Recepción: 03 Noviembre 2016
Aprobación: 10 Diciembre 2016
Resumen: Este artículo ilustra el contenido de una guía para la administración de riesgos, la guía está diseñada para ser implementada en empresas privadas del sector real, donde el Revisor Fiscal vigilará su cumplimiento y también la utilizará para su beneficio poniéndola en práctica en el desarrollo de sus labores, es decir, que la Guía para la administración del riesgo empresarial, puede servir de orientación y buena práctica para las empresas, y también puede servir de herramienta para el control que ejerce el Revisor Fiscal. La guía se desarrolla con base en la conceptualización y propuestas teóricas de riesgos que deben ser llevadas a la práctica del control, la metodología estructurada paso a paso de la guía y el manejo del mismo lenguaje en función de riesgos, construye una estrecha relación entre los objetivos de control de la empresa y los objetivos de control del Revisor Fiscal, finalmente la guía propone acciones para el manejo y control de los riesgos corporativos.
Palabras clave: Auditoría, riesgo, Revisor Fiscal, frecuencia, impacto, administración de riesgo.
Abstract: This article illustrates the contents of a guide for risk management. This guide is designed to be implemented in private companies in the real sector, where the Auditor will monitor its compliance and also use it for its benefit, putting it into practice in the development of its That is, that the Guide for the management of business risk can serve as a guide and good practice for companies, and can also serve as a context for the control of the Auditor. The guide is developed based on the conceptualization and theoretical proposals of risks that must be brought to the practice of control, the step-by-step structured methodology of the guide and the management of the same language in terms of risks, builds a close relationship between the Objectives of control of the company and the objectives of control of the Fiscal Auditor, finally the guide proposes actions for the management and control of corporate risks.
Keywords: Risk, Auditor, Frequency, Impact, Auditor, risk management.
Resumo: Este artigo ilustra o conteúdo de um guia para gerenciamento de riscos. O guia foi projetado para ser implementado em empresas privadas no setor real, onde o Auditor Fiscal irá monitorar sua conformidade e também usálo para seu benefício, colocando-o em prática no desenvolvimento de sua ou seja, que o Guia para a gestão do risco corporativo pode servir de guia e boas práticas para as empresas, e também pode servir como uma ferramenta para o controle do Auditor. O guia é desenvolvido com base na conceitualização e propostas teóricas de riscos que devem ser levados à prática de controle, a metodologia estruturada passo a passo do guia e a gestão da mesma linguagem em termos de riscos, cria uma estreita relação entre a objetivos de controle da empresa e objetivos de controle do Auditor Fiscal, finalmente o guia propõe ações para gerenciamento e controle de riscos corporativos.
Palavras-chave: Auditoria, Risco, Fiscal, Frequência, Impacto, gerenciamento de risco, classificação.
Introducción
Dada la actual vulnerabilidad de los procesos corporativos hacia los riesgos y las continuas amenazas hacia los recursos de la empresa (tecnológicos, humanos, económicos y legales), se hace necesaria la construcción y ejecución de los sistemas de control interno, orientando los procesos hacia la evaluación continua de la eficiencia, efectividad y la eficacia razonable. El Revisor Fiscal deberá considerar necesaria la posibilidad de contar con herramientas suficientes para realizar su trabajo y prevenir el fraude, una guía para la Administración del Riesgo, resultaría ser un documento necesario en la documentación de las empresas, esto con el ánimo de ponerlo en práctica y hacer que contribuya al desempeño del trabajo de control y al logro de los objetivos señalados en el Direccionamiento Estratégico corporativo.
Esta Guía deberá aportar a la implementación y toma de conciencia de una cultura de Autocontrol, Autorregulación y Autogestión, que normalmente debe ser propuesta por la Alta Dirección, para dar cumplimiento a los objetivos propuestos en el Direccionamiento Estratégico corporativo.
