones gubernamentales: leyes, políticas y regulaciones Ø Competencia: competidores directos, sustitutos, competidores indirectos Ø Clientes Ø Proveedores (incluyendo sindicatos) Ø Tecnología El enfoque del ambiente busca considerar los riesgos provenientes de varios estados del ambiente, tanto en el estado actual como en el estado futuro. Las amenazas y riesgos son investigados desde la perspectiva de que puedan afectar el cumplimiento de los objetivos. El enfoque del ambiente trabaja mejor en aquellos procesos orientados a servicios y aquellos que son altamente regulados o competitivos, así como en aquellas organizaciones afectadas por los riesgos ambientales. Ejemplos de unidades u organizaciones donde el enfoque del ambiente trabaja mejor inlcuyen: Ø Ventas, marketing y funciones de distribución, Ø Operaciones bancarias, Ø Servicios al cliente, Ø Operaciones gubernamentales o públicas, Ø Funciones de servicios internos (legal, contabilidad, etc.) Cómo funciona?: Ø Ø El proceso es afectado por un número de condiciones externas ambientales. Estas condiciones son identificadas desde una lista de ambientes. Ejemplo: Se tiene que desarrollar un proceso de auditoría de un Servicio telefónico de atención al cliente de un Banco 24-horas. Investigando los ambientes, se identifican varios ambientes: o Percepción del consumidor y actitudes del consumidor o Competidores y publicidad de los competidores o Ambiente físico de interacción con el cliente Se genera la especulación sobre cuál es el estado actual y cuál es el estado que se prevé que ocurra. Ejemplo: Clientes Competidores Físico Apreciación de riesgos Ambiente actual Abandono de clientes Compatibilizan horas y niveles de servicio Vulnerabilidad a cambios en las tarifas telefónicas 9 Ambiente futuro Imposibilidad de atraer nuevos clientes Tratan de atraer nuestros clientes Acceso por internet se convierte en un estándar competitivo para servicios de acceso físico Control interno 3.1.2.3. Julio, 2003 El enfoque de escenarios de amenazas El tercer enfoque de identificación de riesgos es el Escenario de Amenazas. Este es el más utilizado cuando estamos manejando fraude o factores de seguridad. Los escenarios son descripciones narrativas de los procesos y activos a riesgo, así como las posibles cosas que pueden salir mal. A menudo e stas narraciones incluyen los controles que mitigan el riesgo. Cómo funciona?: Ø El proceso es cuidadosamente documentado, tanto en un formulario narrativo como en un formulario “portafolio”. El formulario portafolio es fácil de utilizar por una computadora. El Modelo de Análisis de Riesgos Lawrence Livermore, creado por Charles Cresson Wood, usa un enfoque de portafolio que captura: o Descripción del activo. Ejemplo: Mainframe o Amenaza específicas. Ejemplo: Daño causado por agua o Consecuencias de la amenaza en el activo. Ejemplo: Indisponibilidad, costos de reparación y remplazo, costos de facilidades alternativas o de backup. o Cómo la amenaza es típicamente realizada. Ejemplo: Inundaciones puede ser una amenaza típica dependiendo de la ubicación geográfica. Ø Si el mayor propósito del escenario es la amenaza de fraude, el escenario de cómo puede ser realizado debe cubrir los siguientes tres elementos: o Robo: cómo el activo puede ser robado o Ocultamiento: cómo el ladrón puede ser ocultado o no descubierto. o Conversión: Cómo el ladrón puede convertir el activo a su uso personal. Si el escenario de amenaza es utilizado para auditar o evaluar fraude y cuestiones de seguridad, se convierte en un blueprint para el crimen. Este documento debe ser adecuadamente asegurado cuando no se esté usando. 3.2. Análisis de riesgos Una vez identificados los riesgos es necesario analizar los mismos. El proceso de análisis de riesgos comprende: Ø Medir el riesgo, Ø Administrar los mismos. 3.2.1. 