Auditoría de riesgos eficaz para la gestión gubernamental óptima de los ceticos

Resumen

El problema tratado en la investigación efectuada fue de determinar la forma en que la Auditoría de Riesgos Eficaz facilita la Gestión Gubernamental Optima de los Centros de Exportación, Transformación, Industrias, Comercio y Servicios Generales (CETICOS). Por ello su objetivo fue de demostrar cómo la Auditoría de Riesgos Eficaz facilita la Gestión Gubernamental Optima de los Centros de Exportación, Transformación, Industrias, Comercio y Servicios Generales (CETICOS).

Para resolver el problema con el Objetivo señalado se diseñó la Hipótesis de que la Auditoría de Riesgos Eficaz facilita la Gestión Gubernamental Optima de los Centros de Exportación, Transformación, Industrias, Comercio y Servicios Generales (CETICOS).

Con fines de contrastar la Hipótesis se llevó a cabo un estudio experimental en donde el diseño seleccionado fue de pos prueba únicamente y grupo de control.

En concordancia con el Objetivo, el resultado de la investigación concluyó en que La Auditoría de Riesgos Eficaz ha facilitado la Gestión gubernamental Óptima del Ceticos Paita.

En tal sentido la investigación recomienda Para la Gestión Gubernamental Optima en los Centros de Exportación, Transformación, Industrias, Comercio y Servicios Generales (CETICOS), que La Auditoría de Riesgos Eficaz debe de ser aplicada de manera preventiva y posterior y programada en los Planes Anuales de los Órganos de Control Institucional y estar sujeta a evaluación permanente por el Sistema Nacional de Control de nuestro País. Así mismo los Informes de Auditoría deben de contener datos estadísticos e históricos de los controles evaluados para establecer las comparaciones pertinentes y medir las metas alcanzadas con las propuestas.

ABSTRAC

The problem addressed in the investigation carried out was to try to determine how the Audit Effective Risk Management provides Optima Government Centers of Export, Transformation, Industry, Commerce and General Services (CETICOS). So his goal was to demonstrate how easy Effective Audit Risk Management Optima Government Centers of Export, Transformation, Industry, Commerce and General Services (CETICOS).

To resolve the problem with the stated objective was designed Assumption that Risk Audit Effective Government Management facilitates Optima Centers of Export, Transformation, Industry, Commerce and General Services (CETICOS).

For the purpose of confirming the scenario was carried out an experimental study where the design was selected and post-test only control group.

Consistent with the objective, the outcome of the investigation concluded that the Audit Effective Risk Management has provided the government Optimal Ceticos Paita.

In this sense, the study recommends Optima for Governmental Management at the Centers of Export, Transformation, Industry, Commerce and General Services (CETICOS), which Effective Risk Audit must be applied preventively and later and scheduled the Annual Plans of Institutional Control Bodies and subject to ongoing evaluation by the National Control System of our country.. Also Audit Reports must contain statistical data and historical controls evaluated to establish the relevant comparisons to measure the goals achieved with the proposals.

Introducción

La Investigación titulada Auditoría de Riesgos Eficaz para la Gestión Gubernamental Óptima de los Centros de Exportación, Transformación, Industria, Comercio y Servicios Generales (CETICOS), cuyo objetivo es: "Determinar si la Auditoría de Riesgos eficaz facilita la Gestión Gubernamental Optima del Ceticos Paita".

La Auditoría de Riesgos se constituye en una herramienta que genera valor y mejora continua a las Organizaciones Actuales, sean estas públicas y privadas alertan a los Ejecutivos, Gerentes y Directores de posibles riesgos financieros, tecnológicos, operacionales, económicos, sociales, industriales, ambientales, entre otros que pudieran poner en peligro la continuidad del negocio, con la finalidad de que los actores organizacionales instauren los planes de tratamiento de riesgos sugeridos por la Auditoría de Riesgos, y de esta manera Mejorar la Gestión Gubernamental y Organizacional de las empresas.

Para el desarrollo de este trabajo se ha aplicado la metodología, las técnicas e instrumentos necesarios para una adecuada investigación, en el marco de las normas de la Escuela de Post Grado de nuestra Universidad Nacional Federico Villarreal.

Para llegar a contrastar los objetivos y las hipótesis planteadas, se ha desarrollado el trabajo de investigación en los siguientes capítulos:

En el Capítulo I se expone el Planteamiento del Problema que abarca: Antecedentes, Planteamiento del Problema, Objetivos, Justificación, Alcances y Limitaciones, Definición y Variables.