Los principios y posteriores alcances sobre la administración del riesgo corporativo serán el pilar de una política de gestión propuesta por la Alta Dirección, y deberá manifestarse continuamente en la implementación de principios, normas, guías, procedimientos y demás elementos de control y evaluación incluyendo lo documental; en esta responsabilidad se involucran todos los niveles del personal.2. El Revisor Fiscal resulta ser un actor principal desempeñando la revisión del control interno3 y utilizando la guía como instrumento orientador de criterios, teorías y valores, propios para de entidad auditada.
El artículo está compuesto por definiciones propias de riesgos y controles, por explicaciones conceptuales y por propuestas para el desarrollo de mejores prácticas sobre el control de riesgos para el Revisor Fiscal y las personas que dentro de la empresa actúan para la administración de riesgos, finalmente se emiten conclusiones y recomendaciones.
Metodología
El artículo es desarrollado mediante una metodología cualitativa donde se describe la participación de los elementos utilizados para valorar un riesgo, el comportamiento del revisor fiscal y el fenómeno del riesgo como elemento esencial para su análisis y administración.
Investigación Descriptiva: Busca describir, los componentes del riesgo y todos los elementos que le rodean para aplicarlos a la realidad de las funciones del Revisor fiscal.
Investigación Explicativa: Luego de identificar los componentes y elementos del riesgo, se buscará su relación causal y el aporte que puede dar esta relación a la función del contador público como revisor fiscal, buscando solucionar la problemática empresarial que comienza con la generación de riesgos, la falta de implementación de controles o el desconocimiento de normas, leyes o regulaciones.
Elementos para el control de riesgos
En la etapa de planeación del trabajo del Revisor Fiscal, se deberían tener en cuenta los elementos que interactúan en la Administración del riesgo en las empresas, cada uno de estos elementos son necesarios para que el Revisor Fiscal contextualice su actuar con relación a la administración del riesgo empresarial, los elementos prácticos descritos a continuación harán parte de la composición organizacional del control interno en las empresas y servirán para que el trabajo del Revisor Fiscal empiece de forma clara y ordenada desde el conocimiento de la empresa hasta la emisión de informes. (Estupiñán, 2003, p.58).
• Establecer el contexto: La empresa establece organizacionalmente su contexto estratégico y de gestión del riesgo en el cual se establecen los criterios para evaluar y analizar la estructura de los riesgos identificados.
• Identificar riesgos: Identificar mediante una descripción del riesgo el qué, por qué y el Cómo pueden surgir elementos como base para el posterior análisis de riesgos.
• Analizar riesgos: Tener en cuenta las consecuencias, las posibilidades y los espacios en un rango de aceptabilidad o rechazo y poder determinar un estimado del nivel de riesgo.
• Evaluar los riesgos: El Revisor Fiscal moderno debe tener presentes los niveles de riesgo calculados contra los criterios de aceptabilidad propuestos por las empresas. Esto posibilita que los riesgos sean posicionados de acuerdo a su criticidad de modo que se identifiquen las acciones a seguir. Por ejemplo si los niveles de riesgo obtenidos son bajos, entonces, los riesgos pueden estar en una categoría de riesgos aceptables y es posible que no se requiera tratamiento alguno. Este sistema de evaluación es importante para que el Revisor Fiscal determine sus prioridades de revisión.
• Tratar los riesgos: Las empresas realizan auditorías que llevan a aceptar y monitorear los riesgos, el Revisor Fiscal también se puede apoyar de estos trabajos realizados por otros entes de control y así mismo se podrá enterar de como se le hace seguimiento a los riesgos y controles implementados.
• Monitorear y revisar: Es revisar el desempeño procedimental del sistema para la Administración del riesgo y los cambios futuros que pudieran afectarlo.
• Comunicar y consultar: En relación con las partes interesadas internas y externas en las etapas del proceso para la Administración del riesgo, es la forma más eficiente para transmitir o comunicar lo gestionado en riesgos, y esta documentación sobre la divulgación también es aprovechada por el Revisor Fiscal para soportar sus informes de auditoría.