3.2.1.1. Medición del riesgo Concepto Una vez que los riesgos y las consecuencias son identificados, el próximo paso es medir los riesgos. Medir riesgos es difícil debido a su naturaleza intangible. Los matemáticos han usando las estimaciones de probabilidad para medir riesgos. Los gerentes prefieren pensar en términos cualitativos más que en términos cuantitativos. Para algunos gerentes, definir riesgos en una escala de tres niveles (bajo, medio y alto) es suficiente para sus necesidades. Medir riesgos no es una ciencia exacta y no necesita serlo. La cuestión b ásica de la apreciación de riesgos en el planeamiento es aquella que ayuda a identificar las partes del plan que necesitan mayor atención que otras porque son más importantes o están menos protegidas. El proceso de apreciación de riesgos da al gerente las partes importantes de un proceso de decisión, pero el gerente debe realizar sus ajustes y decisiones basado en las condiciones actuales. Los riesgos son eventos con alguna probabilidad de ocurrencia. Consencuencias son el resultado de la acción de dichos riesgos en los procesos de negocio y metas y objetivos. Ambos riesgos y consecuencias son medibles en tres dimensiones: Ø Ocurrencia del riesgo es la probabilidad de que el riesgo puede crear una consecuencia que pueda afectar materialmente la capacidad de la organización para alcanzar sus metas y objetivos. Ø La severidad de las consecuencias es otra dimensión de la medición del riesgo. La severidad de la consecuencia es a menudo dependiente de los controles internos que se encuentran operando. Algunos de los controles reducen las consecuencias a eventos inmateriales. Las consecuencias deben tener un afecto material en la capacidad de alcanzar los objetivos. Riesgos con consecuencias inmateriales o con consecuencia que no afecten la capacidad de alcanzar los objetivos, son eliminados de la consideración. Aquellos controles internos que reducen las consecuencias a inmaterialidad deben ser probados por los auditores internos. Apreciación de riesgos 10 Control interno Julio, 2003 Ø El tiempo de un riesgo o la duración de su consecuencia es el tercer elemento o dimensión de la medición del riesgo. Riesgos pueden tener consecuencias con una severidad variable dependiendo de cuándo ocurren en el proceso de negocio y cuánto puede durar el efecto. 3.2.1.2. Métodos para medir riesgos Hay diferentes enfoques para medir riesgos y consecuencias: Ø Estimaciones de probabilidad y funciones de pérdidas esperadas: La aplicación de probabilidades a los valores de los activos para determinar la exposición a pérdidas. Ø Factores de riesgos: El uso de factores observables Ø Matrices de medición: El uso de matrices de amenazas y componentes para evaluar consecuencias y control. 3.2.1.2.1. Ø Ø Estimaciones de probabilidad Un enfoque asigna valores de probabilidad a los siguientes riesgos: Riesgo inherente, riesgos de control, riesgos de auditoría. La fórmula utilizada es: Riesgo total = IR x CR x AR El IR toma factores arbitrarios dependiendo de las guías de los cuerpos contables. Por ejemplo el Canadian Institute of Chartered Accountants recomienda valores de 0,40, 0,50 y 0,60 para riesgo bajo, medio y alto. A menos CR y AR toman también factores arbitrarios para presentar niveles bajo, medio y alto de riesgos. La ecuación es usualmente resulta por el AR (riesgo de detección) dando un nivel de confianza. AR = Total Risk IR x CR La debilidad en este enfoque es el uso de tanto valores arbitrarios. Otra debilidad es que la Gerencia en general no se siente confortable utilizando este método. Un segundo método es una estimación de las consecuencias directas usando una función de pérdida estimada anual, también conocida como Expectativa de Pérdida Anualizada. Este enfoque es relativamente común en auditores de sistemas de información. La fórmula simplificada es: Pérdida esperada = Σ (Pi x D