Sistema de Gestión de Riesgos Empresariales.

Sus protocolos más reputados y

condicionantes para su aplicación práctica.
………………………………

Presentación a La Corte de Cuentas de la

República de El Salvador

Jesús Aisa Díez. Octubre 2013

 Desarrollo del curso:

 Nuestra intención es que sea 100% participativo.

 Todas las preguntas son oportunas y se hacen cuando surgen.

 Los comentarios nos deben llevar a una reflexión, NO a una votación.

 Expuestos los temas habrá una puesta en común de los asuntos.

 Se estructura en varias fases: (i) Compartiendo los conceptos teóricos

que influyen en la gestión de los riesgos, (ii) Formas de implementar un
proceso de administración empresarial de riesgos, (iii) Determinación del
Plan de Auditoría en base a riesgos y (iv) Auditar en base a riesgos.

 Solo hay una limitación: Por favor,

apaguemos
los celulares
 Objetivo del curso:

1. Instruir en el conocimiento de las técnicas sobre gestión de riesgos,

con las que evaluar de forma objetiva y competente el nivel del control
interno de las organizaciones,

2. Capacitar a los asistentes para apoyar a la alta dirección, la Junta

Directiva y Comités de Auditoría en el diseño e implementación de
procesos de administración de riesgos con los que conseguir los
objetivos empresariales,

3. Aportar los conocimientos precisos en el diseño de los Planes Anuales

de Auditoría Interna de la forma más eficiente posible, seleccionando
aquellas acciones de aseguramiento que resulten más oportunas,
prioritarias y significativas. Centrando la atención en ellas,

4. Desarrollar las acciones auditoras basándonos preferentemente en los

riesgos previsibles, anticipando las posibles conclusiones y las
recomendaciones.
 Precisión innecesaria:

Los comentarios que puedan realizarse, en ningún caso significarán

crítica o cuestionamiento a ningún modelo de gestión aplicado; solo
pretendemos reflexionar sobre algunas “mejores prácticas”

Como decía Ortega y Gasset: “Yo soy yo, y mis circunstancias”.

Ahora bien:
 Módulo I

 En qué consiste el riesgo empresarial.

 Pronunciamiento del IIA s/ la Gestión de Riesgos por parte de Auditoría.

 Cuáles son los conceptos a manejar y a emplear.

 COSO I, II y III, su evolución y diferencias.

 Rol de Auditoría Interna en el proceso de su elaboración.

 Consideraciones previas.

“Una vida sin riesgo. es una vida gris, pero

una vida sin control, probablemente será
una vida corta”
Bertrand Russell
 Riesgos, controles, y…..

Para Larry Rittenberg, Presidente de COSO, el control es lo que permite que

las organizaciones funcionen eficientemente.
Siempre que hay riesgos, habrá oportunidades..

Hans Konrad Schumann

 Qué es el riesgo empresarial.

El riesgo en sí mismo no es malo; lo que es malo es que el riesgo esté mal

administrado, mal interpretado, mal calculado, o lo que es lo mismo, que no
esté bien comprendido (Suzanne Lagarbe. Jefa de Riesgos del Royal Bank of
Canadá)
Prima de Riesgo máxima el 20-07-12 en 610
 Gestionar riesgos es un proceso empresarial.

Del que dependerá que obtengamos beneficios o pérdidas

 Cuál es el objetivo de la Gestión de Riesgos.

 Alinear el riesgo aceptado y la estrategia.

 Mejorar las decisiones de respuesta a los riesgos.

 Reducir las sorpresas y pérdidas operativas.

 Identificar y gestionar la diversidad de riesgos para toda la entidad.

 Aprovechar las oportunidades.

 Mejorar la dotación de capital.

“El éxito de una organización depende de su habilidad

para identificar y enfrentar los obstáculos que encontrará
en el camino hacia el logro de sus objetivos.”
 Evolución de la Gestión de Riesgos.

Ayer Hoy
 Pronunciamiento del IIA s/ la Gestión de Riesgos.

 Objetivo de Auditoría Interna: Ayudar a las organizaciones a

cumplir sus objetivos, aportando un enfoque sistemático y disciplinado
para evaluar y mejorar la eficacia de los procesos de gestión de riesgos,
control y gobierno.

 N. 2010. El DAI debe establecer planes

basados en los riesgos, a fin de determinar las
prioridades de la actividad de auditoría interna.
Dichos planes deberán ser consistentes con las
metas de la organización.

 N . 2600. Si el DAI considera que la A.D.

ha aceptado un nivel de riesgo que pudiera
ser inaceptable para los objetivos de la
organización, debe tratar el asunto con la
propia gerencia y con el Directorio.

…/…
 Pero también en los Consejos para la Práctica (I de II)

CP. 2010-2. Desarrolla pormenorizadamente la forma en como el Plan

Anual debe estar basado en riesgos:

 Auditoría Interna debe identificar áreas de alto riesgo inherente, alto

riesgo residual y los sistemas de control claves en los que se sustenta
la organización.

 Si se identifican áreas de riesgo residuales

inaceptables, el DAI debe notificarlo.

 Auditoría Interna analizará la adecuación

y eficacia de los sistemas de control y
ofrecerá seguridad razonable de que los
controles funcionan y los riesgos son
gestionados de manera efectiva.

…/:..
 Pero también en los Consejos para la Práctica (II de II)

CP.2120-1. Evaluar la adecuación de los procesos de Gestión de Riesgos.

 Los objetivos de la organización han de estar alineados con la misión

de la empresa.

 Los riesgos significativos deben ser identificados y evaluados.

 Seleccionando respuestas apropiadas a los riesgos de forma que estén

en un entorno de aceptación.

 Obtener oportuna información significativa sobre los riesgos críticos.

 Ventajas de una eficiente planificación de la auditoría.

• Facilitar la identificación y ordenación de las

actividades a desarrollar con las que conseguir
los objetivos esperados.

• Focalizar las actuaciones en la identificación y

evaluación de lo importante.

• Contribuir a la racionalización de los recursos

humanos, técnicos y financieros.

• Guiar la obtención de evidencias de auditoría

adecuadas y suficientes para respaldar el
contenido de los informes.

• Justificar la labor del auditor frente a

cuestionamientos externos.
Control Interno y Riesgos: Conceptos inseparables.
 Protocolos existentes sobre Gestión de Riesgos.

Varios: Basilea, Solvencia, SOX,…. Destacando fundamentalmente los

siguientes:

 ASNZ (Australian and New Zealand Standard on Risk Management),

COSO-ERM (Committee of Sponsoring Organizations),

 ISO 31000, recientemente.

Básicamente todos ellos obedecen a dos hitos fundamentales:

(i) Establecimiento de una base sólida sobre la cual se sustente el
proceso de gestión de riesgos, y (ii) contar con un modelo operacional
basado en una metodología robusta y adecuadamente implementada.
 AS/NZ 4360:1999

“La gestión del riesgo es un proceso iterativo que consta de pasos bien
definidos que, tomados en secuencia, apoyan una mejor toma de
decisiones mediante su contribución a una mayor profundización en los
riesgos y sus impactos.

El proceso de gestión del riesgo puede aplicarse a cualquier situación

donde un resultado indeseado o inesperado podría ser importante o
donde se identifiquen oportunidades. Quienes toman decisiones deben
conocer los posibles resultados y tomar medidas para controlar su
impacto.

La gestión del riesgo se reconoce como parte integral de la buena

práctica de gestión”.
 AS/NZ 4360:1999

Vista General de la Administración de Riesgos

Qué es C.O.S.O
C.O.S.O. Publicaciones sobre Control Interno

1992 2006 2009 2013

11 años de experiencia acumulada.

 Componentes del control interno s/ COSO

Sus objetivos se desarrollan en base a 5 componentes:

 Entorno de control

 Evaluación de riesgos

 Actividades de control

 Información y comunicación

 Supervisión.

