El rol de la auditoria interna en la gestion de riesgo empresarial 4, INTRODUCCION. El Instftute of intemal Auditors (IIA) en coordinacién can su afliada de Reino Unido e anda, el afto 2002 (1), ha amitide su posicién referente al Rol de la Auditoria Intama en la Gestién de Riesgo Empresarial y, su relacién con el nuevo Marco Gestién de Riesgo Empresarial - Un enfoque integral (Enterprise Risk Management; ERM) emitido por el Committee of Sponsoring Organizations of the Treadway Commission (COSO). El propdsito del documento mencionado es ayudar a responder a los Directores Ejecutivos de Auditorla (DEAS) sobre asuntos de Gestién de Riesgo Emoresarial (ERM) an sus organizaciones. E! documento suglare formas para que los auditores intemos mantengan la objetividad e indapendencia fequerida por las Normas Intemacionales para él Ejarcicio de la Auditorta Intema (Normas) dal IIA cuando provean servicios de aseguramiento y conautta. Los principlos prasentados an esta decaracién pueden usarse como gula en el desenvoWimiento de auditor(a Intama en todas las formas de gestién da riesgo, ya que la gestion de rlesgos, puede mejorar los procesos de goblemo de la organizacién, 2. LAS AUDITORIA INTERNAS Y, EXTERNAS EN LA ADMINISTRACION DEL RIESGO EMPRESARIAL (E.R.M.). La audltorlas intemas y axtomaa se han espaciallzado en los tomas do la Administracion de Riosgo Emprosarial E,R.M., slendo apoyadas por la IFAC dentro de los estandares emitidos da auditéria, de servicios de aseguramiento y de, servicios relacionados, on loa deo control de calidad y dantro da pronunciamientos aupeciticos, y eapacificamente en ta Auditoria Intema por ol IIA Inutituto Intemacional de Auditorla Interna. 3. RESPONSABILIDAD DE LA AUDITORIA INTERNA EN LA GESTION DE RIESGO. Los DEAs deben tomar an cuenta cuando daterminen of rol de auditor{a intorna on la relacion al ERM, { INSTITUTO DE AUDITORES INTERNOS - CAPITULO BOLIVIA (2005), Raviata, Aticul, Nua Marco Gestiin ca Rimage Emprosadal - Un enfoqua niegral (Enlarriae Risk Manegament (ERM!(A AVOrTORLN DTIC ~ Un exrogve censeecTee Mp $e he Gar Sole Qing al au mctlvklad, permite mejorar los procesos de gestién de riesgo, control y goblemo de la orgenizactén y, que no representa alguna amenaza sobre au. Independencia y abjatividad. La Taturaleza do la responsabilidad de audtorta intema debe ser documentada en los estatutos de ‘suditorla y aprobada por el Comité de Auditoria, ‘ae principales responsabilidades de la auditorta intema en la gestién de riesgo se refleren a que: ®) _ Audtoria Intema.no debe gestionar ningtin resgo a favor de la gerencia, debe proveer Consejo, motivar y soportar las decisiones realizada por la direccion, ent vez do tomar dacisiones de rlesgo por ellos mismos. b) - Auditorta.intema no puede brindar aseguramlento objetivo en ninguna parte del marco Ge ERM de la cual es responsable, Tal aseguramiento debe ser provisto por otra parte sustancialmente calificada, ©) Cualquier trabajo mas allé da las actividades de aseguramiento debe reconocersa como una asignacién de consultor'a y la implementacién de normas relativas a tales asignaciones deben seguirse. d) Auditoria Intema dabe poner a disponbbilidad de la gerencia herramientas y técnicas usadas por auditorla intema para analizar riesgos y controles, ®) —Auditoria Intema debe ser un-defensor de la introducclén de ERM en la organizacién, sportando su experiencia en gastién de riesgo y conocimientos de la organizacion, provayende consejo, faciltando taleres, entrenando en la organizacién sobre riasgos y controles, y promoviendo el desarrollo de un languaje, marco y entendimiento comune 1) AucitorlaIntema dabe actuar como punto central de la coordinacién, monitoreo y Feporte sobre rlasgos; y apoyar a la gerencia an su trabajo a través de identifice, mejores vias para mitigar un riesgo, 4, LOS ROLES DE LA AUDITORIA INTERNA EN LA GESTION DE RIESGO EMPRESARIAL, La auditorla intema es una actividad