i x Vi) Siendo P los productos de probabilidad, D la duración en el tiempo y V el valor de los activos, e i cada amenaza. Activo: Centro de procesamiento de datos Amenazas Probabilidad Duración Fuego Inundación Terremoto Falla de energía Total 0.001 0.005 0.0001 0.01 5 3 10 .1 Valor de los activos 4.000.000 4.000.000 4.000.000 4.000.000 Pérdida esperada 20.000 60.000 4.000 4.000 88.000 Un mejoramiento a este enfoque toma en cuenta la probabilidad de la falla del control. La Expectativa de Pérdida Anualizada para cada escenario i se expresa como la probabilidad de T F ocurrencia de la amenaza P , la probabilidad de falla del control P y la máxima pérdida monetario producto de la consecuencia Qi: T F Expectativa de Pérdida Anualizada = Σ (P i x P i x Qi) 3.2.1.2.2. Factores de riesgo La medición de riesgos usualmente involucra jucios subjetivos y referencia a datos objetivos o históricos. A menudo, la medición de riesgos es realizada a través del análisis de una serie de factores de riesgos tales como: Ø Complejidad de los negocios, Ø Monto monetario al riesgo, Ø Liquidez de los activos, Ø Competencia de la Gerencia, Ø Fortaleza de los controles internos Ø Tiempo desde la última auditoría Apreciación de riesgos 11 Control interno Julio, 2003 Los factores de riesgos son maneras de combinar nuestro pensamiento sobre los riesgos, consecuencias y controles todo en una serie de eventos observables o atributos conceptuales. Usando factores de riesgo la medición de riesgos es fácil de utilizar en la auditoría de la mayoría de las unidades de negocio. Hay tres tipos de factores de riesgos comúnmente utilizados: Ø Factores subjetivos de riesgo, Ø Factores objetivos de riesgo o históricos, Ø Factores de riesgos calculados Factores subjetivos de riesgo Teniendo en cuenta la rapidez de los cambios con que se opera en los últimos tiempos, los datos históricos han perdido relevancia. Es así que la medición de riesgos y la identificación de la consecuencias requiere una combinación de experiencia, habilidades, imaginación y creatividad. Ejemplos de factores subjetivos de riesgo son la Integridad de la Gerencia, y la Extensión de los cambios en los procesos. Factores objetivos de riesgo o históricos Para operaciones estables, puede ser útil medir las tendencias a través de factores históricos. Por ejemplo, los Activos medidos en términos monetarios expuestos a Riesgo, la Rotación de los empleados. Factores calculados de riesgo Son calculados desde datos históricos u objetivos. Son los más débiles de utilizar porque son derivados. Como ejemplos tenemos: la Distancia desde las Oficinas Centrales, el Tiempo desde la última auditoría. Patton, Evans y Lewis describen 19 de los más populares factores de riesgo utilizados por auditores internos: Ø Calidad de los controles internos Ø Compentencia de la gerencia Ø Integridad de la gerencia Ø Tamaño de la unidad Ø Cambios en los sistemas contables Ø Complejidad de las operaciones Ø Liquidez de los activos Ø Cambios en el personal clave Ø Condiciones económicas de la unidad Ø Rápido crecimiento Ø Extensión del uso de la computadora Ø Tiempo desde la última auditoría Ø Presión en la gerencia para alcanzar los objetivos Ø Extensión de las relaciones gubernamentales Ø Nivel de ética en los empleados Ø Planes de auditoría de los auditores externos Ø Exposición política Ø Necesidad de matener una apariencia de independencia del auditor interno Ø Distancia de las oficinas centrales Cómo usar los factores de riesgo? Los factores de riesgo son identificados y elegidos para representar riesgos y consecuencias que han sido identificadas. Cómo usarlos, por ejemplo en una auditoría o en un proceso de medición de riesgos: Ø Elegir un número de factores que representen aspectos importantes de los riesgos de la unidad. Estos factores deben ser determinantes, es decir que la medición