VALORACION Y MANEJO DEL RIESGO - COSO

COMITÉ OF SPONSORING ORGANIZATIONS OF THE THEADWAY

COMISIÓN - COSO

VALORACIÓN DE RIESGOS

Cada Entidad enfrenta una variedad de riesgos derivados de fuentes

externas e internas, los cuales deben valorarse. Una condición previa
para la valoración de riesgos, es el establecimiento de objetivos
enlazados en niveles diferentes y consistentes internamente. La
valoración de riesgos es la identificación y análisis de los riesgos
relevantes para la consecución de los objetivos, formando una base para
la determinación de cómo deben administrarse los riesgos. Dado que las
condiciones económicas, industriales, reguladas y de operación
continuaran cambiando, se necesitan mecanismos para identificar y
tratar los riesgos especiales asociados con el cambio.

MARCO CONCEPTUAL DEL RIESGO

El concepto del riesgo ha tenido varias aplicaciones en cuanto a su

interpretación y manejo dependiendo de su desarrollo, llegando a
identificar diferentes tipos de riesgo que las empresas tienen que
conocer, evaluar y administrar.

La oficina de Control Interno para desempeñar una mejor labor y dar un

mayor valor agregado a su trabajo, tiene la necesidad de apoyar a la
Gerencia en la identificación, medición y control de dichos riesgos.

De esto se desprende que para ejercer la evaluación y el control

institucional a niveles operacional, financiera, de cumplimiento, de
gestión, o en general de control o auditoría integral, debe cambiar su
equivocada función policiva para empezar a desarrollar una labor de
asesoría a la gerencia, donde centre sus esfuerzos en examinar el logro
satisfactorio de los objetivos del control, más que mirar culpables o
buscar delincuentes responsables.

DEFINICIONES DE RIESGO

El riesgo es una medida de incertidumbre que refleja hechos presentes o

futuros que pueden ocasionar una ruptura en el flujo de información o
incumplimiento en el logro de los objetivos organizacionales.

PROCESO DE LA ADMINISTRACIÓN DEL RIESGO

La práctica de la administración de riesgos debe mantener una

secuencia lógica de procedimientos para que el alcance del trabajo sea

1
 VALORACION Y MANEJO DEL RIESGO - COSO

el ideal y pueda proporcionar un valor agregado real y permita un fácil

entendimiento para quienes van a efectuar el trabajo de campo, así
como para los usuarios finales de la información.

Figura 1. Proceso de Administración de Riesgos

1. Determinación de Objetivos:

Se establecen de manera clara y precisa los objetivos que espera la

organización con la implementación de esta administración del riesgo
y los alcances que pretende alcanzar por parte de los que ejecuten
dicha administración. Esta fase es fundamental ya que no es
concebible poner a funcionar un proyecto de cualquier naturaleza sin
la debida planeación de sus objetivos.

2. Identificación de Riesgos:

Esta fase es una de las más críticas, pues si no se efectúa una debida
identificación de los potenciales riesgos a los que está expuesta una
organización, estos no podrán ser debidamente administrados. No es
posible generalizar los riesgos de las empresas, ya que éstas difieren
en sus actividades, ubicación geográfica, políticas específicas por
sector, patrones de tipo cultural, social, entre otros.

2
 VALORACION Y MANEJO DEL RIESGO - COSO

Para la identificación de riesgos se pueden utilizar una gran variedad de

herramientas y fuentes de información, entre otras:

Registros internos de la organización. Todos aquellos documentos que muestren

información concerniente a los diferentes procesos que realiza un ente económico.
El análisis de estos documentos puede revelarnos posibles errores que aumentarían
significativamente la exposición a algunos riesgos particulares. Por ejemplo, si se
observa que las facturas de venta que emite la empresa no cumplen todos los
requisitos legales, aumenta el riesgo fiscal en cuanto esto puede ocasionar sanciones
o multas ante la División de Impuestos y Aduanas Nacionales DIAN.
Políticas de seguridad: Son todas aquellas medidas que emplea la organización
para salvaguardar sus bienes y propiedades, y aquellas políticas encaminadas al
bienestar del recurso humano de la empresa. La información que nos puede
proporcionar esta fuente nos ayudará a detectar riesgos en los procesos, tales como
una inadecuada segregación de funciones.
Cuestionarios de Control Interno: Son formularios de carácter interrogativo que
se les efectúa a los encargados de cada sistema o división, con el fin de observar
posibles omisiones en la implementación de los controles, o si por el contrario,
estos controles están ayudando a minimizar el impacto de la exposición a ciertos
riesgos.
Flujogramas de los procesos: La representación gráfica de los procesos que
realiza una empresa es una herramienta que permite la identificación de los puntos
críticos de riesgo, ya que en ellos se muestran los momentos en los cuales la
responsabilidad recae sobre uno u otro funcionario, estableciendo de una forma
preliminar las factibles medidas de control que se establecerían para manejar dichos
riesgos.
Análisis de Estados Financieros: El análisis de los estados financieros nos pueden
mostrar las características del ente económico, la concentración de sus recursos y la
magnitud de ciertos rubros que o tengan un riesgo inherente mayor, tales como el
disponible; esta magnitud se puede estudiar tanto por su saldo final como por el
movimiento que efectuó a lo largo del período contable, respetando la norma básica
de la importancia relativa o materialidad.
Inspección de las operaciones: La inspección directa de las operaciones nos
proporciona información que no fue considerada en el análisis del diagrama de flujo
de los diferentes procesos que realiza un ente económico.
Entrevistas: Son contactos que se efectúan con expertos ya sean de carácter interno
o externo a la organización que nos proporcione información que nos permita una
mayor certeza de que el juicio que estemos estructurando sea el adecuado en caso
que se tengan inquietudes o incertidumbres a lo largo del trabajo de auditoría.

Lo ideal es utilizar en forma simultánea dichas fuentes de información

para proporcionar una identificación más completa de los riesgos,
evitando en lo posible limitar la práctica hacia una sola de éstas fuentes.

3
 VALORACION Y MANEJO DEL RIESGO - COSO

McNamee proporciona tres métodos para la identificación de los riesgos,

los cuales se resumen en la siguiente tabla:

Métodos de Identificación de Riesgos.

MÉTODO OBJETIVO EJEMPLOS

Utiliza el conocimiento de las Tecnológicas
Económicas
operaciones de la organización. Proveedores
Valuación Políticas
Considera los cambios probables Régimen
Ambiental Constituyentes
en el ambiente para identificar Gubernamental
Competencia
consecuencias: Físicas
Utiliza el conocimiento de los Tamaño
Valoración recursos de la organización. Valor Movilidad/
de Considera las posibles Tipo (Financiero, Accesibilidad
Exposición consecuencias para los activos humano, intangible, Localización
basados en: físico)
Define los elementos difíciles de
Escenarios Desastres Naturales Sabotaje
medir, de baja probabilidad y alta
de Amenaza Terrorismo Fraude
consecuencia (Impacto).

El cuadro anterior muestra en nuestro concepto elementos claves en el

momento de la clasificación de los riesgos en tres valuaciones o
valoraciones macro, las cuales pueden ser analizadas detalladamente a
nivel micro como por ejemplo: En cuanto a la valuación ambiental, se
puede analizar detalladamente la competencia al nivel de:

Participación en el mercado.
Manejo de políticas de mantenimiento en el mercado (publicidad, ofertas,
descuentos).
Participación constante en el tiempo, como el caso de los productos navideños que
solamente tienen su apogeo al final de cada año.
Manejo de los insumos que requiere para la elaboración del producto final.
Análisis de potenciales clientes.
Métodos de investigación de mercados, etc.

3. Evaluación de Riesgos:

Consiste en la medición de los posibles impactos y consecuencias de

los riesgos identificados en la fase anterior. Una vez hecha la
medición, se clasifican en orden de prioridad. Vaughan establece que
es mejor establecer un orden con base en criterios como:
Críticos

4
 VALORACION Y MANEJO DEL RIESGO - COSO

Importantes
No importantes

Dentro de esta fase cabe destacar el concepto y metodología de la

valuación de riesgos (risk assessment), la cual es definida por McNamee
como "Una herramienta que ayuda a los gerentes y/o auditores a
detectar y tratar los riesgos en las operaciones; es una herramienta
para la toma de decisiones...". La manera como la valuación del riesgo
sirve a los intereses de la organización en cuanto al cumplimiento de sus
objetivos corporativos, se puede resumir en los siguientes aspectos:

A nivel macro se utiliza para identificar, medir y priorizar riesgos de manera que el
mayor esfuerzo sea utilizado para las áreas auditables de mayor significado.
Es una manera de asignar los recursos para satisfacer las necesidades de auditoría
de la organización.
A nivel micro se utiliza también dentro de la auditoría individual para identificar
áreas que sean más importantes dentro del alcance de la auditoría.
Incluye análisis de riesgos y los pasos prudentes que vienen de un mayor
entendimiento y conocimiento de las consecuencias de administrar en un ambiente
de incertidumbre.
Es la consideración de los probables efectos materiales de eventos inciertos.
A nivel macro, asegura que el departamento de auditoría se está enfocando en
auditar las cosas correctas. A nivel micro, dentro de cada auditoría se enfoca el
alcance en las áreas más importantes.

