Julio 2015 Boletín de Investigación Comisión de Desarrollo SE Auditoría Interna - Sur Núm.

28

Auditoría Interna y Administración de Riesgos

 2014 – 2016
ÍNDICE PÁGINA
C.P.C. Jorge Alberto Téllez Guillén
Presidente

C.P.C. Ricardo Paullada Nevárez I. Introducción 3

Vicepresidente de Desarrollo y Capacitación
Profesional
II. Roles de Auditoría Interna 4
L.C.P. Luis Bernardo Madrigal Hinojosa
Director Ejecutivo
III. Factores de riesgo externos e internos 4
Comisión de Desarrollo SE Auditoría Interna – Sur
IV. Proceso de administración de riesgos 10
Presidente
C.P.C. Agustín Francisco Albarrán Carranza V. Conclusiones 14
Vicepresidente
C.P.C. Adolfo Ramírez Fernández del Castillo

Secretario
C.P. Salvador Cruz Hernández

Integrantes
L.C José Antonio Alverde Lanzagorta
C.P. Juan Fernando Calvillo Armendariz
C.P. Gerardo Díaz Valdez
C.P.C. Jaime Ignacio García Jiménez
C.P. Mario Enrique Mota Sevchovicius
Mtro. y L.C. Gabriel Sánchez Aguirre
C.P. Gabriel Sánchez Curiel
C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto
L.A.F. Adolfo Tanda Aguayo
C.P.C. Fernando Pérez Mendoza
L.C.I. Israel Pichardo Camargo
C.P. Arturo Salvador Reyes Figueroa
C.P. Antonio Salas Hernández
C.P. Omar Cruz Fuentes

Gerencia de Comunicación y Diseño

Comisión de Desarrollo Sector Empresa Auditoría
Interna - Sur del Colegio, año III, núm. 28, julio de 2015.
Boletín Informativo edición e impresión por el Colegio de
Contadores Públicos de México, A.C. Responsables de
la Edición: Lic. Jonathan García Butrón, Lic. Asiria
Olivera Calvo, Lic. Aldo Plazola González. Diseño:
Adriana Huescas Hernández. Bosque de Tabachines
Núm. 44, Fracc. Bosques de las Lomas, Deleg. Miguel
Hidalgo 11700. El contenido de los artículos firmados es
responsabilidad del autor; prohibida la reproducción total
o parcial, sin previa autorización.

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

2
 I. Introducción

El objetivo de este documento es reflejar los aspectos generales sobre lo que implica la
administración de los riesgos a que están expuestas las organizaciones; así como
proporcionar una serie de términos y conceptos que son de utilidad para la Auditoría
Interna.

Hoy en día la administración de riesgos en las organizaciones, llamada por muchos

Administración Integral de Riesgos, conjunta diferentes amenazas y vulnerabilidades que
enfrentan las organizaciones para cumplir con los objetivos establecidos por la Alta
Dirección y el Consejo de Administración.

La Administración Integral de Riesgos es un proceso que combina los recursos

financieros, humanos, intelectuales, materiales y tecnológicos de una organización, con
el fin de identificar, medir, analizar, prevenir, mitigar, controlar, comunicar y monitorear
los riesgos a los cuales está expuesta. Este concepto también involucra la capacidad que
tienen las organizaciones para manejar la incertidumbre sobre la posible ocurrencia de
un evento, con el propósito de generar beneficios, así como reducir efectos financieros y
pérdidas de operación.

Derivado de lo anterior, el área de Auditoría Interna debe estructurar y desarrollar un plan

anual de trabajo sobre la base de cobertura de los principales riesgos a los cuales está
expuesta la organización, proporcionando una certeza razonable que los controles
implementados mitigan el impacto de dichos riesgos y ayudan al cumplimiento de los
objetivos estratégicos. Por ello, la Auditoría Interna debe conocer cuáles son dichos
objetivos, para identificar las principales amenazas y vulnerabilidades.

Los riesgos a los cuales está sujeta una organización son diversos. Van desde el tipo de
industria, giro o actividad; la madurez de la organización; cultura; nivel de competencia
empresarial; capacidad de respuesta del personal; tipo de producto; ambiente regulatorio;
dependencia y relación con terceros; avances tecnológicos; tecnologías de información
y comunicación, etc.

