lunes, 30 de abril de 2012

Evaluación riesgos: Análisis complementarios a la simple medición de frecuencia e impacto de los riesgos

Por: Juan Alberto Villanueva Chang

La fase de evaluación de riesgos en la gestión integral de riesgos es quizá la más importante y  requiere una minuciosa elaboración. De ella va a depender una acertada toma de decisiones sobre el tratamiento que se dará a los riesgos en una organización.   

En la práctica se suele ser ligeros al graficar la frecuencia e impacto de los riesgos, cuando en realidad se deben conocer de antemano una diversidad de elementos que deben respaldar la evaluación. Por lo general desconocemos o evitamos profundizar que existen análisis complementarios que conoce el técnico o dueño del proceso para una acertada decisión en la evaluación de riesgos. Estos fundamentos o análisis complementarios los llamamos técnicas de evaluación de riesgos.

Estas técnicas de evaluación de riesgos, que son diversas y de uso variado e intercalado entre ellas, requieren ser conocidas más a fondo para quienes evalúan riesgos , entender su significado y en forma especial su uso dependiendo del tipo de sector donde se apliquen.

Es oportuno mencionar que el ISO 31010 sobre técnicas de evaluación de riesgos nos proporciona una referencia importante de dichas técnicas, las mismas que se pueden aplicar en muchos sectores. En el caso del sector financiero, la regulación de Basilea difunde también algunas  técnicas de evaluación de riesgos a ser aplicados en sus regulaciones.

A continuación se presenta un inventario sobre las principales técnicas de evaluación de riesgos difundidas por las mencionadas organizaciones:
ISO 31010
Basilea
Check – lists
Duración
Análisis preliminar de peligros
Valor del Punto Básico
Lluvia de ideas
RAROC (rentabilidad del Capital Ajustado al Riesgo)
Entrevista estructura o semi estructurada
VaR (Métodos paramétricos)
Técnica Delphi
Matriz de varianza - coovarianza
Técnica estructurada “What- if” (SWIFT)
Ver Delta - Ver Beta
Evaluación de la fiabilidad humana (HRA)
Pruebas de tensión (Stress testing)
Análisis causa raíz (RCA)
Simulación histórica
Evaluación de toxicidad
Simulación Monte Carlo
Análisis de impacto de negocio (BIA)
Ejercicios de autocomprobación (Back testing)
Análisis de árbol de defectos (FTA)
Técnicas Scoring
Análisis de árbol de acontecimiento (ETA)
RCSA Autoevaluación de riesgos y controles
Análisis de causa consecuencia
KRIs Indicadores de riesgo clave
Análisis causa - efecto
Asignación o mapeo de riesgos (Risk mapping)
Modos de fracaso y análisis de efectos (FMEA) y modos de fracaso, efecto y análisis de criticidad (FMECA)
Tarjetas de puntaje (Scorecards)
Fiabilidad de centro de mantenimiento (RCM)
Análisis de escenarios
Análisis Sneak (SA) y análisis de circuito (SCI)
VaR operacional cuantitativo
Estudio de peligros de operabilidad (HAZOP)
Histogramas (Media, varianza)
Análisis de riesgos y puntos críticos de control (HCCAP)
Test de bondad de ajuste chi - cuadrado
Análisis de capas de protección (LOPA)

Análisis de Bow Tie

Análisis Markov

Simulación Monte Carlo

Estadísticas Bayesian y redes de Bahías

    ¿Te ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!

viernes, 27 de abril de 2012

Nunca Te Rindas

Para los que les gusta el béisbol, a continuación encontrarán una frase de Babe Ruth: 
“Usted no puede vencer a una persona que nunca se rinde.”
George Herman Ruth, reconocido beisbolista estadounidense de las Grandes Ligas (MLB).
¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

jueves, 26 de abril de 2012

miércoles, 25 de abril de 2012

Nueva Aplicación Revista Internal Auditor

Ahora puedes disfrutar de la Revista Internal Auditor (distribuida por el IIA Global a sus miembros) en cualquier lugar a través de una aplicación gratuita para dispositivos móviles. Podemos tener acceso a informaciones que afecta la profesión de auditoría interna en todo lugar y cualquier momento gracias a esta novedosa plataforma. He usado el App en mi IPad durante más de un mes y lo encuentro genial.