En el Capítulo II se muestra el Marco Teórico que comprende: Teorías Generales relacionadas con el Tema, Bases Teóricas especializadas sobre el tema, Marco Conceptual y finalmente la Hipótesis.

En el Capítulo III se expone el Método que abarca: Tipo, Diseño de Investigación, Estrategia de Prueba de Hipótesis, Variables, Población Muestra, Técnicas de Investigación, Instrumentos de recolección de Datos y Procesamiento y Análisis de Datos.

En el Capítulo IV Se puntualiza En el Análisis de Resultados enfatizando en la Contrastación de Hipótesis, Análisis e Interpretación.

En el Capítulo V se enfatiza en la Discusión de los resultados para finalmente arribar a las Conclusiones y Recomendaciones de la Investigación.

Finalmente se presenta la bibliografía y los Anexos del trabajo de investigación.

CAPÍTULO I:

Planteamiento del problema

Antecedentes

Se ha determinado la existencia de los siguientes antecedentes bibliográficos:

Libro: "Introducción al Análisis de Riesgos" (2002), presentado por: Jesús G Martínez Ponce de León. "En este trabajo el autor propone una metodología de análisis de riesgos indispensable para Ejecutivos y Auditores con la finalidad de mitigar y monitorear los riesgos medio ambientales, de higiene y de seguridad industrial, así como las actividades de manejo de presupuestos, inventario, mantenimiento, administración de energía y gestión de la seguridad, e igualmente con otras ramas del conocimiento entre las que se incluyen las sociales y económicas". Desde mi perspectiva: "Me parece muy interesante la existencia de una auditoria de riesgos que le permita al Auditor y Ejecutivo conocer, evaluar y mitigar los posibles riesgos sociales ambientales y financieros que ponen en peligro la continuidad del negocio".

Tesis: "Incidencia de los riesgos profesionales en la productividad de empresas afiliadas a una administradora de riesgos profesionales, sectores económico, químico y metalmecánico", presentado por: Ana Patricia Pérez Carrero el 2 de Junio del 2005 para optar por el Grado de Magister en Ingeniería Industrial Área Dirección y Gestión Organizacional, en la Universidad de los Andes Santa Fe de Bogotá Colombia. "En este trabajo la autora dio a conocer de manera más tangible la importancia que tiene la prevención de los riesgos profesionales para aumentar o por lo menos conservar el nivel de productividad de una empresa. De esta manera, su objetivo general era de observar y dar a conocer la incidencia de los Riesgos Profesionales (accidente de trabajo y enfermedad profesional- ATEP) en la productividad de empresas afiliadas a una Administradora de Riesgos Profesionales – ARP a través de una metodología que permita la recolección y análisis de los datos pertinentes al estudio". Coincido rotundamente con el Autor: "Hoy en día es de vital importancia que los auditores expertos en aspectos de seguridad y salud en el trabajo alerten a los ejecutivos y a la misma colectividad de los daños y perjuicios que podrían causar los despidos arbitrarios, los accidentes laborales, las enfermedades que sufran los colaboradores o los posibles daños colaterales que puedan causar las empresas industriales a la colectividad y medio ambiente".

Tesis: "Control de riesgos financieros mediante Asset Liability Management (ALM) aplicado a la Industria de Seguros", presentado por: Martha Fernández Flores Torres el 21 de Junio del 2005 para optar por el Grado de Magister en Ingeniería Industrial Área Dirección y Gestión Organizacional, en la Universidad de los Andes Santa Fe de Bogotá Colombia. "En este trabajo se propone un modelo analítico basado en la aplicación de Asset Liability Management para controlar tanto los riesgos financieros, como los inherentes a la actividad, de la industria de seguros. La metodología propuesta se basa en un modelo de programación estocástica dinámica multietapa el cual tiene como datos de entrada, los resultados de los modelajes de las series financieras implicadas, los cuales se desarrollaron mediante la aplicación de la teoría del cálculo de momentos y comomentos de Movimientos Brownianos Geométricos, y la generación de un árbol de escenarios utilizando Split variables. La metodología incluye la consideración del Valor en Riesgo (VaR) y el Valor Condicional en Riesgo (CVaR) como una medida del riesgo que afronta la organización y para la construcción de una frontera eficiente que le permita a ésta determinar qué tan asertiva está siendo al decidir qué nivel de riesgo está dispuesta a asumir". Efectivamente la reflexión que yo también añadiría a esta investigación es que no todas las empresas actuales dentro de sus planes estratégicos están considerando el apetito del riesgo, es decir el riesgo que están dispuestos a asumir como empresa para la consecución de sus objetivos misionales y es allí en donde los auditores y consultores con conocimientos en gestión integral de riesgos deberían de enfatizar en este aspecto, el cual es fundamental para la organización"

1.2 Planteamiento del problema

El problema más resaltante en los Ceticos radica en la inadecuada gestión gubernamental, es decir los Centros de Exportación, Transformación, Industria, Comercio y Servicios Generales no cuentan con eficientes sistemas de control interno, de gestión de ambiental e industrial y de seguridad de la información que les permitan arribar a la consecución de sus objetivos misionales y al mismo tiempo proteger sus recursos y activos de información.