Aunque en los cinco componentes está presente la función auditora , es en la

de SUPERVISIÓN donde ésta se manifiesta de forma más evidente
 ¿Y qué es el Enterprise Risk Management?

“La administración de riesgos corporativos es un proceso efectuado por

el directorio, la administración y las personas de la organización, es
aplicado desde la definición estratégica hasta las actividades del día a
día, diseñado para identificar eventos potenciales que pueden afectar a
la organización y administrar los riesgos dentro de su apetito, a objeto
de proveer una seguridad razonable respecto del logro de los objetivos
de la organización".

Enterprise risk management – Integrated Framework (COSO II). 29 de Septiembre de 2004

 COSO II algo más que gestionar riesgos.

Objetivo Nuevo

E.R.M = COSO I + SGIR

Nuevo Componente

Componente Ampliado

Nuevo Componente

Nuevo Componente

25
 COSO II. Conceptos adicionales

Se incluyeron :

Objetivos estratégicos, que son los que fijan la estrategia de la

compañía

De los Objetivos Estratégicos Estrategia los otros

objetivos (operativos + informativos + cumplimiento)

Identificación de eventos. Fenómenos que afectan a la empresa, bien

favorable o desfavorablemente

Respuesta a los riesgos. Previo análisis del coste-beneficio, como

responder a ellos, evitándolos, reduciéndolos , compartiéndolos o
aceptándolos.
 Componentes de COSO II

Ambiente Interno
Filosofía de la gestión de riesgos – Cultura de riesgos – Consejo de Administración /
Dirección - Integridad y valores éticos – Compromiso de competencia – Estructura organizativa
– Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos
humanos

Establecimiento de objetivos
Objetivos estratégicos – Objetivos relacionados – Objetivos seleccionados
Riesgo aceptado – Tolerancia al riesgo

Identificación de acontecimientos
Acontecimientos – Factores de influencia estratégica y de objetivos -
Metodologías y técnicas – Acontecimientos independientes – Categorías de
Acontecimientos – Riesgos y oportunidades

Evaluación de riesgos
Riesgo inherente y residual – Probabilidad e impacto -
Técnicas de evaluación – Correlación entre acontecimientos
 Componentes de COSO II ( 2)

Respuesta a los riesgos

Evaluación de posibles respuestas – Selección de respuestas -
Perspectiva de cartera

Actividades de control
Integración de la respuesta al riesgo– Tipos de actividades de control – Políticas y
procedimientos – Controles de los sistemas de información – Controles
Específicos de la entidad

Información y comunicación
Información - Comunicación

Supervisión
Actividades permanentes de supervisión – Evaluaciones independientes –
Comunicación de deficiencias
 En cualquier caso. Premisas fundamentales:

• La principal es que todas las entidades, con o sin fines de lucro, existen
para “crear valor a sus grupos de interés”.

• Todas ellas encaran incertidumbres.

• Las incertidumbres provienen de fuentes internas y externas, y éstas

se pueden presentar como riesgo o una oportunidad, con el potencial
de destruir o generar valor, respectivamente.

• La gestión de riesgos corporativos permite

manejar esa incertidumbre, su riesgo
y oportunidad asociada y, en consecuencia,
incrementar la capacidad de crear valor.

INCERTIDUMBRE = DUDA, INSEGURIDAD.

¿Cuánta incertidumbre estaremos

dispuestos a aceptar?.
 La Gestión de Riesgos es, por tanto:

• Un proceso continuo. Un medio para alcanzar un fin (los objetivos

empresariales), no un fin en si mismo.

• Efectuado por todo el personal de la empresa en todos sus niveles.

• Aplicado a partir de la definición de la estrategia.

• Desarrollado a lo largo de toda la organización (en cada nivel y unidad)

• Diseñado para identificar eventos potenciales y gestionar riesgos dentro

del entorno del apetito al riesgo.

• Proveedor de seguridad razonable del logro

de los objetivos: Estratégicos, Operacionales,
Reporte y Cumplimiento.

ES UN TRABAJO DE EQUIPO
 Conceptos a manejar:

Riesgo.

Controles. Nuestros objetivos:

Apetito al riesgo.

Riesgo residual .  Implementación

del Proceso ERM.
Tolerancia al riesgo.
 Definición PAA

Mapa de riesgos.

Distribución de responsabilidades. Distintos

roles a desempeñar en el proceso.

Costes vs beneficios.
 ¿Qué es un riesgo?

El riesgo se define como la posibilidad de que un evento ocurra y

afecte adversamente a la consecución de los objetivos de una
organización.

Su naturaleza puede ser muy variada y deberse a factores externos

(económicos, medioambientales, políticos, sociales, catastróficos,
etc.) o internos (infraestructura, personal, procesos y tecnología,
etc.)
 Cuantificación de los riesgos. Visión clásica:

Es la determinación/estimación de su importancia, en base a 2 atributos:

* La frecuencia con que se pueden presentar.

* Cuantía de las pérdidas que estos pueden ocasionar.

 Probabilidad vs. Impacto.

 ALTA: > 15%

PROBABILIDAD  MEDIA: 5-15 %

 BAJA: < 5%

 ALTO: compromete gravemente la

consecución del objetivo.
 MEDIO: tiene una incidencia
relativa en la consecución del
IMPACTO
objetivo.
 BAJO: tiene una incidencia
reducida en la consecución del
objetivo.
 Evaluación del riesgo.

PROBABILIDAD  alta (3), media (2), baja (1)

X
IMPACTO  alto (3), medio (2), bajo (1)

EVALUACIÓN RIESGO:

RIESGO TOLERABLE  2 y 1

RIESGO MODERADO  3 y 4

RIESGO ALTO 6

RIESGO CRÍTICO 9
Actualización COSO año 2013.
 Las modificaciones más significativas.

 Aplica un enfoque basado en principios.

 Aclara la necesidad de establecer objetivos del negocio como

condición previa a los objetivos de Control Interno.

 Refleja la relevancia incrementada de la Tecnología.

 Fortalece los conceptos de Gobierno Corporativo.

 Amplía el objetivo de reporting financiero.

 Fortalece la consideración de las expectativas contra el fraude.

 Se incluyen los conceptos de velocidad y

persistencia de los riesgos como criterios
para evaluar la criticidad de los mismos.
 17 Principios (1/2)

La versión de 1992 de manera implícita reflejó los principios centrales del

control interno, la versión del 2013 de manera explícita señala 17
principios, los cuales representan los conceptos fundamentales asociados
con los 5 componentes del control interno.

1. Entorno de Control
• La Organización debe demostrar compromiso con la integridad y los valores Éticos.
• El Consejo de Administración demostrará independencia en la gestión y ejercerá la supervisión en el
desarrollo y ejecución del control interno.
• La Alta Dirección establece, con la supervisión del Consejo de Administración, la estructura, líneas de
reporting, autoridad y responsabilidad en la consecución de objetivos.
• En alineación con los objetivos, la Organización debe demostrar compromiso para atraer, desarrollar, y
retener personas competentes.
• En la consecución de objetivos, la Organización tiene personas responsables para atender sus
responsabilidades de control interno.

2. Evaluación de Riesgos
• La Organización debe especificar los objetivos con suficiente claridad para permitir la identificación y
evaluación de los riesgos relacionados.
• La Organización identifica y evalúa riesgos.
• La Organización gestiona el riesgo de fraude.
• La Organización identifica y evalúa cambios importantes que podrían impactar al sistema de control
interno.
 17 Principios (2/2)

3. Actividades de Control
• La Organización selecciona y desarrolla actividades de control que contribuyan a la
mitigación de los riesgos para el logro de objetivos.
• La Organización selecciona y desarrolla Controles Generales sobre Tecnología.
• La Organización implementa a las actividades de control a través de políticas y
procedimientos.