Las principales características del programa son:

  • Acceso a ediciones de la revista desde diciembre del 2011.
  • Presentación impecable en formato digital de la versión impresa que conocemos.
  • Opción para descargar la publicación y tenerla disponible cuando no estamos conectados a la internet.
  • Informaciones actualizadas frecuentemente a través de sistema de Feeds.
  • Programa disponible para dispositivos Apple y Android.
 ¿Te ha gustado la noticia? ¡Compártela con otro auditor interno!

lunes, 23 de abril de 2012

Una Pregunta

En los años noventa cuando era Gerente en una de las firmas de auditores externos “Big 4”, entré a un Departamento de Auditoría Interna de que tenía un letrero enorme, el cual me impacto grandemente, debido a que decía lo siguiente:
Al leer esto, pensé que en este Departamento se consideraba a los clientes como un objetivo, que debería ser perseguido y castigado si no cumplían con la Normativa establecida. 

De los muchos visitantes que posee el Blog diariamente, me gustaría que se animen a responder la siguiente pregunta: ¿Existen Departamentos de Auditoría Interna en la actualidad con este tipo de enfoque?

¡Gracias anticipadas por sus respuestas!

sábado, 21 de abril de 2012

Salón de la Fama de la Auditoría Interna

En marzo del 2012, la Junta de Directores del IIA de Norte América anunció los nueve nombres de auditores internos seleccionados para el acto de inducción inaugural del American Hall of Distinguished Audit Practitioners. Este representa un reconocimiento a auditores internos que han hecho una contribución extraordinaria a la profesión en los Estados Unidos. Los inducidos son un ejemplo de conducta ética, integridad, moral, carácter, servicio y liderazgo. Los miembros que inaugurarán el nuevo Salón de la Fama han servido de forma diligente a sus organizaciones y han contribuido con su liderazgo al desarrollo de nuestra profesión. Cuatro de estos recibirán un reconocimiento póstumo por su contribución significativa en los años que se comenzó a desarrollar la profesión. Los galardonados son:
Si deseas conocer el perfil completo de cada uno de estos extraordinarios auditores internos solo tienes que visitar: http://www.theiia.org/intAuditor/test-1/dapslideshow/.
   
 ¿Te ha gustado la noticia? ¡Compártela con otro auditor interno!

viernes, 20 de abril de 2012

Metas - Objetivos

Parafraseando al gran maestro Ortega y Gasset:
¿Cuál es el mayor problema que limita el crecimiento de muchos auditores internos?

Respuesta: La forma en que fijamos nuestras metas. Tenga presente que: El mayor peligro no es fijarnos un objetivo demasiado alto y no llegar a alcanzarlo, sino poner el listón demasiado bajo y cumplir nuestra meta con facilidad.

 ¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

lunes, 16 de abril de 2012

6 Hábitos Para Mejorar Desempeño

Detrás de cada proceso de transformación empresarial existe un proceso de transformación personal, por lo que debemos de ser capaces de revisar nuestro desempeño y dar pasos concretos para cambiar nuestros hábitos.
  ¿Qué hábitos debo cambiar?
¿Qué nuevas habilidades debemos desarrollar?

A continuación presentamos una ruta crítica, que nos permitirá mejorar día a día nuestro desempeño: 

1.    Jugar Duro. Haz lo que tengas que hacer en el momento preciso y sin excusas. No importa lo talentos o dotes que posea una persona, nunca alcanzará su potencial máximo sin la auto disciplina. Desarrolla una lista de prioridades y cúmplelas, haz un estilo de vida disciplinado. Todos los tiempos son buenos para aquellos que están dispuestos a trabajar duro.

2.    Saber Adaptarse. La mayoría de los auditores que conozco se siente más cómoda con los viejos problemas que con las nuevas soluciones. La vida es un proceso cambiante. Con todas sus transiciones vienen nuevas oportunidades de crecimiento. No hay mejoramiento sino a través del cambio. Para mejorar debemos cambiar continuamente. “La gente conformista se adapta al mundo. El visionario intenta que el mundo se adapte a su visión. Todo el progreso depende de los visionarios”.  George Bernard Shaw. 

3.    Conviértase en un Solucionador. Cree la reputación de hacer frente a los problemas detectados, que la solución comience con usted, desde su escrito en el Departamento de Auditoría Interna. 