El problema radica en mejorar la gestión gubernamental de los CETICOS. En este sentido, he seleccionado como unidad de análisis a CETICOS PAITA en donde aplicaré una Auditoria de Riesgos, con la finalidad de apoyar a la empresa a incrementar la competitividad de sus sistemas de control interno, de seguridad industrial, de seguridad ambiental y de seguridad de la información, y de esta manera mejorar su gestión gubernamental.

1.2.1Descripción

1.2.1.1 Síntomas

Los Controles Internos no garantizan una seguridad razonable del cumplimiento de metas y objetivos organizacionales, las evaluaciones realizadas durante el ejercicio 2008 arrojaron las siguientes debilidades de control interno entre las más importantes destacan:

La Gerencia no ha instaurado un sistema de control interno que ayude a mejorar la gestión gubernamental del negocio.

El personal de Operaciones de la entidad no se encontraba capacitado en temas de comercio exterior.

El Sistema de Gestión de Ceticos no colmaba las expectativas de los usuarios de operaciones, las transacciones más importantes como a) El control de ingreso y salida de contenedores, b) El monitoreo de usuarios importadores, c) El análisis de los empleos Indirectos y d) Control de reexpediciones con destino a Ecuador no se encontraban instauradas en dicho sistema, tales controles eran administrados de manera manual y en hojas de cálculo Excel, el sistema no se encontraba alineado a las expectativas del negocio el cual radica en el control de ingreso y salida de mercancías.

No se cuenta con sistemas de gestión ambiental y de seguridad industrial para monitorear y generar acciones de mejora contra la seguridad e integridad de los trabajadores, así como de preservar el medio ambiente dentro del cual labora la empresa. Es así que durante el ejercicio 2008 se evidenciaron las siguientes debilidades, entre las más importantes destacan:

El Personal que labora en las instalaciones de las Bombas de Agua dulce y Aguas Hervidas no cuenta con el siguiente equipo de protección personal para llevar a cabo el mantenimiento de los equipos como: Mameluco, Guantes de Algodón y Borceguíes. Su integridad física se encuentra expuesta a agentes tóxicos y contaminantes que atentan contra su vida.

De las dos garitas contra incendios que se encuentran instaladas en las Oficinas administrativas y en el directorio del Ceticos Paita, una se encuentra habilitada al 100% para contrarrestar un siniestro. La Otra se encuentra completamente sellada e inoperativa.

Los usuarios del Ceticos Paita no están llevando un adecuado control de los desechos y desperdicios, los mismos que se encuentran desparramados y mal administrados dentro de su jurisdicción.

No se cuentan con políticas para monitorear y proteger los activos de información y recursos informáticos que son de propiedad del gobierno central. Es así que durante el ejercicio 2008 se evidenciaron las siguientes debilidades, entre las más importantes destacan:

Se evidenció que algunas licencias de software instauradas en las PCS de los Usuarios no eran legales.

El Sistema de Gestión de Ceticos Paita carecía de documentación sustentatoria que evidencie el trabajo de diseño, implementación y de mejora continua, de tal sistema integrado de gestión.

Se evidenció que la entidad no contaba con planes de contingencia informática, de continuidad de negocio, de seguridad de la información, ni mucho menos poseía un plan estratégico y operativo de tecnologías de información y comunicaciones alineado al plan estratégico del negocio.

Los usuarios no contaban con políticas para el adecuado manejo de los recursos informáticos y activos de información, es así que usaban el Messenger como una herramienta de distracción mas no como una herramienta informática para agilizar sus operaciones. Entendiéndose que con políticas instauradas el uso de las tecnologías debe de ser única y exclusivamente para labores del negocio.

1.2.1.2 Causas

La entidad carece de un sólido sistema de control interno que le permita monitorear el desempeño de la Gestión Gubernamental en su conjunto.

La entidad carece de eficientes y adecuados sistemas de seguridad ambiental e industrial, que le permita detectar errores en materia de accidentes laborales y atentados contra el medio ambiente.

La entidad carece de sistemas de seguridad de la información óptimos para monitorear y proteger los activos de información del negocio.