La práctica de la valuación de riesgos no es una aproximación

desarrollada de manera aislada por algunos autores tales como David
McNamee y Emmett Vaughan, sino que también ha sido de interés para
agrupaciones de profesionales, como es el caso del AICPA. Esta
asociación ha declarado que los auditores están en capacidad de ofrecer
y ejecutar de manera satisfactoria los servicios de la valuación de
riesgos, teniendo en cuenta separar estos servicios de los ya incluidos
en una auditoría ordinaria. El AICPA hace también énfasis en la
necesidad de estandarizar la prestación de estos servicios de valuación
de riesgos, para evitar que por falta de lineamientos generales a seguir
por parte de los auditores, las organizaciones decidan hacer outsourcing
para la ejecución de la valuación de riesgos.

MEJORES PRÁCTICAS DE CONTROL INTERNO PARA LA

ADMINISTRACION DEL RIESGO

Es necesario que en una organización donde se lleve a cabo el proceso

de administración del riesgo, la oficina de control interno en su
planeación incluya la evaluación y monitoreo de esta actividad. Gregg

5
 VALORACION Y MANEJO DEL RIESGO - COSO

Maynard propone las siguientes mejores prácticas de auditoría para

dicha evaluación.

Combinar el análisis objetivo y subjetivo del universo de auditoría para revelar

prioridades. Después de definir todas las actividades auditables (el universo de
auditoría), se asignan valores a cada una de estas actividades basándose en factores
objetivos y se da una clasificación cuantitativa por orden de importancia. Hecha
esta distribución se aplican factores subjetivos para ajustar la clasificación de la
información no cuantificable. Como resultado de este análisis combinado, se
identifican las áreas de riesgo material, de manera que los recursos de la auditoría
se asignen de manera apropiada.
Actualizar y compartir los resultados de la valuación. Las valuaciones del riesgo
deben ser continuamente reevaluadas debido a los constantes y diversos cambios
que suceden en el ambiente en el cual se desenvuelven las organizaciones
actualmente; de igual manera, los planes de auditoría se deben ajustar a estas
nuevas situaciones. Al compartir los resultados de las valuaciones con la alta
gerencia, el departamento de auditoría mejora la posición de la administración de
riesgos en la organización.
Analizar la habilidad de la administración para lograr metas y objetivos
establecidos en los informes de pre-auditoría. En estos informes, los auditores
consignan la naturaleza, historia, asuntos, éxitos y fallas de las actividades del
negocio a ser auditadas. Si junto a estas consideraciones preliminares se incluye una
evaluación de las actividades de la administración de riesgos, se logrará una
herramienta mucho más efectiva para los objetivos de la auditoría y de la
organización.
Utilizar cuestionarios para examinar los controles internos desde arriba hacia abajo.
Estos cuestionarios recopilan información valuable sobre el ambiente de control,
aunque generalmente se aplican sólo al nivel de departamentos y niveles inferiores,
pero no se aplican a nivel gerencial. El utilizar los cuestionarios en todos los niveles
de la organización provee un mejor entendimiento de la cultura organizacional.
Analizar los procesos para establecer y vigilar los límites del riesgo. Estos límites
especifican y cuantifican el rango aceptable en el cual se le permite conducirse al
negocio. Al llevar a cabo el análisis, el departamento de auditoría identifica límites
que hagan falta, evalúa lo apropiado de los límites existentes, y examina las
acciones que se toma cuando se pasan esos límites.
Revisar otras funciones de la administración de riesgos. Además del tradicional
cubrimiento de operaciones, una auditoría sobre otras funciones de la
administración de riesgos es importante. Esto lleva a que el equipo de auditoría se
diversifique en cuanto al conocimiento en diferentes áreas de la organización.
Observar el proceso de planeación estratégica y su resultado. Esta planeación es
desarrollada por la alta gerencia, y para no entrar en conflicto con la propiedad de
independencia que debe tener el equipo de auditoría, su rol será solo de consejería y
de observación, que no incluyan toma de decisiones. Al observar el proceso de
planeación estratégica, el equipo de auditoría obtiene información específica acerca
de la dirección futura de la organización, y los recursos de la auditoría se pueden
distribuir basados en nuevos riesgos, reforzando así los esfuerzos de la

6
 VALORACION Y MANEJO DEL RIESGO - COSO

administración del riesgo.