Objetivo de la guía para la administración del riesgo
Para el Revisor Fiscal, la Guía de Administración del riesgo suministrará la información necesaria para identificar, administrar y hacer seguimiento a los riesgos y controles que han sido identificados en la empresa auditada.
Establecer una metodología basada en buenas prácticas para la administración del Riesgo en las Empresas, que involucra la identificación, el estudio, evaluación, tratamiento y seguimiento de los riesgos.
Orientación de la guía de administración del riesgo hacia la revisoría fiscal
El direccionamiento de la guía hacia los Revisores Fiscales, se encamina inicialmente al manejo de los conceptos relacionados con la administración de los riesgos, su tratamiento y la posterior valoración, posteriormente la guía le ilustra sobre los controles y por último suministra las acciones para el manejo y control de los riesgos, al Revisor Fiscal le resulta de gran utilidad la obtención de una estructura organizada de todos los conceptos relacionados con la administración de riesgos para la evaluación del control interno en las empresas. (Hoeste, 2011, p. 29).
Sistemas de administración del riesgo
A continuación se mencionan los sistemas de administración del riesgo, a los cuáles las empresas Colombianas están obligadas en su cumplimiento. El Revisor Fiscal debe tener claridad sobre los Sistemas de Administración del Riesgo (SAR), de acuerdo con las necesidades y obligaciones de las empresas auditadas; a continuación se dan a conocer los SAR que pueden y deben implementarse en las empresas, y a los cuales se debe levantar una documentación y unos procesos prácticos de actividades operativas.
SARLAFT4
El Sistema para la Administración del Riesgo del Lavado de Activos y la Financiación del Terrorismo está regulado para todas las corporaciones financieras vigiladas por la Superintendencia Financiera, y el Sistema Integral de Prevención y Control del Lavado de Activos y de la Financiación del Terrorismo, obligatorio para las Empresas del sector solidario de ahorro, crédito y Cooperativas integrales con sección de ahorro y crédito.
SARL
El Sistema de Administración del Riesgo de Liquidez, presentado desde el 2015 por la superintendencia financiera de Colombia, debe permitir a las organizaciones establecer actividades encauzadas a evaluar el comportamiento del riesgo de liquidez, así como contar con herramientas que proponga un valor para su seguimiento y permitan medir la gravedad de la exposición al riesgo de liquidez.
La organización deberá tener en cuenta las siguientes Actividades para la implementación del control:
• Las actividades de control deberán aprobarse por un Consejo de Administración o comité de control y deberán comunicarse a todas las partes interesadas.
• Las actividades de control deberán ser proporcionales con el volumen y la complejidad del objeto social de la organización.
• Las actividades de control deberán estar alineadas con el desarrollo de sus procesos misionales
• Las actividades de control deberán considerar la estrategia de las organizaciones, sus actividades y otras muchas condiciones internas y externas que le afectan.
• Las actividades de control deberán tener en cuenta las políticas comerciales y de mercado.
La adopción del SARL empieza con una introducción gradual para las organizaciones de forma estructurada y teniendo en cuenta su objeto social, tamaño, cantidad operaciones, cantidad de empleados, entre otros muchos criterios. las organizaciones se prepararán para adelantar este proceso, que será vigilado constantemente por la Superintendencia financiera, de sociedades y solidaria.
SARO
El Sistema de Administración de Riesgos Operativos SARO, recoge un Conjunto de elementos organizacionales tales como políticas, procedimientos, documentación, registro de eventos, Estructura tecnológica, niveles y forma de divulgación de información estrategias de capacitación, para facilitarle a las entidades vigilantes que identifiquen, midan, controlen y hagan seguimiento al riesgo operativo. El principal objetivo del SARO, es disminuir el grado de pérdidas, mediante el control de los riesgos operativos.
El Sistema de Administración de Riesgo Operativo (SARO), contemplará los siguientes componentes para la gestión de este riesgo.
