A continuación, explicaremos brevemente los métodos investigado:
2.6.1. Magerit 2.0 (9).
Su sigla significa "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información", fue creado por el Consejo Superior de Administración Electrónica y promueve su utilización como respuesta a la percepción de que la Administración y en general toda la sociedad, depende de forma creciente de las tecnologías de la información para el cumplimiento de su misión. La razón de ser de Magerit está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.
2.6.1.2. Objetivos de Magerit:
• Crear conciencia a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
• Ofrecer un método sistemático para analizar tales riesgos.
• Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
• Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
Asimismo, Magerit cuida la uniformidad de los informes que recogen hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos: modelo de valor, mapa de riesgos, evaluación de salvaguardas, estado de riesgo, informe de insuficiencias y plan de seguridad.
La versión 2.0 está estructurada en 3 libros: "Método", "Catálogo de Elementos" y "Guía de Técnicas".
En el libro Nº 1 referido a los Métodos se describe la metodología desde 3 ángulos diferentes:
• Capítulo 2: Describe los pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación. Es una presentación netamente conceptual.
• Capítulo 3: Describe las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente pautar roles, hitos y documentación para que la realización del proyecto de análisis y gestión de riesgos esté bajo control en todo momento.
• Capítulo 4: Aplica la metodología al caso del desarrollo de sistemas de información, en el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que están expuestos, como los riesgos que las propias aplicaciones introducen en el sistema.
En el libro Nº 2 referido a "Catálogo de Elementos", como su nombre lo indica se ofrece un catálogo, abierto a ampliaciones, que marca unas pautas en cuanto a: tipo de activos, dimensiones de valoración de los activos, criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y salvaguardas a considerar para proteger el sistema de información.
En este libro se persigue los siguientes objetivos:
• Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que pueden adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.
• Por otra parte, homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.
Y un tercer libro dedicado a "Guía de Técnicas", el cual aporta luz adicional y guías sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyecto de análisis y gestión de riesgos: técnicas específicas para el análisis de riesgo, análisis mediante tablas, análisis algorítmico, árboles de ataque, técnicas generales, análisis coste-beneficio, diagramas de flujo de datos, diagramas de procesos, técnicas gráficas, planificación de proyectos y sesiones de trabajo (entrevista, reuniones y presentaciones).
2.6.2. Metodología Gestión Integral de Riesgos en Organizaciones "GIRO".
Esta metodología esta basada en la teoría del Análisis Global de Peligros, en los planteamientos de la Society of Riese Análisis (SRA) y la Global Association of Risk Profesionals (GARP), y ha sido aplicado con gran éxito en empresas y corporaciones en distintos países de América Latina.
El Método "GIRO" es un Sistema de Gestión de Riesgos, que incorpora los siguientes elementos:
Ø Escalas de medición relativa de la probabilidad y las consecuencias, construidas y adaptadas a las condiciones propias de cada Entidad.
Ø El concepto "vulnerabilidad" como elemento clave para determinar el impacto de los eventos posibles.
Ø El concepto de "nivel aceptable de riesgo" para determinar la seguridad de referencia.
Ø El concepto de "escenario de riesgo" como unidad objetivo de análisis, lo que permite puntualizar en forma diferencial la evaluación.
Ø Siete factores determinantes de la vulnerabilidad, para cada escenario: personas, valores, operación, ambiente, imagen empresarial e información.
Ø Estrategias predefinidas para la intervención del riesgo en cada escenario evaluado.
Ø Un sistema de "contabilidad de riesgos" que permite conocer el estado y distribución de los riesgos en el sistema (perfil de riesgo) en un momento de tiempo determinado.
Ø Un sistema de "contabilidad de costos" para determinar el valor de cada una de las medidas de intervención planteadas para cada escenario.
Ø Indicadores de gestión y calidad para determinar variables como: impacto de las medidas de intervención, eficacia y eficiencia de las medidas proyectadas, rentabilidad de las medidas, índices de vulnerabilidad del sistema, estabilidad del sistema ante los riesgos, etc. Un sistema de medición para determinar la variación lograda en los resultados de los "niveles aceptables de riesgo" en el sistema.
Esta metodología tiene la característica importante de ser aplicable a cualquier tipo de amenaza, ya sean del tipo: social, tecnológica o natural; y de ser uniforme y coherente, ya que aplica criterios corporativos a todos los riesgos por igual.
Esta metodología está enmarcada dentro de los criterios de Gestión de Riesgos e incorpora los conceptos de Calidad Total, Planeación Estratégica, etc. y todas las herramientas de evaluación como Árbol de Fallas y Árbol de Eventos, etc.
2.6.3. ORM Gestión del Riesgo Operativo de Monitor Plus TM(10).
Está metodología ha sido creada para el manejo específicamente de los Riesgos Operacionales, la empresa Plus Technologies & Innovations ha desarrollado el Software Operacional Risk Manager de Monitor Plus TM (ORM).
El ORM ofrece un avanzado y eficaz Modelo de Gestión de Riesgos Operacionales con un enfoque proactivo e integral par la automatización de la Gestión Cualitativa y Cuantitativa de los mismos.
Fue desarrollado basado en las recomendaciones realizadas de las mejores prácticas para la identificación, análisis, control, seguimiento y monitoreo de los riesgos operacionales por parte de organizaciones como COSO, en lo que se refiere a mecanismos para la adecuada evaluación del control interno y metodologías de análisis para la medición del capital por riesgos operacionales del Comité de Basilea (11).
Este ha roto el paradigma de la medición Cualitativa v/s Cuantitativa, y se han integrado ambos enfoques. ORM permite a las organizaciones financieras contar con un modelo de autoevaluación de los Riesgos Operacionales y a la vez tener un eficiente mecanismo de Recolección de Eventos de pérdidas.
Componente de ORM- Sistema de Autoevaluación:
Ø Metodología: Con ORM, la entidad podrá poner en práctica la propuesta metodológica de gestión de riesgos alineada con los principios de la Planificación Estratégica.
Ø ORM – Autoevaluación: Permite contar con un versátil Mapa de Riesgos de los procesos de la entidad. Este multifacético ambiente brinda visiones tanto por unidades organizativas como por tipo de proceso y con amplia funcionalidad.
Ø ORM – Base de Datos de Pérdidas: Buscando la eficacia y el mayor beneficio se creo esta base de datos, considerando obviamente los lineamientos de Basilea para la aplicación del Método de Medición Avanzada (AMA). Este enfoque potencia a la investigación de los factores que pueden originar pérdidas y puede influir directamente en la reducción del capital requerido por Riesgos Operacionales.
Además ORM le permite a la entidad:
· Centralizar el registro de las pérdidas históricas.