Independiente, objetva de aseguramiento y consultarfa, su rol Puinclpal con rélacién al ERM es proveer aseguramiento abjetivo a ia unta sobre lo elect raed dala jostion de esgo, para ayudar a asegurar quo loa rleagos claves de nagocio eatin siento gestionados #propladamente y que el sistema de control intemo esta slendo ‘operado efectivamente, a Junta de dlractoras y los audtores Intamios estan de acuerdo que las dos formas mds importantes (ey ue 1a Bucltoria interna proves valor a la organizacién es brindando asaguramiento objetivo de que fo principales rlesgos da negocio eatén slendo Mangjados apropladamente y proveyendo asoguramiento de qua ta gestién de fieago ¥ el marco ¢& control intemo estén operando oloctivamente, 1 fange do fas actividades de ERM Indica cuales son los roles de auditorta Intema, @ Igualmenta Indica lo que no dabe reailzar, intarigtotes claves que deban ser tomados en consideracién cuando se determina ol rol de audltorta oma son. sla actividad representa alguna amonaza ala Independencia y objelvidad de la tenace ornare tema, y sl padrla mejorar los procesos de gastidn da riesgo, control y gablame da organizacton. 0,9 Gestion de rlasgo asté trabajando efactivamante y que los rlosgos claves estan sienao Manojados en niveles acaptablos, 98 5. ROLES FUNDAMENTALES DE LA AUDITORIA INTERNA RESPECTO AL ERM Los roles fundamentales de la auditorta intema respecto al ERM son: 4) Brindar aseguramiento sobre procesos da gestién de reso. >) Brindar aseguramiento de que los riesgos son correctamenta evaluados ¢) _Evaluacién de los procasos de gestion de riesgo. 4) Evaluacién de reporte de riesgos claves. e) __ Revisién del manejo de los riesgos claves, 6 ROLES LEGITIMOS DE AUDITORIA INTERNA QUE DEBEN REALIZARSE cot SALVAGUARDA, Los roles legitimos de auditoria intema que deben reailzarse con salvaguerda son: 8) . Faciltacién, Mentificacién y evaluacién de riesgos. 5) Entrenamiento a la gerencia sobre respuesta a riesgos. ©) Coordinacion de actividades de ERM. 4) Consolldactén de reports sobre rlasgos. @) — Mantenimiento y desarrollo del marco da ERM. fl Defender @! eatablecimiento del ERM. 9) Desarrollo de estrategias de gastion de rlesgo pare aprobacion de la junta T. ROLES QUE AUDITORIA INTERNA NO DEBE REALIZAR. Los roles que auditoris intama no debe reailzar son; a) — Establacer al apetito de daago. 5) Imponer procasos da gestion de rlosgo, 2) Mansjar ol azoguramianto sobre loa rloagos. d) Tomar dacisiones on respuasta a loa riesgos. ®) — Implomontar raspuostas a feagos a favor de administracion Tener responsabilidad de la gastién da rlosgo.poeebeen eee ome 8. AUDITORIA INTERNA Y LOS SERVICIOS DE ASEGURAMIENTO DE GESTION DEL RIESGO, secnteria intema puede proveer servicios de aseguramianto que mejoren los procesos de gobiero, Gestion de rlesgos y control de la organizacién. El alcance de la consuttoria de auditorta intema en ERM depende de otros recursos, Intemos y extemos, disponibles para ia junta y de la madurez del rlesgo de la organizacién y su poalbiided uo varier en ef ismpo, Guando se incrementa la madurez de reago en la organizacién y a gestion de resgo 26 encaja mas "las operaciones del nagocio, el rol de auditoria intema de defensor de ERM se puede rescir Similarmente, si ta organizacién emplea los servicios de un espacialisia 0 posee una funciin da Gestion de riesgo, aucitoria intema podria agregar mayor valor a través da concentrarse on eu ral de aseguramiento, en vez de realizar mayores actividades de consultoria. Uno de los requerimiantos basicos de la Junta dlrectiva o consejo de administracién o sus equivalentes Pe cle, Obtener aseguramiento de que el proceso de gestidn o administracién de riesgo sets Uabalando efectivamente y qua los resgos claves estén alando manejados an niveles aceptabies, es Fevers eGue S| sseguiramianto provenga de diferentes fuentes como los autora exiamos y revisores eapecialistas independientes, en forma objetiva y sobratado exigiendo ala auditoria imern, 8.