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

3
 II. Roles de Auditoría Interna

La participación de Auditoría Interna dentro del proceso de Administración Integral de

Riesgos es brindar una opinión independiente y objetiva, que asegure de manera
razonable al Consejo de Administración y a la Alta Dirección que los principales riesgos
del negocio se están gestionando apropiadamente; por lo cual los principales roles de
Auditoría Interna son:

a) Otorgar aseguramiento de los procesos de administración y evaluación de riesgos.

b) Evaluar los procesos de administración de riesgos.
c) Revisar la administración de los riesgos claves

Asimismo, existen roles que Auditoría Interna no debe desempeñar, ya que son
responsabilidad de la Dirección General y del Consejo de Administración:

a) Definir el grado de aceptación del riesgo.

b) Imponer procesos de administración de riesgos.
c) Tomar decisiones respecto de los riesgos.
d) Ser responsables de la administración de riesgos.

Es importante destacar que ni la función de Administración Integral de Riesgos, ni la de

Auditoría Interna, sustituyen a una administración ineficaz e incompetente.

III. Factores de riesgo externos e internos

Para una efectiva identificación de riesgos presentes en una organización es necesario

considerar sus diferentes naturalezas; con tal propósito, de una manera esquemática,
podamos ejemplificar el entorno al que se enfrentan las organizaciones, mediante el
siguiente diagrama que muestra diferentes factores de riesgo clasificados en externos e
internos.

Como factores externos se pueden identificar, entre otros, los siguientes:

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

4
 Ambiental Económico

Social
Político
Comunidad

Tecnológico Legal

Los factores externos son los que rodean a la organización en su entorno. Una vez
identificadas las oportunidades y amenazas, se debe hacer un análisis de los factores
Internos que pueden afectar el desarrollo de la organización.

En forma enunciativa y no limitativa, a continuación se comentan los principales factores

internos de una organización:

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

5
 Estratégico Tecnológico

Capital
Operacional
Humano

Reputacional
Mercado

Legal Liquidez
Crédito

Riesgo estratégico

Es el riesgo que podría generar una pérdida debido a un plan de negocios malogrado, ya
sea por el plan de negocios en sí, la toma de malas decisiones o por la ejecución
deficiente de dichas decisiones; incluso por la ausencia de los recursos necesarios o por
no saber adaptar el plan de negocios a los cambios del entorno.

De esta forma, el riesgo estratégico va en función de la compatibilidad de los objetivos

estratégicos de la compañía, las estrategias desarrolladas y los recursos utilizados para
alcanzar dichos objetivos, así como la calidad de su ejecución. Los recursos necesarios
para llevar a cabo las estrategias de negocios deben ser evaluados en relación con el
impacto de los cambios económicos, tecnológicos, competitivos y regulatorios.

La administración del riesgo estratégico recae principalmente en el nivel más alto de la

organización, que generalmente es el Consejo de Administración y se ejecuta a través
de la Dirección General de la organización, ya que las decisiones estratégicas no pueden
ser delegadas a otros niveles de la organización.

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

6
 Riesgo reputacional

Es el riesgo de que una decisión, acción, situación, transacción, o inversión pueda reducir
la percepción sobre la integridad, capacidad y confianza de la organización, ante clientes,
autoridades, proveedores, accionistas, empleados y público en general.

El origen de este riesgo generalmente está basado en el comportamiento corporativo o

en algún suceso interno o externo que pone en duda, o en evidencia, algunas políticas o
prácticas corporativas. Dicho comportamiento es el que origina la insatisfacción de las
expectativas de los grupos de interés, lo que a su vez provoca una respuesta negativa o
adversa. Esta respuesta es la que afecta a la reputación corporativa, pues demuestra una
disminución del reconocimiento que se tenía de la organización.

La materialización de este riesgo puede tener un impacto distinto, dependiendo del giro
de la organización y situación que se haya presentado. Lo importante en este tipo de
riesgo es la oportunidad y la forma de gestionar el manejo de la crisis, cuya
responsabilidad recae en la Dirección General y el Consejo de Administración.

Este riesgo ha ido ganando relevancia en los últimos años, principalmente por la
globalización de las marcas y democratización de la información, acentuado en gran
medida por el crecimiento de las Redes Sociales.

Riesgo legal

Debido a que en las organizaciones o negocios las relaciones comerciales son cada día
más complejas, se requiere una mayor actualización y conocimiento de leyes, normas y
reglamentaciones vigentes. En este escenario el riesgo legal se puede definir como la
posibilidad de ser sancionado, multado u obligado a pagar daños, como resultado de
acciones reguladas o acuerdos privados no cumplidos.