de dicho factor puede variar desde condiciones de bajo riesgo a alto riesgo. Limite los factores a no más de diez. Usar cinco, más o menos dos, debe ser su objetivo. Cuantos más factores se utilizan, mayor la probabilidad de duplicar la influencia de un riesgo y menor la probabilidad de influencia de cada factor de riesgo: Ejemplo: La unidad puede tener presiones extraordinarios para cumplir sus metas. Estas presiones pueden causar que algunos gerentes corten procesos o fraudulenten estadísticas de producción en un esfuerzo de cumplir no razonablemente sus objetivos. Por lo tanto un factor de riesgo es la presión que existe en cada unidad de negocio o proceso. Ø Elegir una escala (1 a 5) para representar la fuerza del factor en cada unidad (bajo a alto). Se recomienda una escala de cinco puntos, aunque a veces es utilizada una de tres puntos. Apreciación de riesgos 12 Control interno Julio, 2003 Ø Evaluar cada uno de los componentes de la unidad y asignar un score basado en la escala anteriormente definida. Componentes de la unidad pueden ser algunos de los siguientes: o Funciones, o Subprocesos, o Software, o Hardware, o Gente o posiciones, o Procedimientos y políticas Ejemplo: En un área de préstamos de un banco existen los siguientes componentes: o La posición de cajero o La posición de oficial de cuenta o El manual de procedimientos y autorizaciones o El comité de créditos o El software para administrar los créditos Cada uno de estos componentes fue analizado desde el punto de vista de cinco factores: Ø Presión para cumplir los objetivos Ø Libertad de acción Ø Herramientas de apoyo en la decisión Ø Debilidad en los controles internos Ø Nivel de supervisión Ø Desarrollar mediciones para cada factor de riesgo elegido basado en el impacto (probabilidad y consecuencias) que cada factor tiene en la unidad. Es una buena práctica normalizar las mediciones, esto es asegurarse que todos los factores sumen 1 o 100%. Un factor de riesgo debe por lo menos tener un 10% de influencia en la unidad para ser utilizado. Ø Multiplicar el score obtenido para cada componente con el peso de cada factor. Sumar los secores para cada componente. El componente con mayor score es aquél con mayor riesgo. 3.2.1.2.3. Matrices de riesgos Adicionalmente a los procesos anteriormente referidos, se utiliza un medición cualitativa de los riesgos en función de la probabilidad de ocurrencia y las consecuencias de dicho impacto. Dichas variables se analizan cualitativamente tomando en consideración diferentes escalas o rangos de análisis (bajo a alto). Con dicho método la Gerencia obtiene un método gráfico de fácil visualización a efectos de encarar las acciones pertinentes. Impacto Exposición inaceptable Precaución Exposición aceptable Probabilidad o frecuencia Exposición = Riesgo - Control (E = R-C) 3.2.2. Administración de los riesgos Administración del riesgo es el proceso que surge con posterioridad a la apreciación de riesgos. Implica tomar las acciones necesarias para manejar los riesgos una vez que los mismos han sido apreciados. Cuáles son los conceptos principales que un Gerente debe tener en cuenta en este proceso: Ø No podemos tratar de eliminar o controlar riesgos Ø Algunos de ellos nunca se solucionarán Ø Algunos de ellos, además, forman parten de la creación de valor de la organización Apreciación de riesgos 13 Control interno Julio, 2003 Lo importante es que este proceso de administración de riesgos sea un proceso consciente de análisis sobre las diferentes acciones a realizar en relación a los riesgos. Este proceso comprende las dos últimas etapas del siguiente proceso: Ø Ø Ø Ø Diseñar el modelo de negocios de la organización (metas, objetivos, modelo de creación de valor); Apreciar los riesgos principales del negocio; Alinear los procesos y sistemas a dichos objetivos y riesgos; Medir e informar variaciones