4. Información y Comunicación
• La Organización genera información relevante, para respaldar el funcionamiento de los
otros componentes de Control Interno.
• La Organización comunica internamente la información, incluyendo los objetivos y
responsabilidades para el control interno, necesaria para respaldar el funcionamiento de
los otros componentes de Control Interno.
• La Organización se comunica externamente en relación con las materias que afectan al
funcionamiento de los otros componentes de Control Interno.

5. Actividades de Monitorización
• La Organización lleva a cabo evaluaciones continuas e individuales, con el fin de
comprobar si los componentes del control interno están presentes y están funcionando.
• La Organización evalúa y comunica las deficiencias de control interno.
 Dos nuevos criterios de evaluación:

La velocidad de ocurrencia, la persistencia:

 La velocidad de riesgo se refiere a la rapidez con la que impacta un

riesgo en la organización una vez se ha materializado, es decir, hace
referencia al ritmo con el que se espera que la entidad experimente el
impacto.

 La persistencia de un riesgo hace referencia a la duración del impacto

después de que le riesgo se haya materializado.
 Recientemente se habla de otros elementos:

La vulnerabilidad:

Incapacidad de resistencia cuando se presenta un fenómeno

amenazante, o la incapacidad para reponerse después de que ha
ocurrido un desastre.
Entonces, ¿mapas de riesgo multidimensionales?

T h o u g h t L e a d e r s h i p i n ERM by Deloitte & Touche LLP

Sugiero que de momento esperemos.
 Ejemplo de riesgos empresariales.

Fuga de
Hacking Sabotaje Suplantación Fraude Información Robos Error Humano

Fallas SW Básico Riesgos

Fallas de Aplicaciones Humanos Incumplimientos de Plazos
Fallas de Incumplimientos de Costos
Componentes Incumplimientos de
Tecnológicos Riesgos Objetivos
Virus Computacional Riesgos Operativos Insatisfacción del Cliente
Tecnológicos

Amenazas Riesgos
Técnicos Cortes de Energía
Eléctrica
Error procesos
Error de Supervisión Riesgos
Control Interno
Error de Monitoreo

Riesgos Sismos
naturales Rayos
Inundación
Riesgos de
accidentes

Incendio Explosión Filtraciones

Pero también:
Múltiples orígenes.
Lo importante es habituarse a que:

FUENTE DE RIESGO
 Conceptos básicos:

 Riesgo inherente. El que existe en ausencia de acciones para alterar

o reducir su probabilidad de ocurrencia o impacto.

 Apetito al riesgo. Cuantía que se está dispuesto a asumir para

realizar la misión, al ser compatible con los objetivos.

 Riesgo residual. Remanente después de se hayan llevado a cabo

acciones para modificar la probabilidad y/o el impacto de un riesgo.

 Tolerancia al riesgo. El margen asumido como válido entre el Riesgo

Residual y el Apetito al Riesgo.

 Controles. Medidas adoptadas para mitigar el impacto y/o reducir la

probabilidad de ocurrencia de los riesgo.

 Mapa de riesgos: Representación cartesiana de la importancia de los

riesgos.
 Gestión de Riesgos:

La gestión de riesgos consiste en la identificación, evaluación

y control de los acontecimientos que, potencialmente, pueden
poner en peligro los objetivos y metas.
 Cómo podemos responder a los riesgos:

Las respuestas deben ser evaluadas en función de alcanzar el riesgo residual

Las respuestas a los riesgos han de estar alineadas con el apetito al riesgo.
alineado con los niveles de tolerancia al riesgo y pueden estar enmarcadas en las
: Pero también con el coste de implantarlos . Cuatro modalidades:
 Tipos de Controles:
ACTUACIONES

Entrada Proceso Salida ? CORRECTIVOS

PUNTO DE CONTROL

ACTUCIONES

Entrada Proceso ? Salida

DETECTIVOS

PUNTO DE CONTROL

ACTUACIONES

Entrada ? Proceso Salida PREVENTIVOS

PUNTO DE CONTROL
COSTO Perspectivas de Control

Entrada Proceso Salida

UBICACIÓN EN EL FLUJO DEL PROCESO

PREVENTIVO DETECTIVO CORRECTIVO

Mayor UTILIDAD- EFICIENCIA

Menor
Pero también por la forma de aplicarlos:

Momento de aplicarlos

Antes de iniciarse el proceso

Finalizado el proceso

Durante el proceso
¿Qué tipo de control sería este?
 Efectivamente:

 CORRECTIVO. Al final del proceso

 PERMANENTE. Se hace uno a uno, en toda la producción

 MANUAL. El control es personal

Pero sobre todo es ineficaz.

 Mapa de Riesgos.

ES LA REPRESENTACIÓN GRÁFICA DE LOS PRINCIPALES RIESGOS QUE

AFECTAN A LA CONSECUCIÓN DE LOS OBJETIVOS DE LA ORGANIZACIÓN,
CATEGORIZADOS EN FUNCIÓN DE SU PROBABILIDAD DE OCURRENCIA Y
SU IMPACTO EN DICHOS OBJETIVOS.
Modulación de las variables a considerar:

PROBAB. Los dos

atributos

IMPACTO
Resultado de su interrelación:
Representación gráfica. Mapas de riesgo o calor:
 Pero dejemos hablar a Mafalda .

¿Es la velocidad un nuevo atributo de los riesgos?

 Un ejemplo real

Esto es lo que había en

el botiquín, junto a un
facultativo de 80 años
¿Vulnerabilidad?

Poblaciones de riesgo:
La vulnerabilidad conduce a
una mayor probabilidad de
que se materialice el riesgo
 Pero dejemos hablar a Mafalda.

¿No habría que tener en cuenta también para ponderarlos?:

a) El medio natural en el que se producen: Maremotos vs terremotos.

b) Los daños producidos: Materiales, personas, hábitat,….

c) El origen de los mismos: Infecciones, virus, bacterias,…..

d) El lugar dónde se materialice el riesgo: En el hogar,

en la calle, en un aeropuerto, en el avión,…..

e) Etcétera, etcétera,….

Evidentemente, pero en nuestra opinión,

estos aspectos deben ser tenidos en
consideración en el momento de
determinar el tipo de controles que
debemos aplicar en cada caso, puesto que
estarán determinando el impacto o la
probabilidad
Roles de Auditoría Interna en ERM (I de III)
Roles de Auditoría Interna en ERM (II de III)
 Roles de Auditoría Interna en ERM (III de III)

Datos del IIA recogidos en el documento Internal Auditing´s Role in Risk

Management . Marzo 2011
Pero dependiendo del desarrollo del ERM:
Resumiendo:
 Puesta en común de los conocimientos:

¡¡Veamos hasta dónde he sabido explicarlo !!

A continuación les vamos a plantear diversas cuestiones, todas ellas con tres posibles
respuestas. Por favor, de las tres alternativas posibles, elija la que crea que es la más
adecuada.
 Módulo II

 ¿Cómo conseguir implementar el proceso de Gestión de Riesgos?.

 Qué debemos esperar de las Auditorías Internas.

 Hoja de ruta adecuada para aplicar en las organizaciones.

 Diversas modalidades para evaluar la importancia de las amenazas.

 La relevancia de los factores de riesgo.

 Ordenación de los riesgos por su importancia. Mapas de Riesgos

 Auditoría del proceso del Gestión de Riesgos Corporativos.

 Aclaración previa:

Nos enfrentamos a dos objetivos empresariales:

a) Implantar un modelo de Gestión basado en Riesgos. Es decir, gestionar

las amenazas que puedan interferir en la consecución de los objetivos
establecidos. ERM.

b)Otro objetivo, también empresarial, pero más concreto, sería el

correspondiente a la realización del monitoreo o supervisión en base a
riesgos. Busca eficienciar la actividad auditora. IAI.

Los dos objetivos emplean el mismo instrumento, los riesgos, pero

sus finalidades son diferentes.
 Cómo conseguir una implantación ERM eficiente:

1. Centrándonos en los principales objetivos perseguibles con las

actividades y circunstancias reales de la empresa.