Evaluar iniciativas estratégicas. El éxito de estas iniciativas (fusiones,
adquisiciones, nuevos productos, alianzas, sistemas comprados,...) es un indicador
clave de la efectividad de la administración para mitigar apropiada y eficientemente
los riesgos.
Integrar las actividades de la auditoría. Algunos departamentos de auditoría están
combinando con muy buenos resultados las actividades de auditoría de Protección
Electrónica de Datos, las actividades de los Sistemas de Información Gerencial, con
los procesos financieros y operacionales. Esta integración permite evaluar la
administración de riesgos de manera sistemática y multifuncional.
Basar el proceso de auditoría en el efecto neto de las exposiciones al riesgo y los
controles compensatorios. Se trata de aplicar la ecuación "Exposición bruta al
riesgo / el control interno aplicable, igual riesgo de negocio residual". Para aplicar
esta "ecuación" es necesario entender la naturaleza y tipos de riesgo, así como
experiencia en la evaluación y aplicación de controles internos.
Asociarse con la gerencia ofreciendo servicios de consultoría e información con
valor agregado. Estos servicios que provee el departamento de auditoría mejoran la
relación adversa que a menudo existe entre el departamento y la gerencia, lo cual
mejora su status dentro de la organización.
Revisar los componentes éticos como un elemento básico del control interno. Como
elemento fundamental para un ambiente efectivo de control interno, los estándares
éticos de la organización establecen el rango aceptable en el cual se les permite
actuar a los empleados. El departamento de auditoría debe asegurar que los
estándares necesarios estén en su lugar, que los estándares existentes sean
apropiados y que las consecuencias estén diseñadas apropiadamente. Para esto el
equipo de auditoría debe examinar la comunicación y monitoreo de los estándares
éticos.
Llevar a cabo una auditoría comprensiva de todo el programa de la administración
de riesgos. La evaluación incluye un análisis de las interrelaciones entre las
funciones o pasos de la administración de riesgos, el nivel de coordinación entre
estas funciones, y el cubrimiento global del universo de la administración de
riesgos, midiendo de esta manera la efectividad del proceso.

MANEJO DEL RIESGO

Es necesario, después de identificar los riesgos, dar sugerencias para

que estos sean debidamente administrados, éstas sugerencias tienen
relación directa con las técnicas para el manejo del riesgo, y se debe
tener la capacidad suficiente para determinar con la debida propiedad
que técnicas aplicar a cada riesgo, teniendo en cuenta que un mismo
riesgo puede ser manejado por más de una técnica.

Estas técnicas son: a) evitar, b) reducir, c) retener, d) transferir y e)

compartir el riesgo. A continuación se explica cada una de estas:

7
 VALORACION Y MANEJO DEL RIESGO - COSO

a) EVITAR EL RIESGO

El riesgo es evitado cuando la organización rechaza aceptarlo, es decir,

no se permite ningún tipo de exposición. Esto se logra simplemente con
no comprometerse con la acción que origine el riesgo. Esta técnica tiene
más desventajas que ventajas, por cuanto la empresa se abstendría de
aprovechar muchas oportunidades y probablemente no cumpliría con los
objetivos propuestos.

b) REDUCIR O CONTROLAR EL RIESGO

El riesgo se reduce o controla a través de la prevención por medio de la

implementación de controles y su monitoreo constante. Esta es una
técnica ideal para el manejo de los riesgos, y es la más utilizada.

c) RETENER, ASUMIR O ACEPTAR EL RIESGO

Es uno de los métodos más comunes de manejar el riesgo, es la

decisión de aceptar las consecuencias de la ocurrencia del evento.

Para Vaughan, "esta retención puede ser consciente o inconsciente. La

retención consciente tiene lugar cuando el riesgo es percibido y no es
transferido o reducido; cuando el riesgo no es reconocido es retenido
inconscientemente.