Plataforma tecnológica, es un elemento esencial compuesto por centros de cómputo, red de comunicaciones, aplicaciones informáticas, canales de comunicaciones y de prestación de servicio y seguridad integral.
Plan de conservación y custodia de la información tanto documental como electrónica. El Representante Legal debe constar que los sistemas de seguridad física, lógica, administrativa y tecnológica son efectivos.
Plan de continuidad del negocio y planes de contingencia, con los cuales operará la entidad. El Representante Legal es el responsable de su construcción, implementación y divulgación.
Descripción de los procesos misionales, con sus respectivos procedimientos, actividades y tareas.
Remitir información de aquellas actividades que serán contratadas con terceros, deberán incluirse en todas la políticas internas que tengan relación con los terceros internos y externos.
SARM
En concordancia con la evaluación y descripción de los riesgos inherentes y las medidas para administrar y controlar los riesgos, la Empresa debe presentar un Manual de Sistema de Administración de Riesgo de Mercado (SARM), el cual debe contener cada uno de los componentes para la adecuada gestión de este riesgo, de conformidad con el perfil de riesgo definido en su planeación estratégica.
En desarrollo de sus operaciones, las entidades expuestas al riesgo de mercado, puede llegar a afectar su estabilidad incluso financiera.
Con el fin de evitar situaciones de inestabilidad e inviabilidad, la Superintendencia aconseja implementar un SARM, para identificar, analizar y monitorear de forma eficaz este riesgo. Dicho sistema permitirá a las entidades la toma de decisiones oportunas cuando sea necesario.
El SARM que se implemente en las entidades, debe tener políticas y procedimientos para su adecuado funcionamiento, las etapas y los componentes del SARM deben incluir un registro documental íntegro, oportuno, confiable y disponible para tener acceso a esta información.
SARC
El Sistema de Administración del Riesgo Crediticio, propuesto desde el 2011 por la Superintendencia Financiera de Colombia, exige a las empresas vigiladas que deben contener políticas y procedimientos que logren identificar, evaluar, calificar y controlar los riesgos crediticios, es por eso que se hace necesario que los órganos de dirección y control, implementen políticas para la correcta administración del riesgo crediticio, no sólo desde la óptica de adopción de un sistema de provisiones, sino desde el mismo momento del otorgamiento de créditos y su permanente seguimiento.
El SARC debe contar con estrategias de divulgación de información continuas como la construcción de carteleras, folletos, mensajes, medios informáticos y diversos medios de comunicaciones hacia los clientes y deudores de la entidad acerca de las condiciones, el alcance y novedades sobre las reglas internas y externas que continuamente se adopten ya sean por ejemplo las comunicadas por las centrales de riesgos, la jurisprudencia nacional o los mandatos emitidos por cualquier otra entidad de control.
Documentos físicos y virtuales
Para el Revisor Fiscal es muy importante tener claridad sobre los tipos de documentos que maneja la empresa y el nivel de riesgos que se le asigna, ésta Clasificación está relacionada con la calificación de los documentos de acuerdo a su criticidad, importancia o acceso teniendo en cuenta el nivel de confidencialidad y manejo de los mismos, al definir la empresa estos cinco niveles jerárquicos para la custodia y manejo documental, asume la responsabilidad para la creación de una política documental que define claramente cada uno de estos documentos y les da la importancia por medio de procedimientos escritos y aprobados, esta gestión debe estar a cargo del proceso de Calidad y del proceso Documental, el Revisor Fiscal debe verificar el cumplimiento de esta política documental.
Esta clasificación se hace en 5 niveles de riesgo de acuerdo a la importancia de cada documento.
Espacios físicos y virtuales
Esta definición de espacios está relacionada con los lugares físicos de accesos y lugares en la nube donde se deposita o custodian los archivos, carpetas, aplicativos, ficheros o cualquier otro medio físico y magnético que requiera su resguardo bajo la administración de un responsable. Estos espacios tanto físicos como virtuales deben ser reconocidos por el Revisor Fiscal de acuerdo con la clasificación dada a cada uno de ellos.
