Cerrar Menú
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingrese o regístrese acá para seguir este blog.

Seguir este blog

Por: Jesús Aisa Díez

 

Los indicadores de riesgos clave, también denominados por sus siglas en inglés KRI, son métricas usadas por las Organizaciones para obtener señales tempranas sobre la exposición creciente de  los riesgos a las que estén expuestas las diversas áreas del negocio, de manera que alerten sobre esta situación y puedan adoptarse las medidas correctoras que resulten pertinentes, antes de que los efectos negativos sobre los objetivos se hayan  materializado. Son por consiguiente una herramienta específica de gestión empresarial de los riesgos, a emplear por los distintos estamentos con responsabilidad en esta función- las Unidades de Auditoría Internas también-, pero en este caso para su utilización en el ámbito de las auditorías continuas, entendidas éstas como la realización automática y continuada de las evaluaciones de los controles y de los riesgos.

 

En este contexto las auditorías continuas no pretenden en su inicio verificar la bondad de los datos individualmente considerados, sino su coherencia con las situaciones consideradas adecuadas. Por ello un esquema de funcionamiento de las mismas se debería ajustar al siguiente esquema:

 

1.    De los procesos/riesgos seleccionados determinar sus indicadores más oportunos.

2.    Identificar los datos disponibles en las aplicaciones que permitan obtener las métricas seleccionadas. Programar su  captura.

3.    Para los que no estén en las aplicaciones, definir cuestionarios y fechas de recepción; estableciendo  métodos de comprobación.

4.    Definir las pistas de auditoría (rango de admisión de valores).

5.    Analizar los resultados y consultar las causas de las desviaciones atípicas.

6.    Abrir un proceso de auditoría para los casos no justificados razonablemente.

7.    Concluir sobre las causas reales que justifican las desviaciones.

8.     Proponer recomendaciones.

 

A modo de ejemplo, a continuación reproducimos el esquema de funcionamiento de la supervisión continuada del proceso de compras, respecto de los riegos: Reputacional,  fraude, corrupción, eficacia proceso e integridad patrimonial, empleado por una multinacional española.

 

 

Obviamente para que el proceso sea operativo y eficaz, es preciso disponer de las referencias que nos permitan comparar las situaciones observadas con las que resulten habituales y alineadas y compatibles con los objetivos del negocio,  permitiendo así detectar, o  intuir, la existencia de alguna incidencia, saltando las alarmas pertinentes, y desencadenando el proceso de verificación de las causas reales que posibiliten estas situaciones. No debiendo olvidar que los KRI no pretenden auditar datos, sino detectar anomalías. En la forma que se refleja en el siguiente esquema:

 

(Líneas  verde y negra límites admitidos, líneas quebradas evolución temporal  métricas; círculos rojos alarmas)

Adicionalmente a lo anterior, debemos buscar aquellos indicadores que aseguren su interrelación con los factores de riesgo que incidan en los objetivos, pero además, según COSO, se ha de identificar el origen de las  causas de los eventos indeseados – los denominados Root Cause Event-, en el sentido de que debemos profundizar en localizar las causas originales que producen los efectos negativos sobre los objetivos. Pongamos un ejemplo:

 

Supongamos una empresa que observa que sus beneficios están disminuyendo, por lo que pretende tomar las medidas que le permitan recuperar su rentabilidad. Para ello lo primero que debe aclarar es si esta pérdida de beneficios, es porque los ingresos disminuyen o porque los gastos se han incrementado, o los dos efectos a la vez. Dado que el análisis realizado demostró que no eran los gastos, sino en la bajada de ingresos en donde estaba el problema, habrá que seguir profundizando en el por qué de esa situación, observándose que era por la lógica pérdida de clientes, pero por qué: ¿mala calidad del producto, mal servicio, oferta de productos no demandados,…?, llegando a la conclusión que eso sucedía porque los precios no eran competitivos, dado que los costes de sus suministros eran muy elevados; siendo la causa de este problema el que el proceso de compras de la empresa era muy ineficiente, no aprovechando las oportunidades que les ofrecía el mercado, manteniendo sus relaciones exclusivamente con los proveedores de toda la vida.

 

Conocida la causa raíz del problema existente, ahora es cuando ya podremos determinar los KRI´s apropiados que nos permitan supervisar si el proceso de compras ha atendido a las recomendaciones que se les aportaron, entre ellas el de ampliar el espectro de oferentes a considerar antes de decidir las compras, por lo que un KRI considerado adecuado podría ser: El número de oferentes intervinientes en cada pedido formalizado.

 

Otro elemento importante de cualquier KRI es la calidad de los datos usados ​​para controlar un riesgo específico. La atención a la fuente de la información, ya sea ésta interna de la organización o extraída de una parte externa, es un aspecto fundamental, pues de la bondad de la información manejada dependerá la eficacia final del proceso.

 

Por último señalar que resulta poco probable que un solo KRI permita cubrir adecuadamente todas las facetas de un riesgo, haciéndose aconsejable analizar simultáneamente una colección de KRI  para ayudar a formar una mejor comprensión del riesgo que se esté supervisando. Tal y como se reflejaba en el esquema con el que se describía la metodología empleada por la multinacional de referencia en el control del proceso de compras, que como recordaremos para cada riesgo se vinculaban varios KRI´s.

 

En resumen, los indicadores de riesgos clave son herramientas de los Sistemas de Gestión de Riesgos que deben ser aplicados por las organizaciones a fin de poder anticipar el conocimiento sobre las amenazas que puedan resultar inherentes al negocio y a los objetivos establecidos. Pero que, además, también son útiles para que las Auditorías Internas puedan mejorar su eficiencia, dedicando su atención preferente a aquellos entes auditables en los que existan indicios de que se están alterando las condiciones de los factores de riesgo que influyen en su desarrollo, aconsejando su supervisión, e incorporándolos a los planes de auditoría como una decisión sobrevenida, como consecuencia de la actualización de los riesgos.

 


Jesús Aisa Díez:

Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del Instituto de Auditores Internos de España (IAI). Director Técnico de FSH Consulting. Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica. Colaborador de www.auditool.org, Red de Concimientos en Auditoría y Control Interno. 

 

Blog de Don Jesús Aisa Díez: http://auditoriainternasiglo21.blogspot.com.es/

(Visited 9 times, 1 visits today)

Etiquetas

PERFIL
Profile image

Auditool.org, es una red de conocimientos especializada en temas de auditoría y control interno, creada para permitir la transferencia de conocimiento de buenas prácticas a profesionales que laboran en estas áreas.

    Siga a este bloguero en sus redes sociales:

Más posts de este Blog

Ver más

Lo más leído en Blogs

1

Construir tu propio ordenador a partir de componentes individuales de PC tiene(...)

2

Cada día reafirmó la idea de que el poder habita dentro de(...)

3

Alquimia del café, duchas al aire libre y empanadas mirando al infinito.(...)

0 Comentarios
Ingrese aquí para que pueda comentar este post
Reglamento de comentarios

PORTAFOLIO no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto por comentario.
Acepto
¿Encontró un error?

Para PORTAFOLIO las observaciones sobre su contenido son importantes. Permítanos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de nuestra compañía.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Su calificación ha sido registrada.
Su participación ya fue registrada.
Haga su reporte
Cerrar
Debe escribir su reporte.
Su reporte ha sido enviado con éxito.
Debe ser un usuario registrado para poder reportar este comentario. Cerrar