· Identificar los eventos de fraudes y fallas operacionales
· Automatizar los procesos de investigación por presunción de pérdidas inesperadas.
· Enviar y administrar alertas tempranas y oportunas.
· Obtener datos históricos.
· Modelar el capital en riesgo según las regulaciones vigentes.
2.6.4. Estándar Australiano/Neozelandés AS/NZ 4360:1999(12):
Este método fue creado por el Comité OB/7 de la junta de estándares de Australia y Nueva Zelanda en el año 1999, sobre administración de riesgos como una revisión de AS/NZ 4360:1995 Administración de Riesgos.
De acuerdo con el estándar anterior, es decir AS/NZ 4360:1995, los objetivos son los siguientes:
• Proveer un marco conceptual genérico para el establecimiento del contexto.
• Identificación del Riesgo
• Análisis del Riesgo
• Evaluación del Riesgo
• Tratamiento del Riesgo
• Monitoreo y Comunicación del Riesgo
ELEMENTOS DEL PROCESO DE LA GESTION DE RIESGOS SEGÚN EL METODO AUSTRALIANO/NEOZELANDES
Fuente Propia
Elementos Principales
Los elementos principales del proceso de administración del riesgo, son los siguientes:
a. Establecer el contexto: Establecer el contexto estratégico, organizacional y de administración del riesgo en el cual el resto del proceso tomará lugar. Se deben en primer término, establecer los criterios contra los cuales se evaluarán los riesgos y definir la estructura del análisis.
b. Identificación de riesgos: Identificar qué, por qué y cómo las cosas pueden suceder como la base para mayores análisis.
c. Análisis de riesgos: Determinar los controles existentes y los riesgos analizados en términos de consecuencia y probabilidad en el contexto de esos controles. El análisis debe considerar el rango de consecuencias potenciales y como probablemente esas consecuencias pueden ocurrir. La consecuencia y la probabilidad son combinadas para producir un nivel de riesgo estimado.
d. Evaluación de riesgos: Comparar los niveles de riesgo estimados contra el criterio preestablecido. Esto permite priorizar los riesgos así como identificar las prioridades de la administración. Si los niveles de riesgo establecido son bajos, entonces los riesgos podrían caer en una categoría aceptable y podría no necesitarse un tratamiento.
e. Tratamiento de riesgos: Aceptar y monitorear los riesgos de prioridad baja. Para otros riesgos, desarrollar e implementar un plan de manejo específico dentro del cual se incluyen consideraciones de fundamento.
f. Monitorear y revisar: Monitorear y revisar el desempeño del sistema de administración y los cambios que podrían afectarlo.
g. Comunicación y consulta: Comunicación y consulta apropiada con accionistas internos y externos no solo en cada estado del proceso de administración del riesgo sino en lo concerniente a la totalidad del proceso.
Este estándar especifica los elementos del proceso de administración de riesgos, pero no tiene como propósito forzar a la uniformidad en el sistema de administración del riesgo. Es genérico e independiente de cualquier sector industrial o económico. El diseño e implementación del sistema de administración del riesgo estarán influenciados necesariamente por las necesidades de la organización, sus objetivos particulares, sus productos y servicios, y los procesos y prácticas específicas empleadas.
La terminología usada en este estándar ha sido escogida para que sea congruente, en lo posible, con un amplio rango de disciplinas de riesgos y administración de riesgos.
Este estándar para su mejor entendimiento y posterior desarrollo, provee al lector de una guía de definiciones de términos utilizados dentro de él.
2.6.5. Modelo Risk Universe (13).
Este modelo fue creado por Ernst & Young, presenta los múltiples riesgos a los que se enfrentan las entidades y que han de ser gestionados adecuadamente.
Este modelo clasifica los riesgos del negocio en 6 categorías:
1.- Entorno del Negocio: Riesgo de que factores externos e independientes de la gestión de las empresas puedan influir directa o indirectamente de manera significativa en el logro de sus objetivos y estrategias.
2.- Transacciones: Riesgo de que se produzca una pérdida o costo de oportunidad en la empresa, debido a la inadecuada estrategia de fusiones y adquisiciones de empresas y/o de inversión o desinversión de activos.
3.- Operaciones: Riesgo de que se produzca una pérdida o costo de oportunidad en la empresa debido a que las operaciones no pueden ser procesadas de forma oportuna y adecuada o bien, a ineficiencias en los procedimientos o en la asignación de los recursos.
4.- Información: Riesgo de que se produzca una pérdida o coste de oportunidad debido a una inadecuada o incorrecta utilización de la información que dispone la empresa, ya sea porque no está completa y/o porque no es oportuna.
5.- Financiero: Riesgo de que la empresa no pueda conseguir el financiamiento adecuado, y oportuno para realizar sus inversiones.
6.- Gobierno Corporativo: Riesgo de que se produzca una pérdida o un costo de oportunidad debido a una incorrecta actuación de los consejeros y directivos de la empresa, que impide la maximización del valor de la empresa a largo plazo para los grupos de interés.
De acuerdo con este modelo, del universo de riesgos se han de identificar los riesgos más relevantes para la entidad, es decir, aquellos que si ocurrieran no serían aceptables por sus grupos de interés ni por los principios del buen gobierno corporativo, y que afectarían significativamente el logro de los objetivos estratégicos.
Además las entidades se han de focalizar en los riesgos más relevantes, en el marco de un Sistema de Gestión de Riesgos integrado en el negocio y basado en la creación de valor.
2.6.6.NTP 537 Modelo Simplificado de Evaluación, Gestión Integral de Riesgo y Factor Humano (14).
Este método es desde nuestro punto de vista complementario a la Gestión de Riesgos, está enfocado en el factor más importante dentro de la entidad como lo es el recurso humano que labora dentro de ella, y que por ende será quien ayudará directamente en el cumplimiento de sus objetivos.
Teniendo en cuenta que la clave de la eficiencia dentro de una entidad está en las personas, las que constituyen su capital más valiosos es que este modelo está diseñado como un instrumento para detectar cuales son los aspectos esenciales en los que la mejora es más necesaria u oportuna. No trata de una detección exhaustiva de puntos débiles, sino de un diagnóstico de aquellos aspectos que puedan tener serias implicaciones en el éxito de la estrategia empresaria.
Para la elaboración de este modelo, se extrajo de los diferentes sistemas de Gestión de Calidad y Riesgos Laborales, aquellos aspectos comunes más relevantes sobre la importancia del factor humano en aras de la excelencia de la Gestión de Riesgos.
