lunes, 26 de agosto de 2013

Riesgo inherente versus riesgo residual. Cómo se evalúan.


Hace unos días recibía en mi correo electrónico una pregunta que me parece muy oportuna compartir, pues creo que la duda que planteaba podría repetirse entre algunos auditores que estén interesados en la aplicación de modelos de gestión de riesgos. La pregunta concreta se refería a si existía alguna diferencia en la forma de evaluar los riesgos inherentes y los residuales.

La respuesta es negativa. No existe ninguna diferencia en la forma de cuantificar la importancia de los riesgos, aplicándose, según los modelos tradicionales recogidos por COSO, ISO 31.000, AS/NZ 4360, e innumerables otros protocolos de uso generalizado,  a través de dos de sus atributos: la probabilidad de ocurrencia y el impacto.

Y ello es así porque ambos tipos de riesgos solo se diferencian en el nivel de control que pueda estar aplicándose en los procesos en los que estos se visualizan, pues mientras que la valoración del riesgo residual pretende estimar la importancia efectiva de la gravedad de la amenaza que estemos cuantificando, de acuerdo con las medidas correctoras que ya se estén aplicando; en la evaluación del riesgo inherente lo que se pretende es apreciar la importancia de las hipotéticas amenazas en ausencia de cualquier tipo de control. Es por tanto una valoración que no se corresponde con una situación existente, sino una simulación de la misma si no hubiésemos aplicado los controles que estemos aplicando.

Entendida la diferencia entre ambos conceptos, surge ahora una nueva pregunta. Si el riesgo inherente no responde a situaciones reales, ¿cuál es su utilidad, para qué sirve?

Desde mi punto de vista, creo que el incidir sobre los riesgos inherentes pretende objetivar la identificación de las distintas amenazas que puedan afectar a las metas empresariales, pero de la forma más exhaustiva y extensa posible, y desde una perspectiva teórica, de manera que en el mapa de riesgos que construyamos estén representados todos aquellos peligros que pudieran afectar a los procesos empresariales. Es decir, lo que se derivaría del análisis de los riesgos inherentes es la seguridad de que estemos contemplando todas las amenazas que podrían interferir en el resultado de los objetivos empresariales. Amenazas que deben estar debidamente gestionadas, para lo cual resultará necesario dar un salto y pasar a  estimar la situación real de estos riesgos, a través de la cuantificación de los riesgos residuales en los procesos empresariales. 

Para ello, una vez identificados y valorados todos los riesgos inherentes, debemos ubicarlos en los procesos donde se puedan materializar, pero, ahora sí, considerando los controles ya existentes, lo que nos permitirá recalcular el impacto y la probabilidad de ocurrencia esperada por dichos riesgos en los procesos considerados, ordenándolos por su criticidad en función de su alejamiento respecto de la tolerancia al riesgo que se haya fijado, adoptando posteriormente las medidas correctoras que correspondan.  

Esta forma de proceder es fundamental para la actividad auditora, puesto que nos permitirá posicionarnos objetivamente, y sin la influencia de la opinión subjetiva de los gestores respecto de la situación por ellos estimados sobre los procesos,  decidiendo por nuestra parte cuales de ellos son los que debemos auditar para verificar que los controles realmente aplicados sitúan a los riesgos dentro de la zona de tolerancia que se haya establecido.  

En resumen, los riesgos inherentes reflejan una situación irreal, la que se derivaría de la inexistencia de cualquier tipo de control, lo que permite identificar en forma amplia todas las amenazas que, desde una visión teórica, podrían interferir en la consecución de los objetivos de la organización.

Jesús Aisa Díez
24 de agosto de 2013

lunes, 5 de agosto de 2013

Unidades de Auditoría Interna. Evaluaciones de calidad percibida.


Como ya hemos comentado en otras ocasiones, el Marco Internacional para la Práctica Profesional de la Auditoría Interna, incluye entre sus postulados la Norma 1300 relativa a los Programas de Aseguramiento y Mejora de la Calidad, facultando para ello, en lo que se refiere a las evaluaciones periódicas externas, a equipos de evaluación cualificados e independientes.

Entre el material objeto de tramitación por parte de los evaluadores de la calidad de las Unidades de Auditoría Interna, se encuentran las encuestas anónimas del grado de satisfacción de los clientes internos de la función auditora, así como la de los miembros del propio equipo auditor. Con estas encuestas lo que se pretende conocer es la opinión de ambos colectivos respecto de la actividad desarrollada, fundamentalmente respecto del grado de cumplimiento y atención de sus expectativas como responsables auditados y auditores, respectivamente.