Esta clasificación se hace en 5 niveles de riesgo de acuerdo al lugar donde se puede materializar el riesgo.
Riesgos corporativos
Son los riesgos a los cuales puede estar expuesta la empresa, y por los cuales el Revisor Fiscal debe estar pendiente de su posible materialización, inicialmente para identificar a que riesgos está expuesta la empresa, se realiza un diagnóstico sobre la existencia de riesgos, esta información es analizada y posteriormente la empresa define sus riesgos corporativos, los cuales oscilan entre 5 y 10 como máximo, aquí tenemos algunos ejemplos de Riesgos corporativos.
• Desaciertos en la toma decisiones Administrativas y Operativas.
• Sanciones y multas por entes de control.
• Inestabilidad Financiera.
• Pérdida de Imagen Institucional.
• Inestabilidad en el objeto misional.
• Incurrir en un rezago tecnológico.
A continuación se dará una breve explicación de cada una de las descripciones de los riesgos corporativos dados como ejemplo.
Desaciertos en la toma decisiones Administrativas y Operativas.
Se puede dar por la falta de aplicación de controles necesarios en el momento de adjudicar alguna responsabilidad contractual, el desconocimiento de procedimientos anteriores y posteriores luego de decidir sobre una acción importante para la Empresa.
Sanciones y multas por entes de control
Por el incumplimiento de alguna norma o regulación exigida por un tercero externo relacionado, y que tiene que ver con el incumplimiento de requisitos, la extemporaneidad, la negligencia, el abandono o el desconocimiento.
Inestabilidad Financiera
Se puede dar por la falta de estudios socioeconómicos de la competencia, errada asignación de tasas es producto de fluctuaciones considerables en la disminución en las colocaciones, Dada por la mala o poca gestión operativa o administrativa en el otorgamiento de créditos; también por el desconocimiento o falta de políticas de crédito; falta de estrategias corporativas; inestabilidad financiera por la Disminución en las captaciones; mala o poca gestión operativa o administrativa en el recaudo de aportes y cobro cartera; también por el desconocimiento o falta de políticas de captaciones; falta de estrategias corporativas direccionadas a las captaciones, Fraudes.
Pérdida de Imagen Institucional
Se puede materializar por la divulgación de información malintencionada, de forma directa o por la web, por la prestación de los servicios de forma errada o negligente, por el incumplimiento de políticas internas y externas, por la falta de políticas de modernización e innovación.
Inestabilidad en el objeto misional
Por la desafiliación masiva de socios o asociados, por el no cumplimiento de la misión y visión institucional, por el no cumplimiento de los objetivos corporativos, por sanciones de los entes de vigilancia y control.
Incurrir en un rezago tecnológico
Se puede dar por la falta de capacitación en tecnología, por el poco interés de investigación, por la falta de apoyo de la gerencia, por la falta de planes estratégicos, por las malas contrataciones o compras de tecnología; por el desinterés de los responsables.
Análisis de riesgos
A continuación se exponen los criterios analíticos propuestos a seguir por parte del administrador del riesgo incluyendo los elementos Espacios, Frecuencia e Impacto; se toman otros sinónimos para estos nombres de elementos, ya que se pretenden abordad los términos utilizados por otras metodologías internacionales y que hacen referencia a lo mismo (Frecuencia, también conocida como Probabilidad o Detección; Consecuencia, también conocida como impacto o severidad y Espacios, lugares, o escenarios).
El Revisor Fiscal debe tener claros los métodos de análisis y valoración propuestos en la empresa para la administración de riesgos, ya que aquí se originan los conceptos sobre el estado de la empresa en materia de riesgos.
Análisis cualitativo
Mediante este análisis se tomarán decisiones por parte del Revisor Fiscal para dimensionar la magnitud de posibles consecuencias o posibilidades de ocurrencia del riesgo y la determinación del lugar donde se puede originar dicho evento.