1.2.1.3 Pronósticos

La entidad a futuro tendrá una serie de sanciones e infracciones de parte de organismos reguladores y fiscalizadores.

La entidad no podrá cumplir a futuro con la Misión del Negocio la cual es la es generar polos de desarrollo a través del incremento de la mano de obra directa e indirecta, los niveles de consumo en las zonas de influencia, el nivel de exportaciones en general y la consolidación del desarrollo socio económico regional.

Fuga de inversionistas y de usuarios a Futuro al ser Ceticos Paita una entidad llena de demandas y procesos judiciales que no dan confianza a los inversionistas nacionales y extranjeros.

1.2.1.4 Control de Pronósticos

Las acciones por las cuales es posible anticiparse y controlar las situaciones identificadas son las siguientes:

Aplicar Auditorias de Riesgos en Céticos Paita, cuyas recomendaciones tengan como finalidad la de controlar y mejorar su gestión gubernamental.

1.2.1.5 Formulación del Problema

PROBLEMA GENERAL

• 1. ¿De qué manera la Auditoría de Riesgos eficaz facilita la Gestión Gubernamental Óptima del Ceticos Paita?

PROBLEMAS ESPECÍFICOS

• 1. ¿De qué modo el Ceticos Paita ha implementado y medido el nivel de efectividad, riesgo y madurez del sistema de control interno organizacional bajo el enfoque de gestión integral de riesgos?.

• 2. ¿De qué modo el Ceticos ha implementado y medido el nivel de efectividad, riesgo y madurez del sistema de gestión de seguridad de la Información?

3. ¿De qué modo Ceticos Paita ha atendido las recomendaciones formuladas por el Órgano de Control Interno, con respecto a las evaluaciones efectuadas a las actividades de almacenes, industrias, talleres, sistema de control interno y aspectos de seguridad de la información, durante los ejercicios 2007, 2008, 2009, 2010 y 2011?

1.3 Objetivos

1.3.1 Objetivo General

Determinar si la Auditoría de Riesgos eficaz facilita la Gestión Gubernamental Optima del Ceticos Paita.

1.3.2 Objetivos Específicos

Evaluar el nivel de efectividad, implementación, riesgo y madurez del sistema de control interno de la entidad bajo el enfoque de gestión integral de riesgos.

Evaluar el nivel de efectividad, implementación, riesgo y madurez del sistema de gestión de seguridad de la información bajo el enfoque de gestión integral de riesgos.

Determinar el Estado Situacional de las Recomendaciones formuladas por el Órgano de Control Interno, con respecto a las evaluaciones efectuadas a las actividades de almacenes, industrias, talleres y aspectos de seguridad de la información, durante los ejercicios 2007, 2008, 2009, 2010 y 2011.

1.4 Justificación

1.4.1 Justificación Metodológica

Este trabajo se desarrollará mediante la aplicación del método científico. El mismo que tiene su base en la identificación de la problemática, en la formulación de soluciones; identificación de los propósitos; así como en la aplicación de una metodología adecuada.

Este trabajo, se enfocará en explicar la metodología científica que utilizará la Auditoría Interna basada en Administración de Riesgos para identificar los problemas vinculados con la inadecuada gestión gubernamental y propondrá alternativas de solución, para mejorar sus sistemas de control interno, de seguridad industrial, medio ambiente y de seguridad de la información de la empresa, con la finalidad de ayudar a la organización a incrementar la efectividad de su gestión gubernamental.

1.4.2 Justificación Teórica

El Auditor Interno / Externo que implanta esta tendencia dentro de la Organización alerta a los Directivos y al mismo Órgano Máximo de Control sobre posibles problemas vinculados con: perjuicios económicos, mala utilización de recursos y fondos otorgados por el Gobierno, inadecuada administración de riesgos y controles de los procesos más importantes del Negocio, atentados contra el medio ambiente, la seguridad industrial, la seguridad de la información y sobre todo contra la responsabilidad social empresarial.

1.4.3 Justificación Práctica

La Aplicación de la Auditoria Interna Basada en la Administración de Riesgos en la Organización, permitirá que el ejecutivo y sus colaboradores administren y controlen de una mejor manera la gestión gubernamental de la entidad.

1.4.4 Importancia de la Investigación

Este trabajo es una contribución adicional que garantiza una gestión gubernamental transparente, ordenada y comprometida con el desarrollo integral del País en la lucha por disminuir los Niveles de Corrupción y Fraude que actualmente se encuentra inmerso en las Instancias de Gobierno.