2. Adoptando un enfoque basado en los riesgos y procesos relevantes.

3. Racionalizando la documentación.

4. Contemplando el Control Interno como un proceso integrado.

Para comenzar qué hacemos,
 Aprender de las experiencias reales.

¿En el buffet qué elijo?.

Dependerá de lo que me
apetezca y del apetito que
tenga en ese momento.

 Seleccionemos lo importante.

 Apliquemos modelos evolutivos, empezando por lo básico.

 Familiaricémonos con las herramientas a emplear.

 No seamos excesivamente ambiciosos, vayamos paso a paso.

 Propongamos presupuestos que sean asumibles.

Si consideramos estas recomendaciones en la implantación un proyecto

ERM, posiblemente dispongamos del apoyo de TODA la Organización.
 Qué debe esperase de Auditoría Interna.

El extinto CP 2100-4 señalaba que:

“La gestión de riesgos es una responsabilidad clave de la dirección. Para

alcanzar sus objetivos de negocio, la dirección debe asegurar que existan
y funcionen procesos de gestión de riesgos sólidos.

Los Directorios/Comités de Auditoría cumplen una función de vigilancia

para determinar que existan procesos de gestión de riesgos apropiados y
que esos procesos sean adecuados y eficaces.

Los auditores internos deben colaborar con la dirección y el Comité de

Auditoría mediante el exámen, evaluación, informe, y recomendación de
mejoras sobre la adecuación y eficacia de los procesos de gestión de
riesgos.

La dirección y el Directorio son los responsables de los procesos de gestión

de riesgos y controles de su organización. Sin embargo, los auditores
internos, cumpliendo un rol de consultores, pueden ayudar a la
organización a identificar, evaluar e implantar metodologías de gestión de
riesgos y controles para tratar aquellos riesgos.”
 Participación de Auditoría en el proceso (I de II)

 Solo hasta dónde no comprometamos nuestra independencia.

¡¡ No debemos ser jueces y parte !!

 La N. 1130 A 2, señala que: ”Las funciones de aseguramiento para

funciones por las cuales el Director de Auditoría Interna tiene
responsabilidades deben ser supervisadas por alguien fuera de la
actividad de auditoría interna”

 Distanciarnos de la determinación del “apetito al riesgo” y de

cualquier decisión gerencial.
 Participación de Auditoría en el proceso (II de II)

 Salvado el punto anterior, Auditoría Interna puede y debe ser un

impulsor en la implementación del proceso, ayudando a la
organización a familiarizarse con las técnicas con las que desarrollar
un proceso de gestión de riesgos corporativos eficaz y eficiente.
Facilitando, hasta donde le sea posible, la formación precisa.

 Solo hay una restricción: No traspasar la “línea roja” que le separa

de la decisión de los “Gestores de Riesgos”. Solo debemos
supervisar y asesorar
¿Por dónde empezar, por los riesgos o por los procesos?
 Riesgos vs procesos, ¿relación univoca?

Gestión de Tesorería

Aprovisionamiento de bienes y servicios

Nóminas

Política de descuentos

Etcétera

No, un mismo riesgo puede estar presente en varios procesos

simultáneamente
Veamos que sucede con los riesgos residuales

No sería esto.

Sino esto
 “Hoja de ruta” para la implantación ERM (I de II)

1.Diseñar el plan de implantación a desarrollar: Alcance, objetivos,

recursos necesarios, participantes, facultades, etc.

2. Compartirlo con el CEO solicitando su preceptiva aprobación.

3. Ratificación de la aprobación por parte del Consejo/Directorio/Junta.

4. Difusión de la existencia del proyecto a TODA la Organización.

5.Solicitar copia del Plan Estratégico del negocio: Objetivos, Pptos,

Política de inversión, de financiación,...
………………………………………………………………………………………….
6. Diseño del modelo de riesgos y procesos a emplear.

7.Identificación de los procesos del negocio más influyentes en la

consecución de los objetivos del Plan Estratégico.

8.Ordenación de los procesos por su importancia para alcanzar los

objetivos estratégicos.
 “ Hoja de ruta” para la implantación ERM (II de II)

9. Seleccionar los procesos con los que empezaremos a trabajar.

10. Identificación riesgos inherentes en los procesos elegidos.

11. Determinación de los factores que pueden generar los riesgos

identificados (nivel de corrupción, mantenimientos, estado de las
infraestructuras….).

12. Concretar rangos de evaluación de los atributos de los riesgos. I y P.

13. Evaluar la importancia de riesgos residuales existentes.

14. Establecer “apetito al riesgo” . Aquí Auditoría un paso atrás.

15. Determinar las medidas correctoras para ajustar el “riesgo residual”.

16. Evaluar “gap” entre la “tolerancia al riesgo” y el “riesgo residual”.

17. Decidir, si proceden, nuevas acciones correctoras.

18. Supervisión de la calidad del Sistema de Gestión Implantado.

 Desarrollo de la Hoja de Ruta. Puntos 1 a 5.

Son las condiciones necesarias para la implementación.

Pretenden tres objetivos fundamentales, sin ellos no es posible avanzar:

 Conocer los objetivos estratégicos vigentes en la Organización.

 Asegurarnos el apoyo de la Gerencia y la Junta Directiva.

 Adquirir la autoridad necesaria para actuar y solicitar colaboración.

1. Diseño del plan de implantación

2. Aprobación del CEO

3. Ratificación por parte del Consejo/ Directorio

4. Difusión del proyecto a la Organización

5. Solicitar copia del Plan Estratégico

 Desarrollo de la Hoja de Ruta. Punto 6 . Modelo R/ P

MODELO AUDITORIA DE PROCESOS A3. RIESGOS DE DIRECCION

CORPORATIVO INSPECCION
A1. RIESGOS DE OPERACIONES
DE RIESGOS Satisfacción del cliente
Recursos Humanos
A2. RIESGOS DE Incentivos
Duración proceso productivo INTEGRIDAD Límites
Desarrollo de productos y servicios Autoridad/Segregación
Proveedores - Recursos externos Fraude interno Funciones
Obsolescencia- gestión inventarios Fraude externo Liderazgo
Incumplimiento de compromisos Flexibilidad al cambio
A Facturación / Pérdida de ingresos
Riesgos Comunicación interna
de Eficiencia AUDITORIA AUDITORIA FINANCIERA
Capacidad INFORMATICA
operaciones Diferenciación A5. RIESGOS FINANCIEROS
Interrupción del negocio A4. RIESGOS DE
Medio Ambiente PROCESO DE INFORMACIÓN Evolución mercados financieros
Salud y seguridad Acceso Liquidez
Imagen Integridad Crédito a clientes
Subcontratación Relevancia/Disponibilidad Garantía
Infraestructura

B1. OPERATIVA B2. ESTRATÉGICA B3. INFO. FINANCIERA

B
Fijación de precios Diversificación del negocio Planificación y presupuestación
Riesgos de Info. financiero-contable y fiscal
Compromisos adquiridos Valor del negocio
información para la Medición del desempeño Evaluación de la info. financiera
Planificación estratégica y
toma de decisiones Alineación con la estrategia Normativa Evaluación de inversiones
Ciclo de vida

Competencia Disponibilidad recursos financieros

C
Relaciones con accionistas
Riesgos de entorno AUDITORIA FISCAL Y REGULATORIA
Cambios en la industria Entorno Legal y Fiscal Regulación Entorno Político y Económico

Modelo de riesgos empleado por una gran multinacional española (53 riesgos)
 Desarrollo de la Hoja de Ruta. Punto 6. Modelo R/ P

Procesos Corporativos

Procesos Operativos

3.Compra de productos 5.Facturación

1. Desarrollo de la 2.Comercialización 4.Producción y
y servicios, inversión y cuentas a
Estrategia
EstrategiaCorporativa
Corporativa y ventas almacenaje
y cuentas a pagar cobrar

Procesos de Gestión y Soporte

6.
6 Gestión de Recursos Humanos
.
7.
7 Gestión de la tecnología y la información
.
8.
8 Gestión recursos financieros
.
9.
9 Información financiera --contable y fiscal
.
10.
10 Gestión de riesgos específicos y apoyo
.