Esta tabla indica los nombres dados a cada uno de los 3 elementos del riesgo, y al final resulta el nombre de los 5 niveles del riesgo.
Análisis cuantitativo
Aquí se asignan valores que representan una medición de los espacios, la probabilidad y el impacto que combinados generan el nivel de riesgo.
El diseño de estas escalas cuantitativas debería realizarse con la participación del comité de riesgo y las personas involucradas en la administración del riesgo.
Esta clasificación hace referencia a los rangos de valores porcentuales donde puede ubicarse cada elemento de acuerdo a un nivel de los 5 asignados. El valor del riesgo de 1 a 125 es el resultado de los 5 niveles por los 3 elementos. (5x5x5=125).
Los riesgos detallados se deberán evaluar de acuerdo con los criterios propuestos de espacios, de Probabilidad y de Impacto, el valor máximo del riesgo es 125 debido a que se encuentran 3 elementos de evaluación (Espacios, Probabilidad e Impacto), los cuales tienen 5 criterios o niveles que al combinarlos todos contra todos, resulta una operación matemática máxima de 5x5x5=125.
Fuentes o causas de riesgo
Son los componentes que dan origen a un riesgo. Estos componentes pueden estar bajo el control de la organización o pueden estar por fuera de su control. Ambos tipos deben considerarse al identificar los riesgos. Entre las fuentes genéricas de riesgo se encuentran:
• Incumplimientos que generen sanciones y multas por entes de control
• Relaciones legales y comerciales con otras organizaciones y al interior de la empresa, por ejemplo: empleados, clientes, proveedores, subcontratistas, familiares, socios, y/o arrendatarios.
• Circunstancias y relaciones económicas y de mercado con organizaciones nacionales, e internacionales; así como factores que contribuyan a estas circunstancias, por ejemplo tasas de cambio.
• Comportamientos humanos: de quienes están involucrados en la organización.
• Eventos naturales
• Circunstancias políticas que pueden incluir cambios legislativos y factores sociales por los cuales se pueden influenciar a otras fuentes de riesgo.
• Asuntos tecnológicos y técnicos tanto internos como externos a la organización.
• Actividades individuales o particulares y que generen algún tipo de riesgo.
Factores de riesgos
Los factores de riesgos son los elementos que están generando las causas o fuentes de riesgo, Ejemplo. Una causa de la pérdida económica (riesgo), pueden ser las Sanciones y/o multas emitidas por la DIAN, los Factores: incumplimiento en la emisión del informe, o el error grave en la emisión del reporte.
El factor da respuesta al porqué de la causa, es cualquier rasgo, característica o exposición de un individuo que aumenta la probabilidad de materializar la causa del riesgo.
Consecuencias de riesgos
Es el resultado de un evento generado por alguna causa, fuente o elemento, la consecuencia puede ser cuantitativa o cualitativa, puede ser una pérdida o ganancia, puede generar una serie de resultados asociados con el evento inicial.
El Revisor Fiscal vigila permanentemente estas consecuencias, ya que generalmente su oficio se basa en la revisión post facto5, es decir luego de ocurrido el hecho
Tipos de riesgos
Corresponde a los grupos que contienen los diferentes riesgos, es la clasificación donde se puede enmarcar cada riesgo, cada uno de estos tipos contiene diversos riesgos los cuales en su descripción debe por lo menos mencionar: que riesgo es, porque se puede materializar, donde, cuando, porque y quienes participan como originadores del riesgo, el Revisor Fiscal tiene la capacidad de distinguir los diferentes tipos de riesgos y determinar si la clasificación de cada riesgo está acorde con la definición en su contenido. Los tipos de riesgos que se dan en un ambiente corporativo son:
• Estratégico
• Operativo
• Cumplimiento
• Imagen
• Político
• Financiero
Cada uno de los riesgos definidos para las empresas deben estar enmarcados en alguno de los tipos propuestos anteriormente, los riesgos definidos y descritos pueden cambiar pero los tipos de riesgos no cambian. (Estupinán, 2009, p.36).
