Identificación y Análisis de Riesgos en las Organizaciones. COSO III
Red de Conocimientos en Auditoría y Control Interno
De acuerdo con el nuevo Marco Integrado de Control Interno (COSO III), la administración de la organización debe identificar los riesgos para la consecución de sus objetivos y analizar los riesgos como base para determinar cómo se deben gestionar. La administración debe considerar los riesgos en todos los niveles de la organización y tomar las acciones necesarias para responder a estos. En este proceso se consideran los factores que influyen como la severidad, velocidad y persistencia del riesgo, la probabilidad de perdida de activos y el impacto relacionado sobre las actividades de operativas, de reporte y cumplimiento. Así mismo la entidad necesita entender su tolerancia al riesgo y su habilidad para funcionar y operar dentro de estos niveles de riesgo.
El proceso de identificación de riesgos debe ser integral y completo y considerar todas las interacciones significativas de bienes, servicios e información, internamente y entre la entidad y sus principales socios y proveedores de servicios externos.
Los riesgos pueden surgir en todos los niveles de la entidad y debido a factores tanto internos como externos. Una vez identificados estos factores se puede considerar su relevancia e importancia, y si es posible relacionarlos con riesgos y actividades específicas.
Riesgos externos: desarrollos tecnológicos que en caso de no adoptarse provocarían obsolescencia organizacional, cambios en las necesidades y expectativas de la demanda, condiciones macroeconómicas tanto a nivel internacional como nacional, condiciones microeconómicas, competencia elevada con otras organizaciones, dificultad para obtener crédito o costos elevados del mismo, complejidad y elevado dinamismo del entorno de la organización, y reglamentos y legislación que afecten negativamente a la organización.
– Riesgos económicos: cambios que pueden impactar las finanzas, la disponibilidad de capital, y barreras al acceso competitivo.
– Ambiente natural: catástrofes naturales o causadas por el ser humano, o cambios climáticos que puedan generar cambios en las operaciones, reducción en la disponibilidad de materia prima, perdida de sistemas de información, resaltando la necesidad de planes de contingencia.
– Factores regulatorios: nuevos estándares, regulaciones y leyes que impliquen cambios en las políticas y estrategias operativas y de reporte de la entidad.
– Operaciones extranjeras: cambios en el gobierno o leyes de países extranjeros que afecten a la entidad.
– Factores sociales: cambios en las necesidades y expectativas de los clientes que puedan afectar el desarrollo de los productos, procesos de producción, servicio al cliente, precios o garantías.
– Factores tecnológicos: desarrollos que pueden afectar la disponibilidad y uso de la información, costos de infraestructura y la demanda de los servicios basados en la tecnología.
Riesgos internos: riesgos referentes a la información financiera, a sistemas de información defectuosos, a pocos o cuestionables valores éticos del personal, a problemas con las aptitudes, actitudes y comportamiento del personal.
– Infraestructura: decisiones sobre el uso de recursos de capital que pueden afectar las operaciones y la disponibilidad de la infraestructura.
– Estructura de la administración: cambios en las responsabilidades de la administración que puedan afectar los controles que se llevan a cabo en la organización.
– Personal: calidad del personal contratado y los métodos de capacitación y motivación que puedan influir en el nivel de control de conciencia dentro de la entidad, y vencimiento de contratos que puedan afectar la disponibilidad de personal.
– Acceso a los activos: naturaleza de las actividades de la entidad y acceso de empleados a los activos, que puedan contribuir a la malversación de activos.
– Tecnología: alteraciones en los sistemas de información que puedan afectar los procesos de la entidad.
Los riesgos deben ser claramente identificados y esto se realiza mediante un mapeo de riesgos que incluye la especificación de los procesos claves de la organización, la identificación de los objetivos generales y particulares, y las amenazas y riesgos que pueden impedir que estos se cumplan. También es necesario llevar a cabo una evaluación de riesgos a nivel de transacciones, lo que permite tener un nivel aceptable de riesgo en la entidad.
Después de identificar riesgos tanto a nivel de la entidad como de transacciones, se lleva a cabo el análisis de riesgos. Este proceso debe incluir la evaluación de la probabilidad de que ocurra un riesgo, el impacto que causaría y la importancia del riesgo. Es importante estimar la probabilidad de ocurrencia de los riesgos identificados con el fin de calcular posibles pérdidas. Esta estimación comprende tres variables; probabilidad, impacto y velocidad; con estas consideraciones se puede construir una matriz de riesgos para determinar los riesgos prioritarios.
La importancia de cada riesgo en su control interno se basa en la probabilidad de manifestación y en el impacto que puede causar en la organización. La velocidad del riesgo se refiere a la rapidez con la que el impacto se evidenciará en la entidad. El impacto se refiere a la pérdida de activos y de tiempo, la disminución de la eficiencia y eficacia de las actividades, los efectos negativos en los recursos humanos, y la alteración de la exactitud de la información de la organización, entre otras. El impacto debe estar expresado en una única unidad que puede ser monetaria.
El riesgo comprende barreras que se imponen a la organización en su crecimiento o inclusive para su supervivencia. Eliminar completamente el riesgo es una situación hipotética, porque los factores a considerar son demasiados en un entorno donde el dinamismo es una constante. Sin embargo, existen muchas acciones para reducir el riesgo de que la organización sea afectada. Una de estas es la implementación de un adecuado sistema de control interno.
Debido a que las condiciones económicas, industriales, legislativas y operativas cambian constantemente, es necesario disponer de mecanismos para identificar y afrontar los riesgos asociados. En una organización no existe forma de reducir los riesgos a cero. Debido a esto se pueden distinguir dos tipos de riesgos: riesgos inherentes y el riesgo residual. El riesgo inherente es el riesgo para el cumplimiento de los objetivos de la entidad en la ausencia de las acciones de la administración para modificar su probabilidad o impacto; y el riesgo residual es el que permanece después de que la administración lleva a cabo sus respuestas a los riesgos.
Finalmente, luego de evaluar los riesgos significativos, la administración debe considerar cómo van a ser manejados. Esto implica el uso del juicio y un análisis razonable de costos asociados con la reducción de los niveles de riesgo. Las respuestas a los riesgos se organizan en las siguientes categorías:
Categoría Descripción
Aceptación Ninguna acción es tomada para modificar la probabilidad o impacto del riesgo
Anulación Salida de actividades que dan lugar a riesgos
Reducción Acciones tomadas para reducir la probabilidad o impacto del riesgo
Compartir Reducir la probabilidad o impacto del riesgo, transfiriéndolo o compartiendo una parte del riesgo
Importante: El Equipo Auditool ha diseñado el Curso Virtual: Marco de Control Interno COSO III – Versión 2013. El objetivo de éste curso es el de presentar a los participantes la nueva estructura del Marco Integrado de Control Interno COSO, publicada en mayo de 2013. Mayor información, desde AQUI
Comentarios