85
 Desarrollo de la Hoja de Ruta. Punto 6. Modelo R/ P

Subprocesos Corporativos a dos dígitos

PROCESOS OP ERATIVOS
3. COM PRA DE PRODUCTOS Y 4. PRODUCCIÓN Y 5. FACTURACIÓN
1.DESARROLLO DE LA 2. COM ERCIALIZACIÓN SERVICIOS, INVERSION ALM ACENAJ E Y CUENTAS
ESTRAT EGIA Y VENTAS Y CUENTAS A PAGAR A COBRAR
CORPORATIVA
1.1 C onfigur ación Grupo 2.1 Estrategia 3.1 Aprovisionamiento de 4.1 Fabricación/Obtención 5. 1 Facturación
y definición C omercialización productos y servicios de productos y servicios
perímetr o societario y Ventas ( Mar keting) 5. 2 C uentas a C obrar
3.2 Proceso Inversor 4.2 D istribución de productos
1.2 D efinición de la 2.2 Desarrollo, prueba
estrategia del y mejora de 3.3 C uentas a pagar 4.3 Gestión stocks
negocio productos y
ser vici os

1.3 C ontrol de 2.3 Campañas

objetivos promocionales
e indicadores
de gestión 2.4 Política de
Descuentos
1.4 Gestión de la
mejora continua 2.5 Ventas de bienes
y servi cios
1.5 Análi sis del entorno
y gestión relaciones 2.6 Gestión Comisiones
externas
2.7 Procesos Post -Venta

PROCESOS DE G ESTIÓ N Y SOPORT E

6. GESTIÓN DE RRHH 7. GESTIÓN DE LA 8. GESTIÓN RECURSOS 9. INFORM ACIÓN 10. GESTION DE RIESGOS
TECNOLOGÍA Y FINANCI EROS FINANCI ERA- CONTABLE Y ESPECI FICOS Y APOYO
LA INFORM ACIÓN FISCAL
6.1 Gest ión RR HH 7.1 Incorporación de 8.1 Gestión R ecursos 9.1 C ierre Libros 10.1 Cobertura Riesgos
Tecnología Financieros Específ icos
6.2 Gestión R ecursos de la Inf ormación 9.2 Proceso General
D irectiv os 8.2 Tesorería Inf ormación 10.2 Serv icios Jurídicos
7.2 Seguridad de la Financiera
6.3 Gest ión otros Inf ormación y 10.3 Gestión Otros
conceptos C ontinuidad 9.3 C omunicación a R ecursos
económicos en de operaciones los mercados
R RH H f inancieros
7.3 Operaciones
9.4 Gest ión Impuestos

86
 Desarrollo de la Hoja de Ruta. Punto 6. Modelo R/P

RIESGOS DEL ENTORNO MAPA DE RIESGOS

High Risk 1
Medium Risk 1
RIESGOS D E OPERACIONES

DIRECION High Risk 2

High Risk 3
Medium Risk 2
OPERACIONES TECNOLOGIA/ FINANCIEROS
SISTEMAS INFORMACION

Low Risk 1 Medium Risk 3

Alto
INTEGRIDAD Low Risk 2 Medio
Medium Risk 4 Bajo

Low Risk 3

RIESGOS DE LA INFORMACION TOMA DE DECISONES

PROBABILIDAD
OPERACIONES INFORM fINANCIE ESTRATEGIA

R IE SGOS
P ROCE SOS Compet en cia P é r dida de S at is f acció n E f ic ie n cia Det er min ació n M edia T ot al
in gr es os de clie n t es de pr oces os

Esquema de Clasificación de Procesos Des ar r ollo de pr oduct os 2,58 1,83 4,00 1,92 2,67 2,60 13,00
adecuados a o
l s clie n t es
Dis eñ o, Con s t r ucció n y 1,83 2,08 2,42 2,50 1,58 2,08 10,41
ges t ió n de Red
5. Producción
Procesos Operativos y entrega Capt ació n de Recur s os 1,42 1,42 1,17 2.67 1,92 1,72 8,60
(Industrias de Fin an cie r os
1.Entender 2. Desarrollo 3. Diseño de Transformación) 7. Facturación
4. Marketing Fact ur ació n 1,50 4,00 2,42 1,67 2,00 2,32 11,59
Mercado y de la Productos y y Servicio al
y Venta
Clientes Estrategia Servicios 6. Producción Cliente
y entrega I mpla n t ació n y ges t ió n 1,92 3,00 1,75 2,67 1,67 2,20 11,01
(Industrias de s is t emas de n
i f or mació n
Procesos de Gestión y Soporte Servicios)
Alia n zas y acuer dos de 3,67 1,08 2,33 1,42 2,58 2,22 11,08

8. Desarrollo y Gestión de Recursos Humanos I n t er con exió n adecuados

P olít ic as Comer cia le s 3,08 1,33 2,25 1,42 2,58 2,13 10,66
9. Gestión de la Información
y de M ar ket in g
10. Gestión de Recursos Físicos y Financieros Ges t ió n de n
i f or mació n par a 1,83 3,25 1,75 2,00 1,42 2,05 10,25
t oma de decis ion es
11. Ejecución de Programas de Gestión Medioambiental

12. Gestión de Relaciones Externas

13. Gestión de la Mejora Continua y del Cambio Matriz: Riesgos/Procesos

8
7
 Desarrollo de la Hoja de Ruta. Puntos 7, 8 y 9.
Priorización Procesos

En reunión del Comité de Dirección, en sesión tipo “workshop“. Todos

los ejecutivos opinan sobre todos los procesos.

Objetivo: Identificación de aquellos procesos con mayor incidencia en

la consecución/alejamiento de los objetivos de la empresa.

Basta que todos los ejecutivos les puntúen por su importancia, para ello
deben marcarse los factores sobre los que opinar: Económicos, Legales,
Reputacionales, Medioambiente, ….

 Proceso Logístico
 Proceso de Subcontratación
 Proceso Facturación
 Proceso de postventa.
 Etcétera

Valoración subjetiva sí, pero razonada

 Hoja de Ruta. Puntos 10 y 11.
Identificación Riesgos y Factores de Riesgo

 Decididos los procesos con los que trabajar, se deben identificar

aquellos riegos/amenazas que los pueden afectar. (La matriz riesgos-
procesos nos puede dar una primera aproximación).

 Los responsables de los procesos seleccionados, deben completar la

relación riesgos–procesos deducida de la matriz teórica, adecuándola
a la realidad de la empresa.

 De los riesgos seleccionados debemos determinar los factores que los

generarán. Por ejemplo:

Averías mecánicas,
Inclemencias,
• Duración proceso productivo
Huelgas,
• Continuidad del negocio
Atascos, …
Proceso de • Subcontratación
Logística • Fraudes
• Calidad del servicio
• Facturación/ Perdida de ingresos

RIESGOS FACTORES RIESGO

Diversas forma de identificar los riesgos
 Hoja de Ruta. Punto 12.
Valoración de los Riesgos

PROBABILIDAD:

Estimación de la frecuencia de aparición del evento. Por ejemplo:

REMOTA. Menor que una vez cada 2 años.

MUY BAJA. Estimación de ocurrencia menor a 2 años, pero mayor a 1.

BAJA. Ocurrencia situada entre un intervalo menor de 1 año y mayor

que semestral.

MEDIA. Menos que semestral, pero más que trimestral.

ALTA. Menos que trimestral, pero mayor que mensual.

MUY ALTA. Menos que mensual.

También puede resultar útil medir la frecuencia de la aparición de los

FACTORES, al ser los desencadenantes de los riesgos.
Probabilidad Riesgos. Suma de factores
 Hoja de Ruta. Punto 12.
Valoración de los Riesgos.