Acciones para el manejo de riesgos
Luego de dar la calificación a cada riesgo, se debe determinar lo que se debe hacer con cada riesgo, aquí se proponen cuatro maneras de tratar el riesgo para que éste no afecte las finanzas ni las actividades normales de la empresa. Las acciones que se pueden tomar son:
• Reducir el riesgo
• Transferir el riesgo
• Aceptar el riesgo
• Evitar el riesgo
El Revisor Fiscal debe estar atento a las variaciones del riesgo a través del tiempo, las acciones definidas conllevan a que de acuerdo con la valoración cuantitativa del riesgo, el administrador de riesgos, tomará la determinación de cambiar la acción de los riesgos, y el Revisor Fiscal debe verificar que esas acciones para los riesgos sean las apropiadas porque estas acciones redundan en la toma de decisiones administrativas. (Rodríguez, 2014, p.12).
Matriz de riesgos
La matriz de riesgo es una herramienta práctica de control y gestión de riesgos, donde se pueden enfrentar tres componentes de valoración del riesgos, al cruzar los valores dados a estos componentes (frecuencia, impacto, espacios), resulta un valor para el riesgo, este valor resultante es el que se manifiesta como punto de partida para el tratamiento del riesgo de acuerdo con su nivel de criticidad, el auditor evaluará su pertinencia.
Los valores asignados por el administrador del riesgo parten del peso de criticidad que se le dé a los hallazgos de cada auditoria (Montero C., 2015, p.33), allí se identifican los riesgos y dependiendo de la situación de frecuencia, impacto y el lugar donde se presente el riesgo, se le asignan los valores, esta valoración se tomará en cuenta para realizar próximas auditorías, el Revisor Fiscal deberá concluir si las auditorías realizadas por el área de control interno de la empresa las realiza basándose en el nivel de riesgos.
La calificación del riesgo resulta de la combinación 1x1x1 (Espacio, Frecuencia e impacto), y hasta la combinación 5x5x5, para un total de 125 combinaciones ya que cada uno de los tres elementos (espacio, frecuencia e impacto) tiene 5 niveles de calificación. Es recomendable tomar una matriz de 5x5 y no 3x3 porque la matriz 3x3 se limitaría mucho en las zonas del riesgo, es decir no se tienen suficientes criterios de calificación. (Estupiñán, 2014, p. 101).
Mapa de riesgos
El mapa de riesgos es la continuidad de la matriz de riesgos, en la matriz solo se contemplan tres elementos, aquí en el mapa se identifican muchos más, va desde la identificación de los lugares donde se pueden dar los riesgos hasta los controles a implementar y la evaluación de los riesgos residuales. El mapa de riesgos debe contener por lo menos los siguientes ítems.
• Proceso (Según el mapa de procesos corporativo)
• Procedimiento
• Descripción del riesgo
• Tipo de riesgo
• Factores de la causa del riesgo
• Causas o fuentes del riesgo
• Consecuencias del riesgo
• Valor del impacto del riesgo
• Valor de la consecuencia del riesgo
• Valor del espacio del riesgo
• Valor del Riesgo
• Acciones a tomar
• Controles a aplicar
• Responsable del control
• Tiempo / fecha de implementación del control
• Afectación del plan estratégico
• Fecha de seguimiento
• Evaluación de efectividad del control
• Riesgos residuales
• Observaciones / recomendaciones
Tipos de controles
Son los grupos de controles que el Administrador de Riesgos debe identificar para clasificar cada control. El Revisor Fiscal debe tener en cuenta
esta clasificación de controles para verificar si cada control propuesto por parte de los administradores del riesgo es la más adecuada. Los tipos de controles son:
• Preventivos
• Correctivos
• Detectivos
La descripción de los controles será enunciada por cada uno de los procesos. Se deberá elaborar por parte del administrador de riesgos una matriz de control de riesgos donde cada responsable de proceso escoja o proponga los controles necesarios de mejora continua y los relacione con un tipo de control. (Rodríguez, 2002, p.112).