El aporte de este modelo es que pretende facilitar la necesaria visión global del nivel de excelencia de una organización, bajo el planteamiento de que las personas juegan un papel crucial. Esto debe ser anterior a evaluar aspectos más concretos de la gestión de riesgos y poder tomar conciencia de que, en la mayoría de las ocasiones, los objetivos plantados no se alcanzan debidamente porque la cultura de la empresa que se pretende implementar no se arraiga en un proceso de cambio, el cual siempre va ser complejo.
Esta metodología se desarrolla básicamente a través de 6 formularios de evaluación, los cuales se basan en los aspectos más relevantes del factor recurso humano.
Formularios de Evaluación:
o Formulario 1: Liderazgo y Estrategia.
o Formulario 2: Organización del trabajo.
o Formulario 3: Comunicación.
o Formulario 4: Cooperación.
o Formulario 5: Formación.
o Formulario 6: Cultura de Empresa.
Cada formulario excepto el 6, contiene las siguientes partes:
a. Aspecto que evalúa el formulario y columna con los cinco requisitos que se van a puntuar.
b. Listado de premisas cuyo cumplimiento se pretende evaluar (en total 15, tres para cada uno de los cinco requisitos del formulario), en cada uno de los 3 sistemas de gestión analizados: sistema de gestión de la calidad, sistema de gestión de la prevención de riesgos laborales y sistema de gestión del medio ambiente.
c. Espacio para la suma de resultados.
La evaluación de un aspecto determinado se realiza mediante cinco requisitos numerados que aparecen debajo del nombre del formulario respectivo. A cada uno de los 5 requisitos se le asignan 3 premisas a las que hay que responder para el ámbito de la Calidad, Seguridad y Medio Ambiente.
El formulario 6 constituye una excepción, pues la respuesta no se diferencia para cada sistema de gestión, sino que simplemente se responde de manera general y puntuando con 0, 0.5 ó 1.
Para la interpretación de los resultados, este modelo nos muestra una tabla de resultados donde se anotan los puntos obtenidos en cada uno de los cinco primeros formularios para cada uno de los 3 ámbitos estudiados, y se calculan los totales obtenidos en cada uno de ellos. Se indican también los porcentajes obtenidos respecto a la puntuación máxima.
La puntuación obtenida en el Formulario 6, en él que las respuestas se responden de manera general se anota en la última columna de la tabla.
Para mejor entendimiento de este modelo a continuación se mostrará una tabla de resultado y un modelo de evaluación.
FORMULARIO | CALIDAD | SEGURIDAD Y SALUD | MEDIO AMBIENTE | CULTURA (6) (X) | |||
(Xc) | (Xc · %/15) | (Xs) | (Xs · %/15) | (Xma) | (Xma · %/15) | ||
Liderazgo y estrategia (1) | 10,5 | 70 % | 75 | 50 % | 4 | 26,6 % | X < 5 |
Organización (2) | 12,5 | 83,3 % | 11 | 73,3 % | 10 | 66,6 % | |
Comunicación (3) | 9,5 | 63,3 % | 8,5 | 56,6 % | 5 | 33,3 % | 10≥ X≥ 5 |
Cooperación (4) | 5 | 33,3 % | 5 | 33,3 % | 3,5 | 23,3 % | |
Formación (5) | 10,5 | 70 % | 11 | 73,3% | 5,5 | 36,3 % | X > 10 |
TOTAL (Σ) | 48 | 63,9 % | 43 | 57,3 % | 28 | 37,2 % | |
Formulario 2: ORGANIZACIÓN DEL TRABAJO |
REQUISITOS | PREMISAS | SISTEMAS | ||
C (1) | PRL (2) | MA (3) | ||
1. En su empresa, existe una planificación que… | … determina claramente las acciones a realizar y contribuye a que se hagan de la mejor manera. |
|
|
|
… aclara quién y, en qué plazo se han de realizar las acciones. |
|
|
| |
… estimula mejoras a corto plazo, pero también a largo plazo. |
|
|
| |
2. En cuanto a las acciones previstas en la planificación… | … cuentan con una dotación de medios humanos y materiales adecuada. |
|
|
|
… el personal ha participado en su diseño considerándose sus sugerencias e iniciativas de mejora. |
|
|
| |
… se incluye la comunicación de los resultados. |
|
|
| |
3. En cuanto a los procesos… | … están representados en un mapa de procesos, identificándose aquellos que son clave, y se les ha asignado un responsable. |
|
|
|
… los equipos de trabajo se estructuran en base a los procesos y no a una división meramente funcional por departamentos, áreas, etc. |
|
|
| |
… se ha realizado un análisis de puestos de trabajo que considera la aportación concreta de cada persona a los resultados finales del proceso. Se incluye la movilidad de puestos de trabajo. |
|
|
| |
4. Los procedimientos… | … son coherentes con la complejidad del trabajo, los métodos empleados y las capacidades del personal implicado en el trabajo. |
|
|
|
… son aprobados, revisados periódicamente y están disponibles. |
|
|
| |
… antes de ser normalizados pasan un periodo de prueba. Se coordinan con la formación necesaria y las instrucciones orales. |
|
|
| |
5. El control de las tareas realizadas se basa en… | … la formación de los trabajadores y en el conocimiento que tienen del proceso en el que sus funciones se enmarcan. |
|
|
|
… la supervisión y el apoyo de los mandos. |
|
|
| |
… la información de cambios, resultados, etc. a cada trabajador. |
|
|
| |
TOTAL (X) | ||||
(1) Calidad / (2) Prevención de riesgos laborales / (3) Medio Ambiente
2.6.7. Modelo del Pulmón.
Los modelos de gestión se han transformado en una prioridad para las compañías, apuntando a un fortalecimiento de los sistemas de Gestión de Riesgos. El Modelo Pulmón incorpora al riesgo la gestión de calidad, como una actividad complementaria en todo el nivel de la organización, permitiendo a las compañías generar y preservar el valor, manteniendo un desarrollo sostenido del negocio en un largo plazo.
Valor, Calidad y riesgo son conceptos que se encuentran íntimamente ligados. Según el modelo de los Pulmones, la expectativa de un objetivo es la línea a partir de la cual se agrega valor o se asegura valor. El llamado "Modelo de los pulmones" (por su singular Forma) propone que ambas gestiones son complementarias, apoyándose mutuamente para maximizar el valor de la compañía. Más del 80% de las acciones de calidad involucran componentes de riesgo y viceversa.
El propósito de la gestión es evitar que los resultados de un objetivo sean menores que la expectativa y el propósito de la gestión de calidad es conseguir que los resultados de un objetivo sean iguales o mejores que las expectativas.
Sin embargo, las gestiones de riesgo y calidad implican un costo que la compañía debe asumir, por lo tanto, las acciones destinadas a asegurar o agregar valor se justifican solo si su beneficio es mayor que su costo. El análisis realizado indica que más del 90% de las acciones que aseguran valor tienen un costo muy inferior a su beneficio, mientras que en el caso de la gestión de calidad algunas de estas acciones se evalúan como proyectos que pueden o no ser realizados.