IMPACTO/SEVERIDAD:

 Identificar y cuantificar los diferentes daños/consecuencias que

pudieran producirse de materializarse los distintos riesgos, en los
diferentes aspectos afectados:

a) Económicos.

b) Reputacionales.

c) Laborales.

e) Medioambientales.

f) Informativos, penales, etc.

 Cuantificar uno a uno estos perjuicios según el consenso establecido.

 Agregar y ponderar la cuantificación individualizada.

 Evaluación Riesgos. Probabilidad e Impacto.

CAUSAS MATERIALIZACIÓN CONSECUENCIAS

FACTORES DE
RIESGO RIESGOS EFECTOS

. Falta mantenimiento • Siniestros + Perdida mercado

. Huelgas • Incumplimientos + Responsabilidades penales
. Corrupción • Fraudes + Reputación
. Pericia profesional • Baja Calidad + Daños medioambientales
. Estructura Organizativa • Duración Proceso + Disminución beneficios
. Etcétera • Etcétera + Pérdidas económicas

PROBABILIDAD
OCURRENCIA IMPACTO o SEVERIDAD
 Hoja de Ruta. Punto 12.
Valoración de los Riesgos. Impacto (Continuación)

Trabajemos, en un primer momento, con técnicas cualitativas, empleando

el modelo de“ medición por ratios”. La misma escala, 0 a 10, según el
nivel de importancia daño.

Efectos Económicos

Leves. Hasta 100.000 Euros ……. ………………………Valor ponderación 1

Bajos. De 100.000 a 1.000.000 Euros……………….Valor ponderación 3
Intermedios. De 1 a 5 millones de Euros……………Valor ponderación 6
Elevados. De 5 a 10 millones Euros …………………..Valor ponderación 8
Extremos. Superiores a 10 millones……………………Valor ponderación 10

Efectos Reputacionales

Leves. El evento afecta poco a la imagen o reputación ………….. Valor 0

Moderados. El evento la afecta apreciablemente ……………………. Valor 1
Importantes. El daño puede considerarse importante ……………… Valor 3
Críticos. El daño es grave pero recuperable………………………………. Valor 6
Extremos. Daños graves y de difícil recuperación……………………… Valor 10
 Hoja de Ruta. Punto 12.
Valoración de los Riesgos. Impacto (Continuación)

Efectos Accidentes Laborales.

Leves. Lesiones poco importantes sin hospitalización…………..Valor 1

Moderados. Lesiones menores con hospitalización……… ………… Valor 5
Elevados. Lesiones incapacitantes con hospitalización………………Valor 8
Críticos. Lesiones con muertes …………………………………………………. Valor 10

Efectos Medioambientales .

Leves. Reversible inmediato……………… ……………………………………………Valor 0

Moderados.Reversible en el corto plazo………………………… ……………….Valor 1
Elevados. Reversible en el medio plazo………………… ……………………….Valor 3
Extremos. Mitigable-compensable………………………………………………… Valor 5
Críticos. Irreversible de pequeña magnitud………………………………….. Valor 8
Catastróficos. Irreversible de eleva magnitud …………………...Valor 10
 Hoja de Ruta. Punto 12.
Valoración de los Riesgos. Impacto (Continuación)

Efectos Informativos

Leve. No afecta datos confidenciales y puede ser recuperada…..Valor 1

Moderado. Idém, pero no puede ser recuperada…………………………Valor 2
Crítico. Afecta datos confidenciales pero es recuperable ………… Valor 3
Muy crítico. Idém,con posibilidad de recuperación compleja……… Valor 7

La severidad de cada Riesgo será la suma de los valores asignados a: los

Efectos Económicos + Efectos Reputacionales + Efectos Laborales + Efectos
Medioambientales + Efectos Informativos, etcétera, considerados.

Dado que estamos sumando elementos diferentes, con efectos también

distintos, el valor de la escala deben definirse convenientemente para
conseguir una adecuada ponderación de las diferentes perturbaciones.
 Hoja de Ruta. Punto 12.
Valoración de los Riesgos. Impacto (Continuación)

Si en el análisis efectuado, los efectos esperados de la materialización del

riesgo evaluado arrojase los siguientes resultados:

Efectos económicos. Nivel elevado………………………………………... Valor 8

Efectos Reputacionales . Nivel Importante……………………………… Valor 3
Efectos Laborales. Nivel Leve…………………………………………………… Valor 1
Efectos Medioambientales. Irreversible de elevada magnitud… Valor 10
Efectos Informativos. Nivel Crítico…………………………………………… Valor 3
Total …….. 25
La puntuación 25 será la evaluación de la severidad de este riesgo, y la
que lo situará en el ranking de los riesgos según su impacto.

Un ejercicio como este

debe repetirse con todos
los riesgos inherentes
identificados.
 Hoja de Ruta. Punto 13. Ranking de los riesgos

¿Cuál es, a su juicio, el principal problema que existe actualmente en España?

CIS. Septiembre 2012

99
 Desarrollo de la Hoja de Ruta. Punto 14 y 15
Adecuación del riesgo residual al “apetito al riesgo” . Medidas correctoras.

Recordemos:

Apetito al riesgo, máximo riesgo que la Organización está en condiciones

de aceptar para no interferir en la consecución de los objetivos.

Del riesgo inherente pasamos al riesgo residual, y de ahí a compararlo con

el apetito al riesgo. Adoptando una serie medidas, todas ellas
encaminadas a igualarlos, dentro de las siguientes posibilidades:

 Aceptarlos

 Compartirlos

 Reducirlos

 Rechazarlos

La elección de alguna de estas cuatro alternativas dependerá del coste-

beneficio esperado con ellas.
 Desarrollo de la Hoja de Ruta. Punto 14 y 15
Concreción “apetito al riesgo” y medidas correctoras (II)

Si el nivel asumible de algún riesgo no está conseguido, debemos

centrarnos en los factores de dicho riesgo, definiendo medidas para
reducir su impacto y/o probabilidad de ocurrencia.

Por ejemplo como actuar con el riesgo de continuidad del negocio:

Factores que lo pueden generar versus Medidas correctoras:

. Huelgas vs Coexistencia varias subcontrataciones alternativas.

. Dificultad de aprovisionamiento de materias primas vs Aumentos de

stocks.

. Fallos de suministro de energía eléctrica vs Instalación de grupos

electrógenos (SAI)

. Restricción del crédito vs Aumento de capital.

Todas estas medidas tienen coste, que deberá ser evaluado y comparado
con los riesgos que eliminan, que es lo que debemos comparar.
 Controles, forma de modificar los riesgos residuales

Riesgo residual corregido

Riesgo
Residual
Incial
 Gap entre el riesgo residual y el apetito al riesgo.
Punto 16

Factores de Riesgo Modif. Probab. Modif.Impacto Coste Control

 Huelgas Alta a Muy Baja 30 a 10 días X miles €

 Dificultad aprov. Media a Muy Baja 5 a 1 días Z miles €

 Fallos energía Muy Alta a Muy Baja 60 a 0 horas W miles €

 Restricción crédito Baja a Muy Baja 5 a 0 días T miles €

Las nuevas probabilidades ha pasado a Muy Baja, mientras que el impacto

también se ha visto reducido de XXX h/d a YYY h/d.

La Dirección deberá aprobar el plan para reducir el riego (impacto

diferencial x variación probabilidad) mediante un plan que tiene un coste
de ZZZ miles euros
 Gap entre la tolerancia al riesgo y el riesgo residual.
Punto 16.