- AUDITORIA INTERNA Y EL ASEGURAMIENTO. Especificamente ia auditoria intema puede prover aseguramlento en tres areas: 8) Procesos de gestién o administracién de raagos, tanto en su disefio ycémo qua tan blen estan trabajando, b) — Gestién o Administracién de aquellos rlesgos clasificados como “clavea*, Incluyendo pussias a dstos, y ©) Confablidad y evaluaciones apropladas de rlaagos y reportes de rleago Y ontatua de controles, 10. COMPATIBILIDAD DE AUDITORIA INTERNA CON DEL ROL DE CONSU!.TORIA. Les servicios de consultaria son pornaturalaza consejos y son desampefiados a Podido de un ellante Con grades estrictos de objatividad sin, asumir rosponaabilidades de goatién, La auditorla intema puede también proveor servicios de consultorla paca lograr mejorar ios procasos do goblemo corporativa gestion de rlesgos y control an la organizacion. El eleanee cy a consuttorla da Gudltorta interna en ERM depende de otros racursos de cardctor intorma o axtorio, disponibles para 12 Junta diractiva 0 consejo de administracién y de la madurez del riesgo da la organizacién y su Posibilidad de variar en al tiempo, 100 Mp 2 Lhe Gabe Yada Coie S66 08 £4 SUOPTORLA DIMMED BO LA GRSCOL 08 CEST ESMELARLLL Cada vaz que auditoria Intema actiie apoyanco al equipo gerencial en el eatablecimiento y mejora de fos procesos de gestkin de riesgo, su pian de trabajo debe inciuit una estralegia clara y un tempo asignado para transterir la responsablidad de estas actividades a los miembros dal equipo gerencial, Mientras mes se incluya la audttoria Interna en a gestion de rlesgos, mayores serin las savaguardas que deben requerirse para asegurar objetividad @ independencia de su parte. 11. ROLES DE CONSULTORIA QUE AUDITORIA INTERNA PUEDE REALIZAR Aigunes de los roles de consuitorla que auditoria Intemia pueda reallzar son: a) Foner a disponibiidad de la gerencia herramientas y técnicas usadas por auditoria intema para analtzar teagos y controles; b) Ser un defensor de fa Introduccién da ERM en la organizacién, apotando su expertencia en gestiin de rlesgos y conocimiantos de la organizaciin; ¢ Proyectar consejos, faciitando talleres, entrenando en la organizaciin sobre rlesgos : Controles y, promoviende el desarrollo de un languaje, marca y entendimiento comin; d) Actuando como coordinador, o de monitoreo; e) Presentando reportes sobre riesgos, y f Apoyando ala garencia en au trabajo a través de identificar mejores vias para mitigar un rlesgo, 12 SALVAGUARDAS EN EL ROL DE CONSULTORIA DE AUDITORIA INTERNA. La auditor Interna puede ampliar su participaciin en al ERM bajo clertas condiciones de Independencia, aclarando que la reaponsabilidad de Jos esgos as de la gerencla, qua debe ser adecuadamente documentada, que la funcién serd la de dar consejos y de motivaciin, e lores, Los auditores Internos y gerentas de rlesgo compartan algunos canocinlentos, destrazas y valores, ambos, por ejempla, conocen aotre requerimientos de goblarno corporativa, poseen deatrazaa de manejo da proyactos, anallticas y de facilitaciin y tlanen valorea de crear un balance sakidable de leago en vex da tomar leagos axtremos 0 compartamianto evasive. Los gerantes de fasgo aolamanta brindan servicio a la direccldn da la organizacidn y no tanan qua Proveer aseguramianto indopandianta y abjettvo al comité da auditora é 13 aubeatimar al conocimlanto El auditor Intomo que busqua ampllar au rol on ol ERM no dabe aubent ° especializado de los garontes do rasgo tales como transfarencia da rlesgo, calificacion da sHasgoa y técnicas de modelos, las cuales estan fuera dai cunrpo de conocimientoa da la mayorla da los auditores intemos, Ningin auditor interno qua no pusda demostrar las dastrazas y conocimientos aproplados deve reallzar trabajos on ol area de gestiin de riesgo, ; irarsearite ‘Aun més, la cabeza de auditorla intama no deba provear servicios da consultorla en esta rea si las 101LA AUORRLA