1.5 Alcances y Limitaciones

1.5.1 Alcance

La meta que se pretende lograr con este trabajo es la de demostrar que actualmente en el mundo existe una herramienta de control y prevención denominada Auditoría de Riesgos que va a ayudar a Organizar, Administrar y Controlar la Gestión Gubernamental Óptima de los Centros de Exportación, Transformación, Industria, Comercio y Servicios Generales (CETICOS). La Tesis Doctoral de mi investigación se constituye en una herramienta de valor agregado y control que ayuda a disminuir los niveles de Fraude y Corrupción en el Sector Gubernamental, de esta manera estaré aportando desde mi profesión y con mi experiencia en Auditoría en el Desarrollo Integral del País.

1.5.2 Limitaciones

Lo que es de vital importancia puntualizar es que esta investigación la vengo realizando desde el Año 2008 en el Centro de Exportación, Transformación, Industria, Comercio y Servicios Generales de Paita (CETICOS PAITA), para lo cual no he tenido ningún inconveniente a la hora de poner en práctica la Metodología de la Auditoría de Riesgos, en mi calidad de Auditor Interno de la Institución he tenido acceso la Información, Procesos Críticos del Negocio, Así como también he sostenido charlas y procesos de autoevaluación con todos y cada uno de los colaboradores de la Entidad quienes me brindaron el apoyo y la información requerida durante mis evaluaciones.

1.6 Definición de variables

1.6.1 Variable Independiente.

X= Auditoría de Riesgos Eficaz: Evaluación Independiente y multidisciplinaria llevada a cargo de profesionales competitivos, con la finalidad de alertar y generar mejora continua en todos y cada uno de los procesos y controles instaurados en las Organizaciones. Así mismo este tipo de examen alerta a la Empresa ante futuros perjuicios económicos ocasionados por la inadecuada gestión financiera, social, operativa, ambiental, control de tecnologías de Información etc, llevada a cabo por determinados actores organizacionales o agentes externos.

1.6.2 Variable Dependiente.

Y= Gestión Gubernamental Óptima: Gestión encargada de la Adecuada Administración y Control de los Controles Instaurados en: a) Los Procesos Críticos del Negocio, b) Sistemas de Control Interno, c) Gobierno de Tecnologías de Información y Comunicaciones, d) Sistema de Gestión de Seguridad de la Información, etc. Así como del Adecuado Compromiso Responsable y Solidario de Parte de los Actores Organizacionales en Atender las Recomendaciones de Auditoría Interna y Externa.

1.6.3 Variable Interviniente.

Z= Centro de Exportación, Transformación, Industria, Comercio y Servicios Generales de Paita CETICOS PAITA: Organismo Público Descentralizado adscrito al Gobierno Regional de Piura, de acuerdo a la Ley 29014, que tiene personería jurídica de Derecho Público, con Autonomía Administrativa, Técnica, Económica, Financiera y Operativa. zona primaria aduanera de tratamiento especial, generador de polos de desarrollo, promotor de la inversión privada nacional y extranjera orientada a actividades productivas y exportadoras, cuyo objetivo social estratégico es el de incrementar la mano de obra directa e indirecta, niveles de consumo en sus zonas de influencia y la consolidación del desarrollo económico regional.

CAPÍTULO II:

Marco teórico

2.1 Teorías generales relacionadas con el tema

2.1.1 Reseña Histórica de la Auditoría Interna

Oswaldo Fonseca Luna en su libro: Auditoría Gubernamental Moderna. (2007). Refiere: "Los inicios de la Auditoría en América del Sur se remontan al 14 de Febrero de 1607 con la creación del Tribunal de Cuentas de Lima y la Aparición de los Primeros Contadores Mayores de Cuentas quienes velaban por la legalidad en la formación de las cuentas. Según Scholosser la Auditoría como profesión se reconoce por primera vez en la ley Británica de Sociedades Anónimas de 1862, que establecía "que es de aceptación general la necesidad de efectuar una revisión independiente de las cuentas de pequeñas y grandes empresas". Debido al rápido crecimiento de las empresas en Estados Unidos y Gran Bretaña las funciones de los auditores fueron variando en el tiempo. En 1932 la Bolsa de Valores de Nueva York estableció como requisito para cotizar acciones en Bolsa la Auditoría de los Estados Financieros de las empresas. El Comité de Procedimientos de Auditoría AICPA (Instituto Americano de Contadores Públicos Certificados) creado en 1887, inicio sus operaciones en Enero de 1939 emitiendo una serie de declaraciones sobre procedimientos de Auditoría. En 1978 La Junta de Normas de Auditoría ASB (Auditing Standars Boards) se convirtió en el Órgano Técnico facultado para publicar las normas de Auditoría y Procedimientos. La Auditoría está en constante evolución es una ciencia dinámica". "Como investigador debo enfatizar en lo siguiente para complementar las ideas del Autor: A medida que el Fraude y la Corrupción evolucionan aparecen nuevas técnicas y procedimientos de auditoría y control para contrarrestarlos, en la Década de los Noventa surge el Estándar COSO, posteriormente el Estándar SOX y finalmente nos encontramos con el Estándar ISO 31010. Que son buenas prácticas en Auditoría para controlar a las empresas que cotizan en bolsa, mejorar sus controles internos y para alertar a los ejecutivos ante posibles riesgos financieros, sociales, tecnológicos, operacionales, etc. que podrían paralizar al negocio".