Para ello las encuestas a los clientes de auditoría incluyen 24 preguntas, del tipo: Objetividad de los auditores internos. Profesionalidad de los auditores internos. Conocimiento del sector auditado, organización y procesos del negocio. Calidad de la relación y afinidad entre los auditores y el área de responsabilidad del encuestado. Alcance del trabajo de auditoría. Oportunidad de trabajo de auditoría y su informe. Etcétera.

Mientras que las encuestas a los auditores es más amplia, 36 preguntas, entre ellas: Si la actividad de Auditoría Interna les ha brindado la oportunidad de capacitarse/obtener la experiencia adecuada a través de seminarios o cursos de formación. Grado de responsabilidades en el desarrollo de los trabajos. Si consideran que tienen ocasión de participar en la planificación de las auditorías.  Si su opinión es tenida en consideración en la determinación del alcance de los trabajos en el que participan. Los aspectos que más les agrada de su actividad, así como los que se deberían cambiar, ...

El resultado de estas encuestas, tanto de un colectivo como del otro, permiten a los evaluadores a anticipar el conocimiento del entorno en el que se desenvuelve la actividad a supervisar, así como también sus posibles fortalezas y debilidades en base a la opinión subjetiva de sus protagonistas. Por ello, al finalizar el proceso evaluador se facilita a los responsables de la Unidad de Auditoría Interna valorada, el resultado agregado de las respuestas obtenidas, y su comparativa con la media histórica de las respuestas de las Unidades previamente evaluadas. Por ejemplo:

Gráfico representativo respuestas de los clientes (color oscuro, UAI evaluada; color claro, acumulado).

Grafico representativo respuestas de los auditores.

 
La utilidad de estas informaciones, aparte de conocer en qué aspectos concretos existirían oportunidades de mejora, según los resultados de sus respuestas en relación con el acumulado histórico de los datos disponibles, también permitirán a los responsables de la Unidad Auditora, así como a los miembros de la Comisión de Auditoría con quienes debe compartirse esta información, sacar otro tipo de conclusiones.  

Supongamos una respuesta de los clientes como la que recoge el primer gráfico, en el que puede observarse que el grado de satisfacción de los clientes internos es muy bueno, incluso podríamos decir que excepcionalmente positivo. Lo cual, en principio, sería para sentirse muy orgulloso, pues demostraría que la calidad del trabajo de auditoría, entendido esta como el cumplimiento de las expectativas de los clientes, se encuentra en un nivel máximo.

Ahora bien, si de verdad nos encontrásemos con un caso como este, no habría que preguntarse por qué conseguimos estos buenos resultados, dónde radica nuestro éxito. 

En mi opinión, y es algo que habría que analizar con detalle, entiendo que unos resultados tan excepcionales podrían estar reflejando la existencia de un riesgo de falta de independencia y objetividad de los auditores, al estar emitiendo informes faltos de rigor y totalmente proclives a las decisiones de los gestores, es decir, sin la bondad necesaria para ser realmente útiles.

Una forma de poder opinar sobre el comportamiento real de dicha Unidad de Auditoría, sería observar simultáneamente las respuestas de los auditores; si esta fuese como la que recoge el segundo cuadro, que también es muy favorable a la gestión realizada en la organización analizada, podríamos pensar que, efectivamente, estamos delante de una UAI de alta calidad; pero si los resultados de los auditores estuviesen por debajo de la media de los facilitados en los demás casos analizados, resultaría prudente poner en cuestión la forma de desarrollar la función auditora, pues probablemente estaríamos ante un caso de falta de rigor en sus análisis.

Con estos comentarios lo que queríamos poner de manifiesto es que, en cualquier caso deberíamos conocer las razones por las que los resultados no estuviesen en el entorno de la media, pues tanto si están alejados de la misma por exceso, como por defecto, nos pueden estar indicando situaciones que precisasen ser corregidas. En el buen entendido que lo dicho resultará válido para situaciones de desviaciones positivas o negativas desproporcionadas.

Espero que compartan estas reflexiones, que solo pretenden poner de manifiesto que tan malo sería pasarse en nuestra labor supervisora, haciéndola “policiaca” o   “fiscalizadora”, como el no llegar,  desarrollándose de forma “paternalista”. La virtud, como bien sabemos, no se encuentra en los extremos.
Para aquellos que atienden la lectura de mis artículos, dado que el mes de Agosto es el mes de vacaciones por excelencia, es muy probable que durante el mismo no estén en disposición de entrar en el blog, por lo que resultará prudente abrir un paréntesis durante este periodo, dejándolo para dentro de unas semanas los nuevos comentarios. Felices vacaciones.

Jesús Aisa Diez
4 de agosto de 2013