Qué significa alinear los procesos y sistemas a dichos objetivos y riesgos? Básicamente en esta etapa es donde la Gerencia toma las decisiones acerca de cómo desarrollará las acciones dentro de la organización a efectos de alcanzar los objetivos administrando adecuadamente los riesgos. Existen diferentes estrategias de administración de riesgos, las cuales pueden clasificarse de la siguiente manera: Ø Ø Ø Ø Ø Eliminar. En esta estrategia la Gerencia intenta abandonar el proceso en cuestión, teniendo en cuenta que no puede manejar los riesgos de dicho proceso adecuadamente. Tratará de prohibir el proceso, pararlo, eliminarlo, etc. Retener. Por este mecanismo la Gerencia tratará de mantener el proceso en cuestión, aceptando los riesgos involucrados en el mismo. En dichas estrategias se encuentran la aceptación del nivel de riesgos, la propia asegurabilidad, el contrapeso con otros procesos, etc. Reducir. Mediante esta estrategia la Gerencia intentará reducir los riesgos a niveles aceptables para retener los mismos. En este caso la Gerencia tratará de diversificar los riesgos o controlar los mismos. Transferir. En este caso la Gerencia intentará involucrar a un tercero en la administración de sus propios riesgos. En estas estrategias se encuentran los seguros, reaseguros, acciones de cobertura y de indemnización, la securitización, el compartir riesgos, el outsourcing de determinados procesos, etc. Explotar. En esta última estrategia la Gerencia intentará transformar el riesgo como efecto negativo en una oportunidad y desarrollo para la empresa. En este caso, podemos encontrar la expansión de operaciones, la creación de otros procesos o productos, e l rediseño de prodcesos o productos, la reorganización, la renegociación, etc. Cada una de estas estrategias será aplicable en función de la probabilidad e impacto que el riesgo tenga en los objetivos y procesos de negocio, tal como se muestra en el gráfico a continuación: 2 High 1 Severidad Eventos Imperativos extraordinarios estratégicos 4 3 Irrelevantes o no significativos Operativos y de cumplimiento Low Low High Todas las opciones aplican: Debe administrarse Efectivamente a Largo plazo Todas las opciones Aplican: Sin embargo, la Administración de Riesgos está limitada Aplicar controles Preventivos y detectivos Aceptar al presente Medir y monitorear A través del tiempo Probabilidad Source: Enterprise- wide Risk Management: Strategies for linking risk and opportunity © 2001 Arthur Andersen. All rights reserved. 41 Siempre hay un monto residual de riesgo que queda remanente después de haber realizado los esfuerzos para eliminar, controlar o compartir el riesgo. Si el riesgo residual es muy alto, entonces no se han hecho los esfuerzos suficientes. Si el riesgo no es demasiado alto, la Gerencia tendrá que aceptar este riesgo residual. Apreciación de riesgos 14 Control interno 3.3. Julio, 2003 Administración del cambio El proceso descrito anteriormente con sus diversos pasos y etapas se repite continuamente en el tiempo. Lo importante es que una organización una vez que ha desarrollado dicho proceso y lo ha internalizado, lo repite en cada circunstancia donde ocurra un cambio tanto internamente con el entorno. Con lo cual, es necesario en todo momento realizar un proceo de detección y de reflexión. En el proceso de detecciónes importante identificar la condición cambiante a través de mecanismos ajustados para identificar y comunicar eventos o actividades que afecten los objetivos de la entidad. En el proceso de reflexión es importante analizar las oportunidades y/o riesgos asociados: Ø causas Ø probabilidad Ø efecto Ø posibilidad de: Ø manejo del riesgo Ø aprovechar la oportunidad “No es la más fuerte de las especies la que sobrevive, ni la más inteligente, sino aquella que está más interesada en el cambio”. Charles Darwin. Apreciación de riesgos 15