2.1.2 Definición de Auditoría

Luis Couto Lorenzo en su libro: Auditoria del Sistema APPCC: Como verificar los sistemas de gestión de inocuidad alimentaria HACP. (2008). Refiere: "La auditoría es un examen independiente y sistemático realizado para determinar si las actividades y resultados cumplen con lo establecido en el procedimiento documental y también para determinar si esos procedimientos han sido implantados eficazmente y son adecuados para alcanzar los objetivos". "Coincido con la definición pero es indispensable enfatizar que La Auditoría aparte de verificar el cumplimiento de estándares y regulaciones por parte de los actores organizacionales también ayuda a ordenar a la organización y genera valor agregado".

2.1.3 Objetivos de la Auditoría Interna

Florentino Fernández Zapico, En su libro: Manual para la formación del Auditor en Prevención de Riesgos Laborales. (2010). Refiere: "El fin de la Auditoría es que la empresa defina las medidas preventivas para corregir las situaciones de riesgo. La Auditoría debe de contribuir a la mejora continua de la Empresa". Un aspecto vital que me gustaría agregar es que desde mi perspectiva ahora las Auditorías deben de tener que puntualizar dentro de sus objetivos generales y específicos que los resultados de sus evaluaciones ayudaran a la gestión organizacional de la empresa generando recomendaciones de impacto en los procesos críticos del negocio.

2.1.4 Fases de la Auditoría

El Equipo Vértice en su Obra: Auditor PRL. (2010). Refiere: Toda Auditoría tiene una metodología claramente marcada y definida y sus fases son las siguientes: "Fase 1: Pre Auditoría, en donde se constituye el equipo auditor, se solicita y analiza la documentación, se elabora el Plan y Programa de Auditoría. Fase 2: Auditoría in Situ: En esta Fase se recoge evidencia, Se documentan los resultados, se discuten los resultados en una reunión final y finalmente la Fase 3: Informe Final: Donde se entrega y distribuye el Informe Final". "Como investigador me gustaría agregar a esta definición que también es indispensable cotejar una fase en donde llevamos a cabo una autoevaluación de nuestra Auditoría, es decir en donde nosotros como auditores reflexionamos sobre el impacto positivo o negativo que causó en la Organización nuestro informe de Auditoría".

2.1.5 Importancia de la Auditoría

K. H. Spencer Pickett en su obra: The Essential Guide to Internal Auditing / La Guía Esencial para la Auditoría Interna. (2011). Refiere: "Los Auditores internos de las empresas deben de sentirse orgullosos del trabajo que realizan en las empresas debido a que su Auditoría aporta a mejorar los controles internos de las organizaciones, ordena la gestión organizacional y contribuye en la gestión de riesgos corporativos. La importancia de la Auditoría también radica en que el Auditor educa a su cliente aconsejándole sobre la importancia de gestionar con orden y transparencia". "Como investigador algo más que me encantaría agregar a esta definición es que la importancia de la Auditoría radica también en asesorar a nuestros clientes en que instauren sistemas antifraudes y anticorrupción que contribuyan a mejorar la gestión de la empresa y coadyuven a proteger los recursos y fondos que administran".

2.1.6 Gestión de Riesgos

Sim Segal en su Libro: Corporate Value of Enterprise Risk Management / Valor Corporativo de Gestión de Riesgo Empresarial. (2011). Refiere: "Para poder entender la Gestión de Riesgos debemos de tener en cuenta las siguientes nociones elementales:

Aceptación de riesgo: una decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular.

Administración de riesgos: la cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos.

Análisis de riesgo: un uso sistemático de la información disponible para determinar cuan frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias.

Análisis de sensibilidad: examina cómo varían los resultados de un cálculo o modelo a medida que se cambian los supuestos o hipótesis individuales.