Puede ser también voluntaria o involuntaria; la retención voluntaria se

caracteriza por el reconocimiento de la existencia del riesgo y un
acuerdo tácito de asumir las pérdidas involucradas, esta decisión se da
por la falta de alternativas. La retención involuntaria se da cuando el

8
 VALORACION Y MANEJO DEL RIESGO - COSO

riesgo es retenido inconscientemente y también cuando el riesgo no

puede ser evitado, transferido o reducido."

d) TRANSFERIR EL RIESGO

El riesgo puede ser transferido de una organización a otra que tenga

más capacidad de tratarlo. Para algunos autores, esta técnica es la
misma de compartir el riesgo; la diferencia es que al transferir el riesgo,
se cede todo, en cambio, al compartir el riesgo, la organización
responde por una parte del riesgo.

e) COMPARTIR O DIVERSIFICAR EL RIESGO

Es un caso especial de la transferencia del riesgo, es también una forma

de retener el riesgo. Cuando los riesgos son compartidos, la posibilidad
de pérdida es transferida de un individuo al grupo; sin embargo,
compartir el riesgo es también una forma de retenerlo en la cual el
riesgo "transferido" al grupo es retenido junto con los riesgos de los
demás miembros del grupo.

METODOLOGIA BÁSICA PARA ESTABLECER EL TIPO DE TECNICA

DE MANEJO DEL RIESGO

Vaughan1 ha desarrollado una matriz como herramienta para determinar

qué técnica de manejo de riesgos utilizar ante diversas situaciones. Esta
matriz categoriza el riesgo en cuatro clases, basadas en la combinación
de frecuencia (probabilidad) y severidad (Impacto) de cada riesgo.
Aunque no todos los riesgos se pueden clasificar así de fácil, esta matriz
da una aproximación útil para el análisis de los riesgos. 1 (Daniel Vaughan-
Whitehead; Oficina Internacional del Trabajo y Comisión Europea, Ginebra, 2007)

Matriz para Determinación de Técnicas del Tratamiento del Riesgo

ALTA BAJA
FRECUENCIA FRECUENCIA
ALTA
SEVERIDAD
BAJA
SEVERIDAD

Las características de cada riesgo son las que determinan su frecuencia

y severidad, y son las que definen el tipo de herramienta a utilizar para
su manejo y/o tratamiento.

Cuando los riesgos se caracterizan por ser de alta frecuencia y alta severidad, las

9
 VALORACION Y MANEJO DEL RIESGO - COSO

herramientas más apropiadas para el manejo y tratamiento son: evitarlo o

reducirlo.
Los riesgos caracterizados por alta frecuencia y baja severidad, son manejados y/o
tratados más apropiadamente a través de: retención y/o reducción.
Si los riesgos se caracterizan por tener una alta severidad y una baja frecuencia, se
pueden manejar y/o tratar mejor al transferir o compartir el riesgo.
Finalmente, los riesgos caracterizados por baja severidad y baja frecuencia se
manejan o tratan mejor mediante la retención.

De esta manera, la matriz quedaría así:

ALTA BAJA
FRECUENCIA FRECUENCIA
ALTA Evitar Transferir
SEVERIDAD Reducir Compartir
BAJA Retener
Retener
SEVERIDAD Reducir

Esta metodología vale la pena resaltar que funciona en la siguiente tabla

que muestra una comparación entre el enfoque de los tres paradigmas
anteriormente expuestos con respecto a ciertos aspectos clave en la
práctica de una auditoría.

10
 VALORACION Y MANEJO DEL RIESGO - COSO

Área de
Primer Paradigma Segundo Paradigma Tercer Paradigma
Auditoría
Enfoque de Verificación total de Sistema de Control
Riesgo del Negocio
Auditoría las operaciones Interno
Integral: financiera,
operacional, de
Tipo de Auditoría Financiera Financiera, operacional
cumplimiento y de
gestión
Errores, Todas las actividades
Enfoque de las
irregularidades y Actividades de control de mitigación del
Pruebas
fraudes riesgo
Muestras selectivas
Cobertura de las Según priorización de
Total según confiabilidad del
Pruebas riesgos
control interno
Eficacia, eficiencia,
Criterios a Eficacia, eficiencia y Eficacia, eficiencia y economía, equidad,
Revisar economía economía ética, ecología y
normatividad legal
Equipos
Ayuda de Otras
Ninguna Estadística e informática interdisciplinarios de
Disciplinas
auditoría
Establecer Conveniencia y Conveniencia y
Enfoque del
responsables por efectividad del control efectividad de la
Informe
errores o fraudes interno mitigación del riesgo
Detección de errores,
Resultado de la Controles nuevos o Mitigación apropiada
irregularidades y/o
Auditoría mejorados del riesgo
fraudes

11