4.    Expandir Rol. Ir más allá de los servicios tradicionales de aseguramiento.  Realice actividades de consultoría, con el objetivo de ayudar a la organización a alcanzar sus objetivos de negocio. Muchos Departamentos se rigen exclusivamente con el rol definido por el Estatuto de Auditoría, cuyo documento en muchas ocasiones puede estar obsoleto y no reflejar la realidad actual. Toma la iniciativa en el desarrollo de acciones creativas y audaces para generar nuevas opciones de servicios para nuestros clientes. 

viernes, 13 de abril de 2012

Ser Útil

Cada vez que preparo un informe de auditoría tengo presente la frase de José Martí:
“El hombre que no dice lo que piensa, no es un hombre honrado”.
Adicionalmente, cada vez que auditoría interna realiza un trabajo debe tener presente siempre dejar algo constructivo, que ayude a resolver los problemas detectados del área  bajo examen. Tenemos la responsabilidad de ser útiles para nuestras organizaciones:
¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

martes, 10 de abril de 2012

Estatus Proceso Gestión de Riesgo (ERM)

Se ha preguntado usted alguna vez: ¿En qué nivel se encuentra el avance del proceso de gestión de riesgos en mi organización?

A continuación presentamos algunas de las características de cada etapa:

Inicial - Esta etapa se caracterizado por:

·         Respuestas ad hoc o caótica al riesgo.
·         Fuerte tradición verbal, pero pocas políticas y procedimientos.
·         Registro de oportunidades perdidas y respuestas inconsistentes a problemas recurrentes.
·         Respuestas basadas en acción individual, capacidades o tradiciones verbales.
·         Se realizar una pequeña o ninguna captura de la experiencia aprendida en los eventos ocurridos.

Fragmentado o de silos: Este estado es caracterizado por:

·         Reacciones individuales o de especialistas para eventos adversos y oportunidades.
·         Rol de manejo discreto de riesgo establecido para un grupo pequeño de riesgos.
·         Falta de respuesta coordinada.
·         Falta de lenguaje común sobre riesgos y valor.
·         El aprendizaje ocurre principalmente dentro de silos, con muy poco compartimiento de conocimiento respecto a los riesgos que afectan la entidad.
·         Alto potencial de experimentar múltiples crisis o a menudo la empresa de mueve de crisis en crisis.

De arriba Abajo: La entidad se caracteriza por:

·         Buen tono en la cumbre y valores claros.
·         Marcos bien definidos y comunicados respecto a políticas, procedimientos y autoridad sobre riesgos.
·         Una función definida del negocio para la gestión de riesgos.
·         Evaluaciones de riesgos principalmente cualitativas.
·         Respuesta altamente reactiva con algún conocimiento compartido

Integrado: Adicionalmente a las prácticas del enfoque anterior la empresa presenta las siguientes condiciones:

·         Respuestas proactiva integradas tanto a las amenazas como a las oportunidades.
·         Desempeño ligado a los riesgos y al valor (cualitativo y cuantitativo).
·         Oportuna y rápida evaluación de riesgos y oportunidades para decisiones.
·         Transformación cultural en proceso.
·         Comunicación frecuente en todos los niveles (arriba y abajo).
·         Fuerte posibilidad de supervivencia y crecimiento.

Inteligencia en Riesgo: Además de las mejoras anteriores la entidad:

·         Liderazgo firme y tono correcto arriba, en el medio y abajo.
·         Los factores claves de riesgos y valor están integrados en decisiones de negocio.
·         La adopción de destrezas sobre gestión de riesgos permiten desarrollar un alto nivel de vigilancia y preparación.
·         Determinación efectiva de cambios potenciales en el ambiente o en el negocio.
·         Integración de riesgos con incentivos.
·         Modelo de negocio sostenible y prácticas de gestión de riesgos que mejoran las
oportunidades de éxito.

 ¿Te ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!

lunes, 9 de abril de 2012

Madurez Sistema de Control Interno

Al igual como pasa con los sistemas de gestión de riesgos, podemos medir o cuantificar el nivel de desarrollo o madurez del sistema de control  en las diferentes áreas de la organización. Por lo que nos podemos auxiliar del siguiente modelo, el cual describe cada una de las etapas en las cuales se puede encontrar su sistema de control:

Inmaduro: Los controles están fragmentados y son específicos para cada caso; generalmente se gestionan en silos y de forma reactiva; falta de políticas y procedimientos formales; se depende de acciones individuales para que se realice el trabajo; existe una mayor posibilidad de ocurrir errores; y grandes costos ocasionados por ineficiencias operativas.

Repetición: Los controles se establecen con una determinada estructura política: aún falta documentación formal de procesos claves; existe cierta claridad de las funciones, responsabilidades y autoridad, pero no existe responsabilidad; existe una mayor disciplina y las pautas respaldan la repetición; y la gran confianza en el personal existente produce una gran resistencia al cambio.

Definición: Los controles están bien definidos y documentados, en consecuencia existe coherencia incluso en tiempos de cambio; existe una conciencia general de la importancia de los controles internos; las brechas de control son detectadas y controladas oportunamente; la supervisión del desempeño es informal; depositando una gran confianza en la diligencia del personal.