Azar de riesgo: una fuente de daño potencial o una situación con potencial para causar pérdidas.

Consecuencia: el producto de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia. Podría haber un rango de productos posibles asociados a un evento.

Control de riesgos: la parte de administración de riesgos que involucra la implementación de políticas, estándares, procedimientos y cambios físicos para eliminar o minimizar los riesgos adversos.

Costo: de las actividades, tanto directas como indirectas, involucrando cualquier impacto negativo, incluyendo pérdidas de dinero, de tiempo, de mano de obra, interrupciones, problemas de relaciones, políticas e intangibles.

Evaluación de riesgos: el proceso utilizado para determinar las prioridades de

Administración de riesgos comparando el nivel de riesgo respecto de estándares

Predeterminados, niveles de riesgo objetivos u otro criterio.

Evento: un incidente o situación, que ocurre en un lugar particular durante un intervalo de tiempo particular.

Evitar un riesgo: una decisión informada de no verse involucrado en una situación de riesgo.

Financiamiento de riesgos: los métodos aplicados para fondear el tratamiento de riesgos y las consecuencias financieras de los riesgos.

Frecuencia: una medida del coeficiente de ocurrencia de un evento expresado como la cantidad de ocurrencias de un evento en un tiempo dado. Ver también Probabilidad.

Identificación de riesgos: el proceso de determinar qué puede suceder, por qué y cómo.

Ingeniería de riesgos: la aplicación de principios y métodos de ingeniería a la

Administración de riesgos.

Interesados: aquella gente y organizaciones que pueden afectar, ser afectados por, o

Percibir ellos mismos ser afectados, por una decisión o actividad.

Monitoreo: comprobar, supervisar, observar críticamente, o registrar el progreso de una actividad, acción o sistema en forma sistemática para identificar cambios.

Organización: una compañía, firma, empresa o asociación, u otra entidad legal o parte de ella, sea o no incorporada, pública o privada, que tiene sus propias funciones y administración.

Pérdida: cualquier consecuencia negativa, financiera o de otro tipo.

Probabilidad: la probabilidad de un evento específico o resultado, medido por el coeficiente de eventos o resultados específicos en relación a la cantidad total de posibles eventos o resultados. La probabilidad se expresa como un número entre 0 y 1, donde 0 indica un evento o resultado imposible y 1 indica un evento o resultado cierto.

Probabilidad: utilizado como una descripción cualitativa de probabilidad o frecuencia.

Proceso de administración de riesgos: la aplicación sistemática de políticas,

Procedimientos y prácticas de administración a las tareas de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar riesgos.

Reducción de riesgos: una aplicación selectiva de técnicas apropiadas y principios de administración para reducir las probabilidades de una ocurrencia, o sus consecuencias, o ambas.

Retención de riesgos: intencionalmente o sin intención retener la responsabilidad por las pérdidas, o la carga financiera de las pérdidas dentro de la organización.

Riesgo residual: el nivel restante de riesgo luego de tomar medidas de tratamiento del riesgo.

Riesgo: la posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se lo mide en términos de consecuencias y probabilidades.

Transferir riesgos: cambiar la responsabilidad o carga por las pérdidas a una tercera parte mediante legislación, contrato, seguros u otros medios. Transferir riesgos también se puede referir a cambiar un riesgo físico, o parte el mismo a otro sitio.

Tratamiento de riesgos: selección e implementación de opciones apropiadas para tratar el riesgo.

Ahora bien luego de profundizar en estos conceptos concluimos que: La administración de riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso iterativo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones. Administración de riesgos es el término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades. Administración de riesgos es tanto identificar oportunidades como evitar o mitigar pérdidas". "Coincido con el Autor pero debo de agregar algo más a su exposición magistral en su Obra y es que la Gestión de Riesgos engloba a todos y cada uno de los actores organizacionales en asumir un compromiso social y solidario en establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados, con la finalidad de generar alternativas de solución para contrarrestar tales eventos y generar valor agregado en las empresas".

