Los KRI y las auditorías continuas

Por Jesús Aisa Díez

Los indicadores de riesgos clave, también denominados por sus siglas en inglés KRI, son métricas usadas por las Organizaciones para obtener señales tempranas sobre la exposición creciente de  los riesgos a las que estén expuestas las diversas áreas del negocio, de manera que alerten sobre esta situación y puedan adoptarse las medidas correctoras que resulten pertinentes, antes de que los efectos negativos sobre los objetivos se hayan  materializado. Son por consiguiente una herramienta específica de gestión empresarial de los riesgos, a emplear por los distintos estamentos con responsabilidad en esta función- las Unidades de Auditoría Internas también-, pero en este caso para su utilización en el ámbito de las auditorías continuas, entendidas éstas como la realización automática y continuada de las evaluaciones de los controles y de los riesgos.

En este contexto las auditorías continuas no pretenden en su inicio verificar la bondad de los datos individualmente considerados, sino su coherencia con las situaciones consideradas adecuadas. Por ello un esquema de funcionamiento de las mismas se debería ajustar al siguiente esquema:

1.    De los procesos/riesgos seleccionados determinar sus indicadores más oportunos.

2.    Identificar los datos disponibles en las aplicaciones que permitan obtener las métricas seleccionadas. Programar su  captura.

3.    Para los que no estén en las aplicaciones, definir cuestionarios y fechas de recepción; estableciendo  métodos de comprobación.

4.    Definir las pistas de auditoría (rango de admisión de valores).

5.    Analizar los resultados y consultar las causas de las desviaciones atípicas.

6.    Abrir un proceso de auditoría para los casos no justificados razonablemente.

7.    Concluir sobre las causas reales que justifican las desviaciones.

8.     Proponer recomendaciones.

A modo de ejemplo, a continuación reproducimos el esquema de funcionamiento de la supervisión continuada del proceso de compras, respecto de los riegos: Reputacional,  fraude, corrupción, eficacia proceso e integridad patrimonial, empleado por una multinacional española.

        

Obviamente para que el proceso sea operativo y eficaz, es preciso disponer de las referencias que nos permitan comparar las situaciones observadas con las que resulten habituales y alineadas y compatibles con los objetivos del negocio,  permitiendo así detectar, o  intuir, la existencia de alguna incidencia, saltando las alarmas pertinentes, y desencadenando el proceso de verificación de las causas reales que posibiliten estas situaciones. No debiendo olvidar que los KRI no pretenden auditar datos, sino detectar anomalías. En la forma que se refleja en el siguiente esquema:

                                              

(Líneas  verde y negra límites admitidos, líneas quebradas evolución temporal  métricas; círculos rojos alarmas)

     

Adicionalmente a lo anterior, debemos buscar aquellos indicadores que aseguren su interrelación con los factores de riesgo que incidan en los objetivos, pero además, según COSO, se ha de identificar el origen de las  causas de los eventos indeseados – los denominados Root Cause Event-, en el sentido de que debemos profundizar en localizar las causas originales que producen los efectos negativos sobre los objetivos. Pongamos un ejemplo:

Supongamos una empresa que observa que sus beneficios están disminuyendo, por lo que pretende tomar las medidas que le permitan recuperar su rentabilidad. Para ello lo primero que debe aclarar es si esta pérdida de beneficios, es porque los ingresos disminuyen o porque los gastos se han incrementado, o los dos efectos a la vez. Dado que el análisis realizado demostró que no eran los gastos, sino en la bajada de ingresos en donde estaba el problema, habrá que seguir profundizando en el por qué de esa situación, observándose que era por la lógica pérdida de clientes, pero por qué: ¿mala calidad del producto, mal servicio, oferta de productos no demandados,…?, llegando a la conclusión que eso sucedía porque los precios no eran competitivos, dado que los costes de sus suministros eran muy elevados; siendo la causa de este problema el que el proceso de compras de la empresa era muy ineficiente, no aprovechando las oportunidades que les ofrecía el mercado, manteniendo sus relaciones exclusivamente con los proveedores de toda la vida.

Conocida la causa raíz del problema existente, ahora es cuando ya podremos determinar los KRI´s apropiados que nos permitan supervisar si el proceso de compras ha atendido a las recomendaciones que se les aportaron, entre ellas el de ampliar el espectro de oferentes a considerar antes de decidir las compras, por lo que un KRI considerado adecuado podría ser: El número de oferentes intervinientes en cada pedido formalizado.

Otro elemento importante de cualquier KRI es la calidad de los datos usados ​​para controlar un riesgo específico. La atención a la fuente de la información, ya sea ésta interna de la organización o extraída de una parte externa, es un aspecto fundamental, pues de la bondad de la información manejada dependerá la eficacia final del proceso.

Por último señalar que resulta poco probable que un solo KRI permita cubrir adecuadamente todas las facetas de un riesgo, haciéndose aconsejable analizar simultáneamente una colección de KRI  para ayudar a formar una mejor comprensión del riesgo que se esté supervisando. Tal y como se reflejaba en el esquema con el que se describía la metodología empleada por la multinacional de referencia en el control del proceso de compras, que como recordaremos para cada riesgo se vinculaban varios KRI´s.

En resumen, los indicadores de riesgos clave son herramientas de los Sistemas de Gestión de Riesgos que deben ser aplicados por las organizaciones a fin de poder anticipar el conocimiento sobre las amenazas que puedan resultar inherentes al negocio y a los objetivos establecidos. Pero que, además, también son útiles para que las Auditorías Internas puedan mejorar su eficiencia, dedicando su atención preferente a aquellos entes auditables en los que existan indicios de que se están alterando las condiciones de los factores de riesgo que influyen en su desarrollo, aconsejando su supervisión, e incorporándolos a los planes de auditoría como una decisión sobrevenida, como consecuencia de la actualización de los riesgos.

Esperando que estos comentarios puedan animar a los lectores del blog que aún no manejen esta herramienta de gestión de riesgos, a que prueben su utilidad, desde la ciudad de Madrid aprovecho la oportunidad para desear un feliz 2013.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!