Acciones para el control de riesgos
Se definen para controlar el espacio, la probabilidad o el impacto de riesgos, sirven de orientación para el Revisor Fiscal, al cual le pueden servir para emitir recomendaciones.
Reducción de la probabilidad
Son los elementos, condiciones, situaciones o criterios que se tienen en cuenta para la reducción de probabilidades y que están propuestos por el COSO (Committee of Sponsoring Organizations of The Treadway Commission, 1998).
• Programas de auditoría y cumplimiento
• Condiciones contractuales
• Revisiones formales de requerimientos, especificaciones, diseño, ingeniería y operaciones
• Inspecciones y controles de procesos
• Administración de inversiones y cartera
• Administración de proyectos
• Mantenimiento preventivo
• Aseguramiento de calidad, administración y estándares
• Investigación y desarrollo, desarrollo tecnológico
• Capacitación estructurada y otros programas
• Supervisión
• Comprobaciones
• Acuerdos organizacionales
• Controles técnicos
Reducción de impacto
La reducción del impacto de los riesgos se puede dar por las siguientes circunstancias, es importante que el Revisor Fiscal las tenga pendientes para la elaboración del informe. (Committee of Sponsoring Organizations of The Treadway Commission, 1998).
• Planeamiento de contingencia
• Arreglos contractuales
• Condiciones contractuales
• Características de diseño
• Planes de Recuperación de desastres (DRP)
• Barreras de ingeniería y estructurales
• Planeamiento de control de fraudes
• Minimizar la exposición a fuentes de riesgo
• Planeamiento de cartera
• Diseño de política y controles
• Separación o reubicación de una actividad y recursos
• Mejoramiento de las relaciones públicas
Conclusiones
Se hace indispensable para el Revisor fiscal En Colombia, contar con una herramienta documental, bien organizada y que le aporte conceptualmente a la vigilancia de la gestión de los riesgos corporativos, la guía de administración de riesgo resulta ser un buen documento que proponga lineamientos de buenas prácticas.
Existen en Colombia diversos y efectivos sistemas de administración de riesgos que se expiden con el ánimo de emitir criterios que apoyan la gestión del control empresarial y que el revisor fiscal debe tener en cuenta para su buena gestión.
En la búsqueda de la mejora continua deberán participar todos los recursos corporativos como el económico, humano, técnico y legal, además, tener en cuenta la aplicación de una metodología con conceptos y lineamientos propios para cada empresa, todo esto definido en una Guía para la Administración de Riesgos Corporativos.
Referencias
Committee of Sponsoring Organizations of The Treadway Commission. (1998). Control interno de los nuevos instrumentos financieros. Bogotá, Ecoe Ediciones.
Estupiñán, R. (2003). Control interno y fraudes con base en los ciclos transaccionales, análisis de informe COSO. Bogotá, Ecoe Ediciones.
Estupiñan , R. (2009). Administración o gestión de riesgos E.R.M. y la auditoría interna, Gobierno corporativo, mapa de riesgos, comités de auditoría, listas y cuestionarios de control, normas internacionales de auditoría interna. Bogotá: Ecoe Ediciones.
Estupiñán, R. (2014). Administración de riesgos E.R.M. y la Auditoria Interna. Bogotá, Ecoe ediciones.
Hoeste, F. (2011). El contrato de seguro y la administración de riesgos en las empresas. Apuntes de clase.
Montero, C. (2015). Modelos Prácticos de Administración de Riesgos. Mexico: Ediciones Fiscales ISEF.
Rodríguez, T.2(002). Administración del Riesgo. Bogotá: Alfaomega.
Rodríguez, Y. (2014). Modelo de Dirección Estratégica basado en la Administración de Riesgos. Ingenieria Industrial.
Notas