2.1.7 Control Interno bajo el Enfoque COSO ERM

Andrew Hiles en su Libro: The Definitive Handbook of Business Continuity Management / El Manual Definitivo de Gestión de Continuidad de Negocio. (2011). Refiere: "En el Año 2004 nace un nuevo enfoque de Control Interno denominado Gestión de Riesgo Empresarial (COSO ERM), el cual contiene 8 elementos claramente marcados y definidos que son: Ambiente de Control, Objetivos Estratégicos, Identificación de Riesgos, Evaluación de Riesgos, Valoración de Riesgos, Actividades de Control Gerencial, Información y Comunicación y Supervisión y Monitoreo. Dichos elementos instaurados en la Organización y administrados eficientemente permitirán que la Organización: Arribe a las metas misionales, gestione adecuadamente los riesgos, Administre los recursos con eficiencia, eficacia, transparencia y economía y lo más importante sea socialmente responsable con los actores organizacionales internos y externos". "En lo que a mí me compete como investigador me gustaría enfatizar que El Control Interno bajo el Enfoque de Gestión Integral de Riesgos le permite a las empresas actuales a gestionar los riesgos inmersos dentro de sus estrategias, objetivos y procesos críticos de una manera más eficiente y ordenada, debido a que se les obliga a los ejecutivos a crear un manual de riesgos operacionales en donde se consignan los riesgos que ponen en peligro al negocio acompañados de los controles que mitigan tales eventos".

2.1.8 Sistemas de Gestión de Seguridad de la Información

Purificación Aguilera López en su libro: Seguridad Informática. (2010). Refiere: "La Seguridad Informática es la disciplina que se encarga de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. Un sistema de Información, no obstante las medidas de seguridad que se le apliquen, no deja de tener siempre un margen de riesgo. Para afrontar el establecimiento de un sistema de seguridad es necesario conocer: Cuales son los elementos que componen el sistema, Cuales son los peligros que afectan al sistema, accidentales o provocados y finalmente cuales son las medidas que deberían de adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos potenciales". "Estoy de acuerdo con la definición pero es indispensable que no solamente nuestro sistema de gestión de seguridad de la información solo va a proteger a los sistemas, sino también los actores organizacionales con la asesoría del personal de tecnologías de información tienen la obligación de dictaminar normas para proteger a los activos de información intangibles".

2.2 Bases Teóricas especializadas sobre el Tema

Dentro de las bases teóricas de mi investigación científica he considerado a las siguientes:

2.2.1 Auditoría de Riesgos Organizacional

Daniel Halpern en su libro "Gestión de Crisis. Teoría y práctica de un modelo comunicacional". (2010). Refiere: "El principal objetivo que tiene todo plan de auditoria de crisis es sistematizar los riesgos a los que se ve enfrentada una organización. Sin embargo dado que los potenciales conflictos son ciertos y en algunos casos miles, la metodología por excelencia que la literatura establece es primero identificar los principales riesgos, para luego agruparlos por categorías y de esta forma desarrollar alternativas para evitarlos o saber cómo reaccionar en caso de que uno de ellos se materialice". "Estoy de acuerdo con el Autor y afirmo que el Auditor dentro de su trabajo al evaluar procesos y controles de la empresa debe de identificar los riesgos que pongan en peligro la continuidad del negocio y generar planes de tratamiento de riesgo para mitigar dichos eventos".

Palencia Lefler, en su libro: "90 Técnicas de Comunicación y Relaciones Públicas" (2011). Refiere: "Con una Auditoría de Riesgos se pretende: Identificar los riesgos potenciales, elaborar una base de datos de esos riesgos potenciales y los escenarios en que puedan desarrollarse, evaluar la gravedad de cada uno de esos riesgos potenciales, y analizar los procedimientos y la operativa prevista en el Manual de crisis". "Como investigador quisiera agregar algo más a partir de esta definición y concluir que la auditoria de riesgos es una investigación social que identifica y valora las posibles opciones de riesgo que aparecen y se dan en el negocio para ser comunicados finalmente a nuestro cliente. Entre estas opciones hay que diferenciar a las que pueden afectar al corto plazo la operatividad del negocio".

Equipo Vértice en su libro: "Gestión Ambiental en Empresas de Limpieza". (2011). Refiere: "La Auditoría de riesgos se desarrolla con la finalidad de conocer y reducir determinados riesgos en la organización". "Como investigador quisiera agregar algo más a partir de esta definición y concluir que nos encontramos con una auditoría de carácter preventivo y correctivo".

Miguel Túñez López, José Manuel Velasco Guardado en su libro: Comunicación Preventiva: Planificación y Ejecución de Estrategias de Información Interna y Externa ante situaciones de Crisis. (2007). Refiere: "La Auditoría de Riesgos suele desatacarse como técnica para identificar situaciones negativas que puedan llegar a producirse". "Como investigador quisiera agregar algo más a partir de esta definición y concluir que nos encontramos con una auditoría que aparte de identificar eventos negativos los analiza, evalúa, valora y genera planes de tratamiento para disminuir y contrarrestar el impacto que pudiera causar un evento negativo a la organización".

2.2.2 Fases de una Auditoría de Riesgos