Podemos clasificar al riesgo legal en función a las causas que lo originan, entre otras:

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

7
  Riesgo de facultades: está basado en que las personas que actúan en nombre de la
organización o la contraparte cuenten con la capacidad legal suficiente.
 Riesgo de legislación o regulatorio: las actividades no pueden ser ejecutadas por
limitación, prohibición o incertidumbre de alguna de las partes. Asimismo puede ser
por errores en la interpretación de la legislación o regulación aplicable.
 Riesgo de documentación: la documentación que obliga o da derechos a la
organización de manera legal y regulatoria es incorrecta, inexistente, inadecuada,
incompleta, o está extraviada.

Riesgo tecnológico

Es importante mencionar que este riesgo puede ser causa o dar origen a otros riesgos
dentro de la organización. Una falla en los sistemas o en su infraestructura puede detener
o limitar la operación o servicios que ofrece la organización.

Riesgo crediticio

Este riesgo se define como la pérdida potencial que se origina por el incumplimiento de
una parte en una operación crediticia y el deterioro de la calidad financiera de la
contraparte, incluso en su garantía o colateral pactada en las condiciones originales.

Riesgo de mercado

El riesgo de mercado se entiende como la probabilidad de pérdida que puede sufrir una
organización, derivado de la diferencia en los precios que se registran en los mercados o
en los movimientos de los factores de riesgos, entre los que se encuentran:

 Riesgo de precio de las mercancías: es el resultado negativo del precio de los insumos
y productos que utiliza la organización, dependiendo del giro de la misma.

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

8
  Riesgo de competencia: se identifica con la posibilidad de que la calidad, precio y
servicio de los competidores se ofrezcan en mejores condiciones.
 Riesgo de tipo de cambio: se da como consecuencia de la volatilidad en los tipos de
cambio de las monedas. Puede originarse por diferentes factores dependiendo del
sector o industria a la cual pertenezca la organización.

Riesgo de liquidez

Este riesgo se entiende como la pérdida originada por la incapacidad de una organización
para hacer frente a sus obligaciones.

Riesgo operacional

Este riesgo es inherente a todas las actividades, productos, sistemas y procesos. Sus
orígenes son muy variados; pueden provocar pérdidas debido a errores humanos,
procesos internos inadecuados o defectuosos, y como consecuencia de acontecimientos
externos.

El riesgo operacional lo podemos clasificar entre otros:

 Personas: Las organizaciones deben administrar el capital humano de forma

adecuada, e identificar apropiadamente las capacidades no aprovechadas, fallas o
insuficiencias asociadas al factor “persona”, tales como: falta de personal adecuado,
negligencia, error humano, ambiente laboral, fraude, capacitación inadecuada o
insuficiente.

 Procesos: Se deben cuidar los riesgos asociados a las fallas en los modelos utilizados,
diseño inapropiado de los procesos críticos, errores en las transacciones, políticas y
procedimientos inexistentes.

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

9
 Riesgo de delincuencia organizada

Representado por la posibilidad de que ocurran actos criminales contra los recursos
humanos y materiales de la organización, incluyendo sus inmuebles, instalaciones,
maquinaria, equipos de reparto o transporte, equipos de cómputo, mercancías,
documentos, información documental o en archivos electrónicos, nuevos desarrollos
tecnológicos para ganar mercado, entre muchos otros ejemplos.

Riesgo ambiental

Es la probabilidad de que la actividad de la organización afecte negativamente de manera

directa o indirecta al medio ambiente. Entre otros, pueden considerarse aquellos riesgos
asociados con la descarga de aguas residuales, con la emisión de contaminantes
atmosféricos y con el manejo de residuos.

Riesgo del capital humano

Este riesgo se origina cuando hace falta personal clave, o el existente carece de la actitud,
aptitud y experiencia, necesarios para desarrollar las funciones y responsabilidades
inherentes a los puestos de trabajo. Además, puede presentarse cuando no existe una
adecuada evaluación de desempeño del personal.

IV. Proceso de administración de riesgos

Con base en los riesgos previamente enunciados, de manera no limitativa, las

organizaciones deben identificar los factores externos e internos que afectan en mayor
medida el logro de los objetivos organizacionales.