Si las técnicas empleadas para estimar la probabilidad han sido

cualitativas, esto podría dificultar la concreción del cálculo coste-
beneficio. Una solución sencilla:

PROBABILIDAD

Muy Baja Baja Media Alta Muy alta Total

0% 25% 50 % 75 % 100 %

Las técnicas econométricas miden la probabilidad y el impacto basándose

en premisas del comportamiento de los eventos en forma de distribución
estadística, en base a modelos en riesgos (VaR), pero requieren disponer
de información estadística abundante. Es un estadio posterior.
 Desarrollo de la Hoja de Ruta.
Punto 16

El gap entre lo esperado y lo conseguido ha de medirse para actuar

I
m
p Riesgo residual Riesgo inherente
a
c
t
o Apetitoresidua
Riesgo al
Riesgo 105

Probabilidad
 Decidir, si proceden, nuevas acciones correctoras.
Punto 17

Debe medirse el coste-beneficio esperado al implantar una determinada

estrategia de gestión de un riesgo, y decidir que respuesta damos al
riesgo según las posibilidades (Aceptar, Rechazar, Reducir, Compartir)

En el Riesgo de Continuidad del Negocio, las formas de actuar con los

factores de riesgo no son únicas. ¿Por cuál debemos decantarnos?
Veamos, p.e., el factor “fallos de energía”. Posible formas de atajarlo:

* Instalación de un grupo electrógeno. Incide sobre el impacto y

probabilidad

* Contratación con una segunda compañía eléctrica. También sobre

los 2 atributos

* Suscribir una póliza de seguros por los posibles daños. Solo sobre
el impacto

* Trasladar la fábrica a otro ámbito. Incide sobre la probabilidad y el

impacto
 Y además la auditoría del Proceso ERM.
Punto 18

Dado que el proceso ERM es uno de los más relevantes en las organizaciones,
debe ser susceptible de supervisión, midiendo su eficacia, y opinando sobre el
nivel alcanzado, proponiendo recomendaciones, cuando proceda.

Pero esto ya lo veremos en el próximo módulo.

Pero, qué sucede si los procesos no estuvieran disponibles.

Los levantaríamos nosotros

 Levantamiento de los procesos

Un diagrama de flujo es una representación gráfica que desglosa un

proceso en cualquier tipo de actividad a desarrollarse tanto en empresas
industriales o de servicios y en sus departamentos, secciones u áreas de
su estructura organizativa.

Objetivo:Representar gráficamente las

distintas etapas de un proceso y sus
interacciones, para facilitar la
comprensión de su funcionamiento.

Son útiles para analizar el proceso

actual, proponer mejoras, conocer los
clientes y proveedores de cada fase,
identificar los riesgos, representar los
controles, etc.
 Pasos a seguir:

 Seleccionar el proceso y concretar su alcance (su inicio y su final)

 Representar las etapas intermedias y su relación con otros procesos.
 Documentar cada una de las etapas: Responsable/ Proveedor y Cliente
 Analizar el proceso actual desde el punto de vista deseado (En nuestro
caso: Riesgos y controles).
 Concluir sobre la suficiencia y oportunidad de los controles aplicados.
 Comprobar la aplicación real de los controles enunciados por los
responsables.
 Proponer alternativas de mejora y definir las nuevas etapas y sus
relaciones.
 Representar el diagrama del nuevo proceso e indicar las diferencias
con el actual.
Símbolos de los diagramas de flujo
Ejemplo:
 Módulo III

 El IIA y el Plan de Auditoría. Integrantes.

 Cómo diseñarlo. Aplicación práctica..

 Distinta ponderación de sus componentes.

 Auditorías en base a riesgos.

 El IIA y el Plan de Auditoría (I de III)
La N. 2010 señala que:

 El Director de Auditoría Interna debe establecer planes basados en los

riesgos a fin de determinar las prioridades de la actividad de auditoría
interna. Dichos planes han de ser consistentes con la metas de la
organización.

Mientras que el C.P. 2010-2:

La planificación necesita usar el proceso de gestión de riesgos, si este ha

sido desarrollado. Al planificar un trabajo, el auditor interno ha de tener en
consideración los riesgos significativos de la actividad y los medios
mediante los cuales la dirección puede paliar el riesgo hasta un nivel
aceptable. El auditor interno utilizará técnicas de evaluación de riesgos en
el desarrollo del plan de la actividad de auditoría interna, así como para
determinar prioridades a la hora de asignar recursos.

La evaluación de riesgos se utiliza para examinar las unidades auditables y

seleccionar las áreas sujetas a análisis que deben incluirse en el plan de
auditoría interna y que son las que tienen mayor exposición al riesgo.
 El IIA y el Plan de Auditoría (II de III)

Seleccionar oportunamente los diferentes tipos de actividades que serán

incluidas en el plan de auditoría interna. Entre otras:

 Actividades de análisis/aseguramiento de control: analizando la

adecuación y eficacia de los sistemas de control y ofrecer la seguridad de
que los controles funcionan y los riesgos son gestionados de manera
efectiva.

 Actividades de investigación: para determinar si la gestión

organizacional tiene un nivel inaceptable de eficiencia.

 Actividades de consulta: aconsejar a los gestores de la Organización en

el desarrollo de sistemas de control para mitigar riesgos inaceptables.

 Actividades de cumplimiento normativo; según las normas y leyes

aplicables

También deben identificarse controles innecesarios, redundantes,

excesivos o complejos que reduzcan el riesgo de manera
ineficiente.
Apoyarnos sí, pero solo si son fiables.
 Antecedentes (I de II)

Rod Winters, exPresidente del IIA Global, llegó a la conclusión de que

“Auditoría Interna debe hacer menos, lo más importante, con menos
recursos. Centrarnos en lo que sea significativo y apoyándonos en la
tecnología como herramienta de trabajo, pues si bien ésta comporta
riesgos, es incuestionable que también es una oportunidad con la que
mejorar la eficiencia, la eficacia y la calidad de nuestros trabajos”.

Hacer más cosas, no es sinónimo de hacerlo mejor

 Antecedentes (II de II)

La volatilidad y el dinamismo de los entornos profesionales requieren que

las organizaciones avancen en sus prácticas de evaluación y gestión de
riesgos, pero teniendo en consideración algunos aspectos importantes:

 Reforzar el plan de auditoría interna poniendo también el foco en

los riesgos emergentes (Seguridad laboral, medioambiente,…)

 Flexibilizar nuestra actividad, reevaluando los riesgos y el plan de

auditoría con la mayor frecuencia posible.

 Proporcionar aseguramiento sobre la función del ERM de la

Compañía.
 Determinación del Plan Auditor:

A
B ANALISIS DE AUDITORIA INTERNA:
SELECCIÓN PROCESOS PRIORITARIOS
B
SOLICITUDES
EVALUACIONES DE RIESGOS MAPAS DE RIESGOS GLOBAL
ALTA DIRECCIÓN Y
IDENTIFICACIÓN CONTROLES REQUISITOS REGULADOR
GERENCIAS
RESULTADOS AUDITORIAS PREVIAS OTROS STAKEHOLDERS
DATOS DE LOS INDICADORES

B B
Requerimientos Coordinación con Auditores
Comisión de MAPA DE RIESGOS DE Externos y otros
Auditoría AUDITORÍA Proveedores de
aseguramiento

PLAN DE TRABAJO ANUAL DE

AUDITORIA INTERNA

PRESENCIAL / DISTANCIA
Ni son todos los que están, ni están todos los que son:
 En este contexto Auditoría Interna:

Debe planificar su actividad en base a:

 Los objetivos estratégicos y los riesgos del negocio.

 Los requerimientos y exigencias de los reguladores o supervisores.

 Las exigencias normativas aplicables.

 Procurando obtener la máxima eficiencia a su función.

Sin olvidar dos ideas básicas:

 Incidir en lo importante

 Hacerlo con el mínimo coste

 Pero tampoco su dinamismo y actualización.

Para conseguir su necesaria eficacia:

a) Actualizar los inputs con la máxima

frecuencia posible.

b) Si un ente auditable no comporta riesgos

significativos o apreciables, no debería
incluirse en el Plan.

c) Olvidémonos de Planes plurianuales.

d) Partir del mapa de riesgos existente en

cada momento.

Pero sobre todo: ¡¡Que no debemos jugar a acertar, sino a no equivocarnos!!

Un planteamiento
 ¿ Lo compartimos ?