La gestión de calidad y riesgo se realiza a todo nivel y las acciones concretas, al igual que los objetivos estratégicos van descendiendo de nivel organizacional y estructural hasta llegar a los procesos o actividades propias de cada área, con el fin de maximizar los impactos positivos y minimizar los impactos negativos sobre los objetos de riesgo.
Los objetos de riesgo definidos por el modelo del pulmón son tres: personas, medio ambiente y negocio. Esto significa, aquellos que pueden verse impactados por una buena o mala gestión.
Los sujetos de riesgo, es decir, aquellos que pueden impactar positiva o negativamente a los objetos de riesgo dependiendo de una buena o mala gestión son, en general: insumos, procesos, productos y descartes.
La cultura de riesgo estaba centrada históricamente en la seguridad de las personas y en los últimos años se ha abierto a temas medio ambientales. Con el desarrollo de este modelo la visión se ha ampliado hasta incorporar variables de negocios que anteriormente se veían solo como tema de calidad y también se asocio el concepto de calidad a las personas y el medio ambiente.
Sin embargo, aunque el modelo teórico es integro e involucra a las distintas partes del negocio su implementación a requerido varios años, como consecuencia de la resistencia al cambio o el desconocimiento existente en algunos niveles de la organización.
Esta figura representa el valor de una compañía como una rueda que se encuentra sobre una rampa o pendiente, explicando en forma mas concreta la relación entre ambas gestiones: Calidad y riesgo. El objetivo propuesto es que esta rueda suba cumpliendo con las expectativas.
Las expectativas pueden ser medidas a través de indicadores de desempeño los cuales pueden ser producción, tasas de accidentabilidad, niveles de consumo energético, etc.
En la figura anterior los mínimos y máximos aceptables del indicador están representados por los asteriscos.
El valor de la compañía (rueda) caerá en la medida que se generen incidentes o no conformidad. De manera inversa el valor del la compañía accederá en la medida que se produzcan logros y mejoras.
Como ya se ha mencionado. La gestión de riesgo y calidad esta íntimamente ligada por la rueda del valor. La gestión de riesgo tiene como función servir de cuña para impedir que el valor de la compañía descienda. Esto sólo se logra, evitando se produzcan los incidentes y no conformidades, y mitigando sus impactos o perdidas. Se puede decir que esta gestión, no sólo sirve de cuña sino en cierto momento puede llegar a empujar esta rueda, permitiendo que suba por la pendiente o mejor dicho, aumente el valor.
La gestión de calidad tiene como función tirar hacia arriba la rueda, permitiendo que el valor de la compañía ascienda.
Por esto debe provocar los eventos y estados de mejora deseados y potenciar sus impactos o ganancias. Se puede decir que esta gestión no solo sirve para aumentar el valor, sino que en cierto momento pueda llegar que la rueda caiga, asegurándolo.
Si solo se realizará gestión de calidad sin implementarse gestión de riesgo, la cuerda que tira la rueda podría sostenerla por un tiempo desconocido, pero también podría llegar a cortarse con la ocurrencia de cualquier incidente, haciendo que la rueda caiga incluso aún más bajo que el indicador mínimo aceptable. De igual forma, si solamente se realizará gestión de riesgo, esta sería una cuña para sostener la rueda, pero no la haría subir la pendiente y cualquier incidente lago mayor podría hacer que la rueda aplaste la cuña y caiga. Ambas situaciones tiene como lógico resultado una baja en el valor de la compañía.
Como conclusión la gestión de riesgo y gestión de calidad no pueden ser tratadas en forma independiente o ajena al proceso de negocio. El mejor escenario corresponde al caso en que la gestión de riesgo apoye la gestión de calidad y viceversa.
Basándose en el modelo de los pulmones y la rueda del valor se resumen todas las ideas, que se dividen en dos partes principales. La primera de ella corresponde al mapa de riesgo y la segunda, al mapa de oportunidades.
2.6.8. Cartilla Guía de "Administración del Riesgo" (15)
Esta Cartilla Guía fue creada en el año 2001, por el Departamento Administrativo de la Función Pública de Colombia, y está dedicada específicamente a la Gestión de Riesgo implementada en la Administración del Estado, de acuerdo con la normativa vigente en ese país.
Tiene por objeto fortalecer aspectos relevantes de la Función de la Administración Pública, además de dar cumplimiento a los principios constitucionales de moralidad, igualdad, eficacia, economía, etc., mediante la descentralización de funciones, recordando que una de las finalidades sociales del Estado es el bienestar general y el mejoramiento de la calidad.
Pretende que los usuarios de la guía puedan identificar, analizar y manejar permanentemente los riesgos, garantizando el cumplimiento de objetivos institucionales, la supervivencia de la entidad y el fortalecimiento de la credibilidad de la misma ante la ciudadanía.
Su objetivo general es garantizar el cumplimiento de la misión y objetivos institucionales de la entidad de la administración pública a través de la prevención y administración del riesgo.
Los objetivos específicos son:
a. Brindar una herramienta que facilite a las entidades una adecuada administración del riesgo.
b. Generar una visión general acerca de la administración y evaluación de riesgos, así como del papel de la alta y media gerencia en coordinación con la Oficina de Control Interno.
c. Proteger los recursos del Estado.
d. Introducir dentro de los procesos y procedimientos la administración de riesgo.
e. Hacer participes a todos los funcionarios en la búsqueda de acciones encaminadas a prevenir los riesgos.
f. Asegurar el cumplimiento de normas, leyes y regulaciones.
Esta metodología se basa en 7 etapas:
1.- Directrices Generales:
· Compromiso de la alta Gerencia.
· Conformación de un equipo de trabajo.
2.- Valoración del Riesgo: Esta consta de 3 etapas: la identificación, el análisis y la determinación del nivel del riesgo, las cuales son de singular interés para desarrollar con éxito la administración de riesgo e implementar una política al respecto en la entidad. Para cada una de estas etapas se sugiere tener en cuenta la mayor cantidad de datos disponibles y contar con la participación de las personas que ejecutan los procesos par lograr que las acciones determinadas alcances los niveles de efectividad esperados.
3.- Manejo del Riesgo: Cualquier esfuerzo que emprendan las entidades en torno a la valoración del riesgo llega a ser en vano, si no se culmina en un adecuado manejo y control de los mismos, definiendo acciones factibles y efectivas, tales como la implantación de políticas, estándares, procedimientos y cambios físicos, que hagan parte de un plan de manejo.