Para lograr una efectiva administración de riesgos se debe contar con la aprobación,
compromiso y soporte de la alta dirección de la organización y debe estar integrada en

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

10
 cada línea de negocio; ya que cada empleado tiene responsabilidad en el mantenimiento
de la reputación de la organización, de esta forma, la administración de riesgos debe
contar con una estrategia clara y que sea comunicada a todos los niveles.

Los riesgos deben ser evaluados como un proceso sistemático y continuo con el fin de
poder identificarlos, alinearlos, gestionarlos, controlarlos y monitorearlos en base a los
objetivos establecidos por el nivel más alto de la organización, que generalmente es el
Consejo de Administración y ejecutado por la dirección de la compañía.

Esta evaluación debe conducir a la alta dirección a una adecuada planificación y gestión
de la organización para contribuir al cumplimiento de sus objetivos, con la participación
de Auditoría Interna en el cumplimiento de las medidas de control establecidas.
Asimismo, se deben analizar los eventos externos que puedan afectar a la consecución
de dichos objetivos y a la generación de valor para los accionistas.

Una vez que se tiene una definición clara de los riesgos a los cuales puede estar expuesta
una organización, se deberá iniciar con la medición efectiva y cuantitativa del riesgo
asociado con la probabilidad de una pérdida en el futuro. La parte primordial en la
Administración Integral de Riesgos debe cumplir con los siguientes puntos:

1. Establecimiento del contexto de la organización

2. Identificar los riesgos del negocio
3. Establecer un análisis entre costo y tolerancia o aceptación a ciertos riesgos
4. Determinar los riesgos críticos
5. Establecer controles mitigantes
6. Establecer un proceso de monitoreo constante

Una vez que se tengan los puntos antes mencionados, se le podrá dar la confianza a la
Alta Dirección, al Consejo de Administración y a los Accionistas de que se tienen
identificados, medidos, analizados, mitigados, controlados y monitoreados los principales
riesgos de la organización.

De manera esquemática, el proceso de administración de riesgos puede reflejarse de la

siguiente manera:

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

11
 EL PROCESO DE ADMINISTRACIÓN DE RIESGOS

2. Identificar 4. Evaluar y
1. Establecer 3. Analizar 5. Respuesta 6. Monitorear y
los Jerarquizar
el los al Revisar los
Riesgos los
Contexto Riesgos Riesgo Riesgos
Riesgos

PROCESO CONTINUO DEL RIESGO

Para la Administración Integral de Riesgos existen diferentes formas de medición que

ayudan a consolidar la información generada. Parte de la función de Auditoría Interna
será verificar que la administración defina una matriz donde identifique la probabilidad de
ocurrencia y el impacto.

A continuación se presenta un ejemplo de cómo pudiera construirse una matriz midiendo

esas dos variables.

A Casi imposible
B Remoto
C Probable
D Muy probable
Probabilidad
Difícil probabilidad de que ocurra
Ocurrirá sólo en circunstancias excepcionales
Puede ocurrir en cualquier momento
Ocurrirá en la mayoría de las circunstancias

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

12
Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015
13
 V. Conclusiones

Una vez analizados los riesgos de acuerdo con su probabilidad e impacto, la

Administración puede jerarquizar los procesos dentro de su organización a los que debe
enfocar sus esfuerzos.

La organización debe desarrollar una estrategia que establezca principios para la

identificación, evaluación, medición, control y monitoreo de los riesgos, de acuerdo con
sus objetivos, tamaño y complejidad de operaciones.

La función de Auditoría Interna, como uno de sus principales roles, requiere verificar que
el proceso de administración de riesgos se encuentra definido y que está siendo medido,
evaluado y monitoreado en forma continua.

Es responsabilidad de la organización identificar, evaluar e implementar los

procedimientos que controlen, compartan o transfieran los riesgos, utilizando datos e
información disponible.

Por su parte, Auditoría Interna debe evaluar si fueron identificados los riesgos relevantes
de la organización y si los controles se han diseñado de manera adecuada y están
operando de manera eficiente para mitigar el nivel de exposición.

Es importante mencionar que el proceso de Administración de Riesgos se debe llevar a

cabo de manera anual, o en su caso, antes si existieran cambios importantes en la
estructura administrativa, en la estrategia, en los procesos, sistemas o inclusive en
cualquier factor interno o externo que tuviera un impacto relevante para la organización.

Artículo Técnico de Comisión SE Auditoría Interna – Sur – Julio de 2015

14