Maduro: Se utilizan indicadores claves de desempeño y técnicas de supervisión para medir el éxito; existe mayor confianza en los controles de prevención que en los controles de detección; una solida auto-evaluación de la eficiencia operativa es desarrollada por parte de los responsables de los procesos; y existe una cadena de responsabilidad bien definida.

Nivel Óptimo: Se considera que los controles poseen un nivel óptimo, en función del benchmarking y las mejores prácticas; la estructura del control esta altamente automatizada y se actualiza de forma automática; creando una ventaja competitiva; existe uso intensivo de supervisión en tiempo real y marcos o enfoques de control implementados.

 ¿Te ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!

lunes, 2 de abril de 2012

Plan de Auditoría basado en riesgos. Naturaleza de los trabajos de auditoría

Por Jesús Aisa Díez

En varias aportaciones incorporadas a este magnífico blog dedicado íntegramente a la función de auditoría interna, hemos tenido la oportunidad de conocer diversas opiniones sobre la necesidad de conformar los Planes de Auditoría, bien sean estos plurianuales o,  en mi opinión preferiblemente anuales, en base a los riesgos que puedan estar presentes en la actividad empresarial en donde ejerzamos nuestra actividad, ya que, de esta forma, podremos dirigir los  esfuerzos de nuestros limitados recursos a la supervisión de aquellos procesos en los que se concentre la mayor “criticidad” respecto a la consecución de los objetivos perseguidos.

Debido a ello, y si la metodología ha sido la apropiada, estaremos en condiciones de proponer a la alta dirección y al Directorio un Plan de trabajo que permita el máximo valor agregado, pues se incidirá sobre los procesos trascendentes, pasando de puntillas sobre aquellos que no sean determinantes, o significativos, en el resultado final de los objetivos estratégicos establecidos, ganando en eficiencia.

Pero una vez que ya tengamos identificados los procesos sobre los que deben girar las auditorías internas en base a los riesgos que amenacen a la organización, el Plan a someter a aprobación no solo debe identificar dichos procesos, sino también, para poder cuantificar los recursos asociados a la supervisión de cada uno de ellos, debemos concretar cuál es la naturaleza del trabajo que precisamos realizar, así como el alcance del mismo. Dicho de otra manera, la gestión de riesgos nos informará de los procesos cuyo monitoreo resultará prioritario para poder asegurar razonablemente el nivel de control interno de las organizaciones, es decir lo que debemos auditar, pero quedaría por determinar los aspectos auditables, o lo que es lo mismo el qué auditar.

Respecto de este aspecto, creo que, una vez decididos los procesos sobre los que debemos incidir, a Auditoría Interna le corresponden varios objetivos a cubrir con sus actuaciones: En primer lugar verificar que los apetitos al riesgo admitidos son compatibles con los objetivos de la organización, en segundo lugar comprobar que los controles sugeridos por los gestores para situar los riesgos residuales en el entorno de la tolerancia al riesgo que se hubiese establecido serían adecuados, y por último comprobar que dichos controles realmente se aplican en la forma en que se hubiesen planificado.

Respecto de esta última verificación, la de la aplicación de los controles en la forma en que se diseñaron, entendemos que es una de las comprobaciones que más información relevante nos puede dar respecto de la realidad de la situación, ya que nos permitirá opinar sobre la eficacia realmente obtenida por el control implantado. A título de anécdota permíteme referirme a un caso que creo que puede ilustrar la necesidad de comprobar la aplicación práctica de los controles. Me quiero referir a un control de acceso a las dependencias de una importante empresa, para lo cual se nos había tomado muestra de nuestro iris, de manera que el acceso a las dependencias solo era posible si al colocar uno de nuestros ojos-el que habíamos aportado para la foto- la estructura del iris del que quería entrar coincidía con la de uno de los ojos que estaban autorizados; hasta aquí un proceso tecnológico perfecto, pero el problema estaba en que si bien el que ponía el ojo ante el monitor debía estar habilitado, lo que el diseño del control no tuvo en cuenta es que una vez abierta la puerta, detrás del habilitado entraban todos los que hacían fila para entrar y que no estaban autorizados. El ejemplo puede parecer irreal, pero no lo es, incluso podríamos citar más fallos en el control de ese acceso, pero no lo vamos a hacer pues lo que no importa es que tengamos claro el ámbito de la supervisión de los trabajos de auditoría interna al desarrollar su Plan de trabajo, en el que la comprobación de aplicación práctica de los controles diseñados se ajusta a lo previsto, cerrando el proceso de verificaciones a realizar ya enumeradas.

 ¿Te ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!