Para el manejo del riesgo se puede tener en cuenta alguna de las siguientes opciones:
- Evitar el riesgo.
- Reducir el riesgo.
- Dispersar y atomizar el riesgo.
- Transferir el riesgo.
- Asumir el riesgo .
4.- Plan de Manejo de Riesgos: Para la elaboración es necesario tener en cuenta si las acciones propuestas reducen la materialización del riesgo y hacer una evaluación jurídica, técnica, institucional, financiera y económica, es decir considerar la viabilidad de su opción. La selección de las acciones más convenientes para la entidad se puede realizar con base en los siguientes factores:
a.- El nivel de riesgo.
b.- El balance entre el costo de la implementación de cada acción contra el beneficio de la misma.
5.- Elaboración del Mapa de Riesgos: Este puede ser entendido como la representación o descripción de los distintos aspectos tenidos en cuenta en la valoración de los riesgos que permite visualizar todo el proceso de la valoración del riesgo y el plan de manejo de estos.
Riesgo | Impacto | Probabilidad | Control Existente | Nivel De Riesgo | Acciones | Responsables | Cronograma | Indicadores |
|
|
|
|
|
|
|
|
|
6.- Monitoreo: Una vez diseñado y validado el plan para administrar los riesgos, es necesario monitorearlo permanentemente teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización, el monitoreo es esencial para asegurar que dichos planes permanecen vigentes y que las acciones están siendo efectivas. El monitoreo debe estar a cargo de los responsables del área y de la Oficina de Control Interno y su finalidad principal será la de aplicar los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.
7.- Autoevaluación: Se debe realizar con base en los indicadores de gestión diseñados para tal fin y los resultados de los monitoreos aplicados en diferentes períodos. Así mismo, se evaluará como ha sido el comportamiento del riesgo y si se han presentado nuevos riesgos que deban ser combatidos.
2.6.9. Análisis Funcional de Operatividad (AFO): Hazard and Operability (HAZOP) (16) Descripción:
El HAZOP es una técnica de identificación de riesgos inductiva basada en la premisa de que los riesgos, los accidentes o los problemas de operabilidad, se producen como consecuencia de una desviación de las variables de proceso con respecto a los parámetros normales de operación en un sistema dado y en una etapa determinada. Por tanto, ya se aplique en la etapa de diseño, como en la etapa de operación, la sistemática consiste en evaluar, en todas las líneas y en todos los sistemas las consecuencias de posibles desviaciones en todas las unidades de proceso, tanto si es continuo como discontinuo. La técnica consiste en analizar sistemáticamente las causas y las consecuencias de unas desviaciones de las variables de proceso, planteadas a través de unas "palabras guía".
El método surgió en 1963 en la compañía Imperial Chemical Industries, ICI, que utilizaba técnicas de análisis crítico en otras áreas. Posteriormente, se generalizó y formalizó, y actualmente es una de las herramientas más utilizadas internacionalmente en la identificación de riesgos en una instalación industrial.
La realización de un análisis HAZOP consta de las etapas que se describe a continuación.
Etapas:
1. Definición del área de estudio: Consiste en delimitar las áreas a las cuales se aplica la técnica. En una determinada instalación de proceso, considerada como el área objeto de estudio, se definirán para mayor comodidad una serie de subsistemas o líneas de proceso que corresponden a entidades funcionales propias: línea de carga a un depósito, separación de disolventes, reactores, etc.
2. Definición de los nudos: En cada uno de estos subsistemas o líneas se deberán identificar una serie de nudos o puntos claramente localizados en el proceso. Por ejemplo: depósito de almacenamiento.
Cada nudo deberá ser identificado y numerado correlativamente dentro de cada subsistema y en el sentido del proceso para mejor comprensión y comodidad. La técnica HAZOP se aplica a cada uno de estos puntos. Cada nudo vendrá caracterizado por variables de proceso: presión, temperatura, caudal, nivel, composición, viscosidad, etc.
La facilidad de utilización de esta técnica requiere reflejar en esquemas simplificados de diagramas de flujo todos los subsistemas considerados y su posición exacta.
El documento que actúa como soporte principal del método es el diagrama de flujo de proceso, o de tuberías e instrumentos.
3. Aplicación de las palabras guía: Las "palabras guía" se utilizan para indicar el concepto que representan a cada uno de los nudos definidos anteriormente que entran o salen de un elemento determinado. Se aplican tanto a acciones (reacciones, transferencias, etc.) como a parámetros específicos (presión, caudal, temperatura, etc.). La tabla de abajo presenta algunas palabras guía y su significado.
Palabra guía | Significado | Ejemplo de desviación | Ejemplo de causas originadoras |
NO | Ausencia de la variable a la cual se aplica | No hay flujo en una línea | Bloqueo; fallo de bombeo; válvula cerrada o atascada; fuga; válvula abierta; fallo de control |
MÁS | Aumento cuantitativo de una variable | Más flujo (más caudal) | Presión de descarga reducida; succión presurizada; controlador saturado; fuga; lectura errónea de instrumentos |
Más temperatura | Fuegos exteriores; bloqueo; puntos calientes; explosión en reactor; reacción descontrolada | ||
MENOS | Disminución cuantitativa de una variable | Menos caudal | Fallo de bombeo; fuga; bloqueo parcial; sedimentos en línea; falta de carga; bloqueo de válvulas |
Menos temperatura | Pérdidas de calor; vaporización; venteo bloqueado; fallo de sellado | ||
INVERSO | Analiza la inversión en el sentido de la variable. Se obtiene el efecto contrario al que se pretende | Flujo inverso | Fallo de bomba; sifón hacia atrás; inversión de bombeo; válvula antirretorno que falla o está insertada en la tubería de forma incorrecta |
ADEMÁS DE | Aumento cualitativo. Se obtiene algo más que las intenciones del diseño | Impurezas o una fase extraordinaria | Entrada de contaminantes del exterior como aire, agua o aceites; productos de corrosión; fallo de aislamiento; presencia de materiales por fugas interiores; fallos de la puesta en marcha |
4. Definición de las desviaciones a estudiar: Para cada nudo se plantea de forma sistemática todas las desviaciones que implican la aplicación de cada palabra guía a una determinada variable o actividad. Para realizar un análisis exhaustivo, se deben aplicar todas las combinaciones posibles entre palabra guía y variable de proceso, descartándose durante la sesión las desviaciones que no tengan sentido para un nudo determinado.
Paralelamente a las desviaciones se deben indicar las causas posibles de estas desviaciones y posteriormente las consecuencias.
En la tabla anterior se presentan algunos ejemplos de aplicación de palabras guía, las desviaciones que originan y sus causas posibles.