DRRIO - Une exeoquE eRnSeECTVO Ng Se Lhe Gebel le Quiope ge punter secs neT#os dentro del funcién de autora intama no so encuant-an daponitiesy no 8 pueden obtener de otra parte, Las principales salvaguardas pueden ser las siguientes: 4) Dabe, estar claro que la gerencia mantione la responsabilidad de la gestién de riesgo, 5) Lanaturalaza de la responsabilidad de auditoria intema debe ser documentada en los estatutos de la auditoria y aprobado por el Comité de Auditoria, ©) Auditorfa_Intarna no debe geationar ningtin lesgo a favor de la gerencia, *) Auditorla Intema debe proveer conseja, motivar y soportar decisiones realizadas porla direccién, en vez de tomar decisiones de riesgo por ellos mismos, Saino de una asignacién de consuttria ya implameentacion de normas relates a take ‘asignaciones deben seguirse. . 13. REDUCCION DEL ROL DE CONSULTORIA DE AUDITORIA INTERNA. Cuando se Incramenta la madurez del rlesgo en la organizacién y la gestién de rlasgo se encaja mas en las operaciones del nagacio, al rol de auditoria interna de defensor del ERM se puede reduclr. Sinilarmente, sia organizacién emplea los servicios de un especiallata o poses funcién de gestién de fesgo, auditor intama podria agregar mayor valor a travée de concentrarse en su rol da intemgamianto | en vez de realizar mayores actividades de consuiterla, no obstante, s! auditoria intema no tiene la capacidad real o antranamiento adecuade ne denn comprometerse aiiderar atapas de eeta naturaleza, siendo su compromiso capactiarse suficlentomanta sobre al tema de gestisn o 14. LAS NORMAS DE AUDITORIA INTERNA INTERNACIONALES Y LA METODOLOGIADELA ADMINISTRACIGN DE RIESGOS, Gente de las normas de auditorta interna intemacionales, sa encuentran varlas normas eapactficaa dilgida a manejar la metodologia de la Administracion do Rlesgos dentro de ios dos aervicioa epuncladas, las cuales 86 racomiendan se apliquen por parte de be auclierec Intemos, para cada caso los siguientes: 1o2 Se be L806 OF LA AVOMTDRL DERE EN LA ener ctertc SERVICIOS DE ASEGURAMENTO SERVICIOS DE CONSULTORI Deben tener conocimientos de fos visegaa y controies informaticos claves sn ser un experto er tlesgoe @ informatica. (1210 — a3) Debe tener suficientes conocmientos para identficar los indicadoree de fraude sin ser su Principal funciin Ia detecciSn @ inveatigaciin (1210 -A2)." Deben ejercer el debido cuidado profesional al considerar la Deben apiicar conocimientos de Hesgoa y controles obtankics de los trabajos de consuttorla enol process de Y evaluacién de resgos significatios (2110 y 2120 - C2), Debe estar alerta en Wentficar los rlesgos materiales que pudieran afectar los objets, las ‘operaciones y los recursos. (1220 — A3). Loe objetivos de 0s trabajos deben conadderar los Procesos de fiesgos, control y gobiemo, hasta el Grado de extension acordado con ai cliente, (2210 C1), El pian de trabajo debe estar basado en una evaluacién de nesgos sfectuada anuaimente (2010 - At), y, la de efectuar una evaluacién preliminar de los riesgos. Durante los tabajos pueden sar Mantficados Cuestiones referiias a gastiin de rlesgos, control y Goblerno (2440 C-2). Dabe supervsar y avaluar la adecuaclny afcaca del Sistema de Administracién de Riesgos ERM, coma las de goblamo corporative, controles operaciones y los sistamas de informaciin (2110 “At y2y2120 At). Cuando sean aignificaivos los nesgos daben sor comunicados oportunamenta a la Alta Gerencia 0 al conaejo de admihistracidn o Junta Directive. (2440 C2), Antes de enviar log reguitados a partes enemas de la empresa se dabe evaluar al resgo potencial (2440-42), 15. EL PROGRAMA DE AUDITORIA REFERIDO A LOS RIESGOS, El programa de auditorla Intema refertdo a loa rlesgos organizacionales, dabe baearse on ita Aormas de auditor! Aven de fundamentos para lograr un adacuado enlace dentro de un plan di Administracién del Rleago (ERM): Intama Internacionales (1A) relacionados can la Adminlatracién de Riwagoe (ERM), qua wuditorla con la *) El plan da trabajo da la actividad do audlorla Intarna debe estar basado an una evaluacién da rlasgos y exposiciones qua puedan afectar al ante econémico b) El universo da auditoria Puede inciuir componentes dol plan estratégico. ©) El calandarto de trabajo de auditorla. debs estar basado, entre otros factores, on las Prloridades de una evaluacién de esgos, tales como: materialidad, liquidez da activos, competencia do la garencla, calidad de los controles intemos, grado de cambio 0 estabilldad, tlampo transcurrido desde la Gitima auditorla, complajidad, relacionas dot Parsonal y gubernamentales, atc, 103®) Alllevar a cabo trabajos de aucttoria Intama, fos métodos y tdcnicas de pruebas y valldaciones deben reftejar la materialdad del rlesgo y la probabiided de ocurrencia’ f La Informacién y comunicacién a la Alta Gerencia deben transmitir conclusiones da Gestién de rlesgos y recomendaciones para reducirios o contrarrestarlos. E! Jefe de audttoria intema debe preparar un estado de le adecuaciin de los controles Intemos para mitigar los rlesgos, al menos una vez al afc. 18. DESTREZAS Y CONOCIMIENTOS. Los auditores internos y gerentes de riesgo comparten algunos canacimientos, dastrazas yvalores, ambos, por sjamplo, conocen sabre requerimientos de goblemo carparative, possen destrezae do manejo de proyectos, anallticas y de faciltacién y, tienen valores de crear un balance saludeble de Flesgos en vez de tomar rlesgos extemos 0 comportamiento evasivo, sin embargo, loo gerertes de tesgo como solamente brindan servicio a la direccién de la organizacién no tenen que prover aseguramiento Independiente y objetivo al comité de auditoria . Tampoco debe al auditor Intemo que busca ampllar su rol en el ERM, subestimar el conocimianto rabecializado de los gerentes de resgo (tales como transferencia de riesgo, calficacién de rieagos y jBcnicas de modelos), las cuales estan fuera del cuerpo de conocimientos dela mayorla de audinres Intemos. Ningin auditor Intemo que no pueda demostrar las destrezas y conocimlenios apropladoa debe realizar trabajos en el éraa de gastién de riesgo. Aun mae, la cabeza de audltorla Intema ro dabe provser servicios de consultoria en esta area silas destrezas y conocimientos deniro da ta funcidn de Sudltorta Intema no se encuentran disponibles y no se pueden obtener de otra parta, 17, VALOR AGREGADO DE UNA AUDITORIA INTERNA BASADA EN EL ANALISiS DERIESGOs. ‘Seguin Villacorta (2), un Plan de auditorla basado en andlisis de Riesgo permite: a) Focalizar el trabajo y al tlempo del Auditor en os Rlesgoa mas importantes, b) Ordenar ag prioridades onfocando su trabajo hacla aquellas dreas de la oryantznciin on las cualas a9 presentan dabiiidades de control intemo y, en aquellas otras on las cuales la habliided para competi y generar ganancla ae convierte en un factor crition, * c) Optimizar el uso del Recurso Humano. 4) Optimizar @l uso de Recursos Financiers, °) Utlizar el uso de nuavos enfoques que a su vaz incramentan el entandimionto Qerencial del negocio y da sus controles internos. pee eS ee PV TAACORTA CAVERO ARMANOO (2008), X CLAI Congreso athoamericano de Auitola ntems, Line Poni, mayo 2008. insttuo de AucitoresIntemo Dal Dar, tna f) La gestion de rlesgos brinda muchos beneficios como tultado di fc ‘estructurado, consistente y coordinado. a ee El rol principal de ja aucttoria Intema con relacién al ERM debe ser provear aseguramlento a la diraccién y a Junta sobre la atectividad de la gestion de riesgo. Cuando la audtorfa _intema extiende sus actividades mas alld de este rol principal, daben aplicarse ciertas salvaguardas, Incluyendo considerar ig asignacién como. Belo las restricciones de independencia, responsabilidad da la gerencia an la gestion do rlesgos, documentanilidad de riesgo monitoreo y separacidn de las hmacnen ae cegnenotla. el ERM puede ayudar a subir el perfle incrementar la afecthcod ao is auditorta Intema, ri 105