5. Sesiones HAZOP: Las sesiones HAZOP tienen como objetivo la realización sistemática del proceso descrito anteriormente, analizando las desviaciones en todas las líneas o nudos seleccionados a partir de las palabras guía aplicadas a determinadas variables o procesos. Se determinan las posibles causas, las posibles consecuencias, las respuestas que se proponen, así como las acciones a tomar.
En el caso de procesos discontinuos, el método HAZOP sufre alguna modificación, tanto en su análisis como en la presentación de los datos finales.
6. Informe final: El informe final consta de los siguientes documentos:
o Esquemas simplificados con la situación y numeración de los nudos de cada subsistema.
o Formatos de recogida de las sesiones con indicación de las fechas de realización y composición del equipo de trabajo.
o Análisis de los resultados obtenidos. Se puede llevar a cabo una clasificación cualitativa de las consecuencias identificadas.
o Listado de las medidas a tomar. Constituye una lista preliminar que debería ser debidamente estudiada en función de otros criterios (coste, otras soluciones técnicas, consecuencias en la instalación, etc.) y cuando se disponga de más elementos de decisión.
o Lista de los sucesos iniciadores identificados.
7. Ámbito de aplicación: La mayor utilidad del método se realiza en instalaciones de proceso de relativa complejidad o en áreas de almacenamiento con equipos de regulación o diversidad de tipos de trasiego. Es uno de los métodos más utilizados que depende en gran medida de la habilidad y experiencia de los miembros del equipo de trabajo para identificar todos los riesgos posibles.
En plantas nuevas o en fase de diseño, puede ayudar en gran medida a resolver problemas no detectados inicialmente. Además, las modificaciones que puedan surgir como consecuencia del estudio pueden ser más fácilmente incorporadas al diseño. Por otra parte, también puede aplicarse en la fase de operación y en particular ante posibles modificaciones.
8. Recursos necesarios: El grupo de trabajo estable estará constituido por un mínimo de cuatro personas y por un máximo de siete. Podrá invitarse a asistir a determinadas sesiones a otros especialistas.
Se designará a un Coordinador/Director del grupo, experto en HAZOP, y que podrá ser el técnico de seguridad, y no necesariamente una persona vinculada al proceso. Aunque no es imprescindible que lo conozca en profundidad, si debe estar familiarizado con la ingeniería de proceso en general.
Ventajas e inconvenientes del método: El método, principalmente cubre los objetivos para los que se ha diseñado, y además:
· Es una buena ocasión para contrastar distintos puntos de vista de una instalación.
· Es una técnica sistemática que puede crear, desde el punto de vista de la seguridad, hábitos metodológicos útiles.
· El coordinador mejora su conocimiento del proceso.
· No requiere prácticamente recursos adicionales, con excepción del tiempo de dedicación.
Los principales inconvenientes, pueden ser:
· Al ser una técnica cualitativa, aunque sistemática, no hay una valoración real de la frecuencia de las causas que producen una determinada consecuencia, ni tampoco el alcance de la misma.
· Las modificaciones que haya que realizar en una determinada instalación como consecuencia de un HAZOP, deben analizarse con mayor detalle además de otros criterios, como los económicos.
· Los resultados que se obtienen dependen en gran medida de la calidad y capacidad de los miembros del equipo de trabajo.
2.7. Selección del Modelo de Gestión de Riesgos.
Después de realizar una identificación y evaluación de los diversos métodos existentes, para organizar la implementación de las funciones básicas que deben llevarse a cabo para una Gestión de Riesgos, la siguiente tabla nos muestra en resumen los métodos que se revisaron:
MéTODO | SOFTWARE | GENERALES | ESPECIFICOS |
Magerit 2.0 | * |
|
|
ORM | * |
|
|
GIRO | * |
|
|
AUSTRALIANO/ NEOZELANDES |
| * |
|
GUIA CARTILLA COLOMBIANA |
|
| * |
METODO DEL PULMON |
|
| * |
RISK UNIVERSE |
| * |
|
NTP 537 |
|
| * |
HAZOP |
|
| * |
En primer lugar se observa metodología del tipo Software, la cual al tratar de implementarla nos significaría un costo alto al adquirir estos programas (precio fluctúa entre los 800 y 1.000 dólares), también habría que invertir en la parte informática de la empresa y en la capacitación del personal para interiorizarse de cómo funciona y cuales son sus aplicaciones de más importancia. Además este tipo de método están enfocados a los riesgos del tipo TI (tecnología información), por lo que sería mejor implementarlos en entidades como lo es el Servicio de Impuestos Internos quién trabaja con gran información del tipo tecnológica informática, en sus procesos de Rentas, Pago de Contribuciones en línea, etc.
Con respecto al Método Risk Universe creado por la Empresa Ernst & Young, podemos señalar que abarca una gran cantidad de riesgos con respecto al negocio, pero su gran limitación es que existe muy poca información sobre él, como para poder implementarlo en alguna entidad.
Con respecto al Modelo del Pulmón, nos parece muy interesante la complementación que realiza de la Gestión de Calidad y la Gestión de Riesgos, y estamos de acuerdo que van de la mano pero desde el punto de vista que la Entidad en la cual se realizará la implementación requiere de entregar un servicio de alta calidad, nos parece que en este aspecto la Dirección de Vialidad esta apuntando hacia la certificación de sus procesos.
Por lo que nuestra metodología escogida sería el Método Estándar Australiano Neozelandés, el cual nos parece de mejor entendimiento y más fácil implementación ya que es aplicable a una actividad, una etapa de un proceso, etc. También este puede aplicarse en todos los niveles de una organización ya sea estratégico u operacional.
CAPITULO III: AUDITORÍA INTERNA Y CONTROL INTERNO DENTRO DE LA GESTIÓN DE RIESGOS.
En este capítulo conoceremos los términos de auditoria, su significado algunos antecedentes históricos y como es la función de la Auditoria Interna dentro de la Gestión de Riesgos, además conceptos generales de los gobiernos corporativos, las diversas definiciones del Control Interno como el C.O.S.O. I y II.
3.1 Generalidades.
3.1.1. Nacimiento del Concepto de Auditoría (17).
Auditoría viene del inglés "to audit", que significa verificar, inspeccionar, a su vez el término inglés "audit." encuentra su origen al igual que la palabra española audiencia, en las voces latinas "audire"=oír y "auditio"=acto de oír.
La acepción o significado del término auditoría ha experimentado notables cambios con el transcurso del tiempo, para terminar siendo una de las palabras de acepción más compleja de la moderna economía y administración. El termino auditoría significa inspeccionar, revisar, verificar e investigar.
3.1.2. Antecedentes Históricos de Auditoría.
Las auditorías han existido aproximadamente desde el siglo XV. El origen exacto de las auditorías de informes financieros es objeto de controversia, pero se sabe que hacia el siglo XV, algunas familias pudientes establecidas en Inglaterra recurrían a los servicios de auditores para asegurarse de que no había fraude en las cuentas que eran manejadas por los administrados de sus bienes. Sin embargo, la auditoría en su acepción más restringida o verdadera auditoría, consiste en la comprobación de la veracidad de la verdadera auditoría, en la comprobación de la veracidad de la información contable facilitada por sociedades generalmente privadas y de naturaleza mercantil, no nace en Europa hasta después de la revolución industrial, ya en pleno siglo XIX, aunque con un desarrollo muy desigual en unos y otros países.
Fue entonces cuando, como consecuencia del desarrollo extraordinario de la sociedad anónima como forma jurídica de empresa, surgió la necesidad de que la información contable facilitada a los accionistas y a los acreedores respondiera realmente a la situación patrimonial y económica – financiero de la empresa.
La auditoría como profesión fue reconocida en Gran Bretaña por la Ley de Sociedades de 1862, en la que se establecía la conveniencia de que las empresas llevaran un sistema metódico y normalizado de contabilidad y la necesidad de efectuar une revisión independiente de sus cuentas.
En 1879 se le impuso en Gran Bretaña a las entidades bancarias la obligación de someter las cuentas anuales al juicio de un auditor independiente.
En 1880 la Reina Victoria les confirió a los auditores de Inglaterra y Gales el derecho a llamarse Chartered Accountants.
Desde 1862 hasta 1900, la profesión de auditor se desarrollo extraordinariamente en Inglaterra y se introdujo en los Estados Unidos de América hacia 1900. Antes de esa fecha, muchos contadores públicos o auditores titulados ingleses y escoceses se habían ido ya a los Estados Unidos para prestar asistencia técnica a los inversionistas británicos, en aquella era de rápida industrialización en Norteamérica.
En Francia, la ley de 24 de julio de 1867, que durante un siglo ha sido considerada la carta constitucional básica del derecho de sociedades, regula la figura de comisaría de cuentas, cuya misión es presentar a la Junta General de la Sociedad un informe sobre las cuentas anuales de la misma preparadas por los administradores.
El Código de Comercio Italiano de 1882 supuso un importante paso adelante en el camino del control de las sociedades mercantiles por auditores independientes. Sin embargo, la historia de la auditoría en Italia, a diferencia de Alemania, en donde la auditoría se introduce tardíamente, se remonta a la época de las ciudades-estado, y en 1851 se fundó en Venecia la que fue, probablemente, la primera asociación de auditores.
En esta época, segunda mitad del siglo XIX, los objetivos de la auditoria eran fundamentalmente dos:
• La detección y prevención de fraudes.
• La detección y prevención de errores.
Hasta comienzos del siglo XX, el trabajo de los auditores se concentraba principalmente en el balance que los empresarios tenían que presentar a sus banqueros en el momento que decidieran solicitar un préstamo. Por aquella época la cuenta de pérdidas y ganancias era vista como un documento confidencial del que los terceros no podían disponer.
Fue a partir de 1900 cuando a la auditoría o contaduría pública, como se le llamaba en los Estados Unidos de América, se le asignó el objetivo de analizar la rectitud de los estados financieros. Después de esa fecha la función del auditor como detective fue quedando atrás, y el objetivo principal del trabajo del auditor paso hacer la determinación de la rectitud o razonabilidad con la que los estados financieros reflejan la situación patrimonial y financiera de la compañía, así como el resultado de sus operaciones.
3.2. Concepto de Auditoría Interna(18).
La Auditoría Interna está encargada de examinar todo tipo de operaciones realizadas por un ente, lo que la hace diferente de la auditoría de estados financieros, ya que está última centra su interés en lo que se relaciona con la información expuesta por los estados financieros relativa a la situación financiera y los resultados económicos del periodo auditado. En cambio, la Auditoría Interna ejecuta sus actividades de examen con el propósito de formular juicios técnicos sobre la calidad y confiabilidad de la información y los sistemas de información general; acerca de la validez, vigencia y adhesión a las políticas, normas y procedimientos generales y particulares aplicados en cada una de las áreas y unidades de la entidad; y sobre la vigencia y efectividad de los controles directos incorporados en las operaciones.
Otra de las finalidades de la Auditoría Interna es evaluar el desempeño en las tareas que les han sido encomendadas a los miembros componentes del equipo humano de la organización.
Es decir, verificar si las personas se desempeñan con sujeción a las políticas y normas preestablecidas, si las tareas se desarrollan de acuerdo con los procedimientos definidos y si están permitiendo avanzar adecuadamente hacia el cumplimiento de las metas y logro de los objetivos para los cuales fueron establecidos.
Igualmente, la Auditoría Interna cumple con proporcionar a la dirección superior del ente, información independiente y objetiva, diferente de aquella que fluye por los conductos regulares de comunicación establecidos por la organización.
Finalmente, la Auditoría Interna debe asegurar la eficiencia en el desempeño de las responsabilidades asignadas a los miembros de la organización, por cuanto, a través del examen critico de las actuaciones, tiene que estar en condiciones de detectar las debilidades, desviaciones y fallas potenciales o existentes y proponer las medidas correctivas que correspondan.
El ámbito de acción de la Auditoría Interna deberá comprender a la organización como un todo y, en particular, cada una de las unidades componentes. Sin dejar de lado la interacción de la organización con su entorno o medio ambiente.
El alcance de la Auditoría Interna debe comprender necesariamente el examen y la evaluación de la adecuación y efectividad del sistema de control interno de la organización, la evaluación de la eficiencia y eficacia del sistema de información administrativo, y la evaluación de la calidad del desempeño de los miembros en el cumplimiento de sus responsabilidades.
Al final del trabajo de auditoría, el auditor deberá emitir un informe en el que exprese su opinión técnica fundada respecto de la calidad con que se esta administrando la organización o una área especifica de ella.
Se ha definido a la Auditoría Interna, dependiendo del alcance del trabajo y campo de acción cubierto, como:
• Una función asesora del nivel ejecutivo máximo en la administración eficiente de las operaciones realizadas por la organización.
• Una función encargada de verificar el funcionamiento efectivo y adecuado del sistema de control interno, pasando a constituirse en control indirecto o control de controles.
• Una función de evaluación de la gestión de una organización y del desempeño de cada una de sus unidades.
• Una función de evaluación de los resultados obtenidos, medidos en función de los recursos de todo tipo empleados, las metas y objetivos prefijados.
Según Ruben O. Rusenas, "La Auditoría Interna es una función de alta y gran jerarquía, que requiere profesionales especializados, inteligentes, capaces e íntegros.
L. B Sawyer, "La Auditoría Interna es la evaluación independiente de las diversas operaciones y sistemas de control dentro de una organización, a fin de determinar si las políticas y procedimientos establecidos son aplicados, los estándares fijados son alcanzados, los recursos son utilizados eficiente y económicamente, los planes trazados son realizados de manera eficiente y si los objetivos de la organización se están realizando".
3.3. La Auditoría Interna como actividad independiente y objetiva(19).
Los auditores internos deben ser ajenos a las actividades que auditan.
Los auditores alcanzan su independencia cuando pueden llevar a cabo su trabajo con libertad, objetividad, apego a las normas, estándares internacionalmente aceptados y que rigen la actividad del profesional auditor interno. La independencia nos permite rendir juicios imparciales, hecho esencial para una apropiada conducta de los mismos auditores. La independencia se logra a través de un adecuado posicionamiento en la organización de la empresa y su objetividad. La posición organizacional de la Auditoría Interna debe ser relevante para asegurar acciones efectivas sobre los hallazgos y recomendaciones de auditoría.
La objetividad requiere que los auditores internos tengan una actitud de independencia mental y una honesta confianza sobre el resultado de su trabajo. El establecer procedimientos, diseñar, instalar y operar sistemas no son funciones de auditoria; el llevar a cabo tales actividades presume perder la objetividad e independencia del auditor.
Ø ACTIVIDAD DE ASEGURAMIENTO: Es el examen objetivo de evidencias con la finalidad de realizar una evaluación independiente de los procesos de Gestión de Riesgos, Control y Gobierno de la Organización.
Ø ACTIVIDAD DE CONSULTORÍA: Actividades de asesoramiento y servicios relacionados, de naturaleza y alcances diversos, previamente acordados y dirigidos a añadir valor y a mejorar los procesos de Gobierno y Gestión de Riesgos.
Ø AGREGAR VALOR: La Auditoría Interna debe tener la capacidad de aportar comentarios que permitan a nuestras organizaciones ganar en productividad, mejorar procesos, disminuir costos, mejorar los servicios para tener clientes satisfechos y aumentar la relación riesgo-entorno.
3.4. ¿Qué no debe esperarse de una Auditoría Interna?
Un Departamento de Auditoría Interna no debería ser reconocido por las características que, a título informativo y sin carácter taxativo, se enumeran a continuación:
a) Convertirse en un lugar de retiro o de estacionamiento de Directivos en desgracia u obsoletos y, en general, de personal con el que no se sabe bien que hacer.
b) Desarrollar una mentalidad "policíaca", inquisitiva, pretendiendo sorprender en fallos o deficiencias al personal de la empresa.
c) Ser una agrupación de "delatores" que trasmiten a la Dirección sospechas, impresiones sin consistencia real o puramente subjetivas, o denuncias recibidas de otros departamentos o personas.
d) Ser un depósito de la empresa, al cual se requiera para echar mano de su personal cada vez que aparezca un incendio a apagar en la empresa.
e) Convertirse en un simple auxiliar de la Auditoría Externa o un enemigo permanente de la misma o de otros Departamentos de la organización.
f) Devenir en un departamento sin categoría ni prestigio en la empresa, que se dedique a tareas rutinarias e intrascendentes de control e inspección.
3.5. La Auditoría como técnica de análisis y supervisión de riesgos.
La empresa moderna tiene dentro de sus principales intereses el enfrentamiento de manera activa a los riesgos que afectan su estabilidad y seguridad integral. De esta manera es importante la búsqueda de alternativas que permitan el tratamiento de estos riesgos de manera conciente y razonada, de aquí que una de las técnicas más utilizadas hoy en gran parte del mundo, es el desarrollado por la Administración ó Gerencia de riesgos, que es caracterizada por muchos como una técnica gerencial, que posibilita de manera integral detectar, evaluar y manejar los riesgos de pérdida a los que se enfrenta la empresa moderna.
Para cumplir ese objetivo el analista de riesgo despliega acciones propias de la dirección y gestión de empresa con la especificidad de las ciencias y técnicas aplicables a los riesgos y las herramientas para su gestión. Como parte fundamental de esa labor directiva debe procurar la máxima coordinación con todas las áreas operativas de la empresa en la circulación fluida que tenga relación con los riesgos.
Una de las actuaciones de análisis y supervisión de riesgos más efectiva está constituida por la realización de Auditorías, herramientas fundamentales para la comprobación del cumplimiento de los planes de seguridad y base de la mejora permanente de los mismos.
La auditoría es una herramienta fundamental en el tratamiento de los riesgos, ya que es una función independiente ubicada dentro del organigrama empresarial, con la finalidad de verificar si las actividades se están realizando de acuerdo con las normas y procedimientos establecidos por los niveles de dirección y si responden a los mejores métodos de operación y control.
La auditoría tiene el objetivo de ayudar a los miembros de la organización en el desempeño efectivo de sus responsabilidades; cuando este objetivo se logra, es porque la auditoría ha proporcionado análisis, evaluaciones, recomendaciones, asesoría e información respecto a las actividades que se han auditado (serían los posibles riesgos detectados dentro de cada área que componga la empresa).
Los objetivos fundamentales de la auditoría son:
· Mantenimiento de un sistema de control interno efectivo.
· Cumplimiento de las normas y procedimientos establecidos para el logro de los objetivos de la empresa.
· Identificación de las áreas donde ocurren desviaciones y posibles riesgos.
3.6. Normas de Auditoría según Instituto de Auditores Internos(20).
Las normas de auditoría establecen los lineamientos básicos que el profesional debe seguir en el cumplimiento de su labor (y en esto no hay legislación alguna que sustituya las normas).
Como el objeto de éstas normas es el ejercicio de una actividad profesional, no cabe otra alternativa que esa misma profesión dicte su contenido.
Las normas que rigen son emanadas del Instituto Internacional de Auditoría y se refieren a:
· La condición básica para el ejercicio de la auditoría que es la independencia del auditor en relación al objeto de la auditoría.
· Las características necesarias en cuanto a capacidad profesional, tanto de la Unidad de Auditoría Interna como del propio auditor interno.
· Las normas para el desarrollo de la auditoría que incluyen los contenidos básicos referidos a las características propias de la ejecución de la labor, la documentación y las técnicas a emplear.
· Las normas sobre la administración del Departamento de Auditoría Interna.
Normas del Instituto de Auditores Internos:
* NORMAS SOBRE ATRIBUTOS
1. Propósito, Autoridad y Responsabilidad
• Independencia y Objetividad
• Independencia de la Organización
• Objetividad Individual
• Impedimentos a la Independencia u Objetividad
| Página siguiente |