19 100% 19

32 80% 26

60 50% 30

25 33% 8

En tres años TODO el Universo de Auditoría revisado

Los planes no deberían ser tan rígidos. Las circunstancias cambian,

adaptémonos a ellas.
 Por dónde deberíamos comenzar (I de III)

1º) Analizar el Sistema de Gestión de Riesgos de la Organización.

2º) Opinando sobre su efectividad (madurez y fiabilidad).

3º) Accediendo al Mapa de Riesgos de la Organización.

4º) Conocer los apetitos a los riesgos de las principales amenazas.

5º) Identificando las acciones correctoras definidas por los gestores para
reconducir riesgos residuales hacia la zona de tolerancia.

…………………………………………………………………………………………

6º) Identificación de los procesos con mayor relación con los objetivos
estratégicos de la organización.

7º) Ordenación de los procesos críticos según visión de Auditoría Interna.

.
 Por dónde debemos empezar (II de III)

8º) Valorando el grado y eficacia del control existente en estos procesos

9º) Priorizando los procesos según Auditoría

10º) Definir ponderaciones y pesos de los distintos ítems a considerar.

11º) Ordenar los posibles trabajos por su grado de relevancia deducida.

12º) Cuantificación recursos s/trabajos a incluir en el plan Auditor.

13º) Gestionar su aprobación del Plan de Auditoría elaborado

 Por dónde debemos empezar (III de III)

Si no existe proceso ERM en la empresa. ¡¡ TODO NUESTRO !!

¡¡ A trabajar, manos a la obra !!, pero sin olvidar:

 Defender el establecimiento de un Proceso de

gestión e riesgos

 Su desarrollo en base a Modelos tipos ERM.

Determina cuál es la situación de partida.
 Aplicación práctica del proceso de planificación anual

Fase 1ª y 2ª Valoración del Sistema de Gestión de Riesgos existente

El Proceso de GIR es una actividad corporativa, en el que Auditoría

Interna no debe ser ajena, debiendo tener opinión formulada respecto a
su grado de utilidad para la Organización y, sobre todo, de su bondad.

Por ello, si existe, podremos, en su caso, apalancarnos en él.

Aplicación práctica del proceso de planificación anual

Fase 3ª (Acceso al mapa de riesgos de la corporación )

Aplicación práctica del proceso de planificación anual

Fases 4ª y 5ª (Conocer el apetito al riesgo y los planes de acción decididos)

Aplicación práctica del proceso de planificación anual

Fases 4ª y 5ª (Conocer el apetito al riesgo y los planes de acción decididos)

Pregunta: ¿Se han tomado decisiones?, ¿Son éstas adecuadas ?

Aplicación práctica del proceso de planificación anual

Fase 4ª y 5ª (Conocer el apetito al riesgo y los planes de acción decididos)

Aplicación práctica del proceso de planificación anual

Fase 6 ª y 7ª ( Identificación y Ordenación de los procesos )

Procesos operativos

Mecanización y deslocalización.*

Domiciliaciones bancarias.

Comercialización y ventas

Marketing directo y mejorar las

prestaciones ofertadas.

Desempeño de la actividad

Certificación ISO 9001.

Logística distribución
 Aplicación práctica del proceso de planificación anual

Fase 7ª bis ( Identificación de factores de riesgo que afecten a estos procesos)

 Aplicación práctica del proceso de planificación anual. Ejemplo

OBJETIVO ESTATRÉGICO: Reducir los gastos operativos de la empresa.

Procesos operativos aplicables: Mecanización y deslocalización.

Importancia en la consecución de los objetivos: Crítica al PAI

Factores de riesgo identificados:

 Falta de conocimientos informáticos de la plantilla.

 Inexistencia aplicaciones estándar que sean aplicables en la empresa.

 Dificultades para desvincular al personal existente.

 Adiestramiento del personal deslocalizado en el proceso.

 Traslado de los productos terminados con garantías de cumplir plazos.

Tres riesgos inherentes: TI, RRHH, Fallos en los servicios.

 Aplicación práctica del proceso de planificación anual

Fase 8 ª .2 (Valoración del grado de eficacia de los controles )

Cursos de formación rápida……………………………………………… Dudosa

Contratación desarrollo sw……………………………………………….. Eficaz

Negociación con sindicatos……………………………….………………. Nula

Cursos de formación in situ……………………………………………… Dudosa

Acuerdo agencias transporte……………………………..…………… Razonable

El proceso sigue siendo crítico, pero los riesgos que le afectan han
pasado a ser:

TI. Moderados; RRHH. Graves; Fallos en los servicios. Aceptable.

Candidato a ser un ente auditable

Aplicación práctica del proceso de planificación anual

Fase 9º. Confección del mapa de riesgos residuales según Aud. Interna.
Mapa riesgos s/Auditoría Inter . Mapa riesgos s/gestores
Aplicación práctica del proceso de planificación anual

Fase 10ª. Definir ponderaciones de los items a considerar

No solo hay que considerar el resultado del mapa de riesgos
 Aplicación práctica del proceso de planificación anual

Fase 10ª. Definir ponderaciones de los items a considerar. Ejemplo

ITEMS PONDERACIÓN

 Ambiente general de control del proceso o del área............... 5%

 Alteraciones del equipo de gestión o estructura ................... 5%

 Redefinición de los procesos o alteraciones/reconversión

de los sistemas información................................................10%

 Resultados obtenidos en anteriores trabajos de auditoria....... 20%

 Resultados del proceso de Gestión de Riesgos ......................25%

 Recomendaciones críticas pendientes...................................10%

 Existencia de procedimientos escritos...................................10%

 Juicio del auditor................................................................15%

Total.......................100%
Aplicación práctica del proceso de planificación anual
Fase 10ª. Definir las ponderaciones de los items a considerar. Ejemplo
Variable 1: MAPA DE RIESGOS PESO Variable 6: EXISTENCIA DE PROCEDIMIENTOS PESO
INDICE CRITICIDAD VALOR 5%
< 61,22 1
VALOR 10%
61,22 - 64,16 2 SI 1
64,16 - 67,09 3
NO 4
> 67,09 4

Variable 2: MAPA DE CONTROL INTERNO PESO Variable 7: IMPORTANCIA ESTRATÉGICA PESO

GRADO EFECTIVIDAD VALOR 5%
VALOR 15%
< 71,19 4
71,19 - 74,04 3 BAJA 1
74,04 - 76,89 2 MEDIA 2
> 76,89 1
ALTA 3
Variable 3: AUDITORÍA REALIZADA PESO MUY ALTA 4
VALOR 15%
SI, año X-1 1
SI, año X-2 2
Variable 8: IMPORTANCIA ECONÓMICA PESO
SI, año X-3 3 VALOR 15%
SI, año X-4 o NO 4
BAJA (<1%) 1
Variable 4: VALORACIÓN INFORMES PESO MEDIA (1% - 5%) 2
VALOR 20% ALTA (5% - 10%) 3
BUENA 1 MUY ALTA (>10%) 4
BUENA EXCEPCIONES 2
MEJORABLE 3
DEFICIENTE 4 Variable 9: JUICIO DEL AUDITOR PESO
Variable 5: RECOMENDACIONES CRITICAS PTES. PESO
VALOR 10%
% CUMPLIMIENTO VALOR 5% BAJA 1
> 90% 1 MEDIA 2
70-90 2
50-70 3
ALTA 3
< 50 4 MUY ALTA 4
 Aplicación práctica del proceso de planificación anual

Fase 11ª y 12ª. Ordenación trabajos y cuantificación recursos

Identificados los trabajos a realizar, hay que cuantificar las horas

necesarias para realizarlos, así como las horas de formación necesarias,
las de atención a las consultorías solicitadas, las precisas para la
supervisión de los planes de remediación asumidos, etc, comparándolas
con las disponibles. Situación que debe sancionar el Directorío y la alta
dirección.

Pero sin olvidar incluir, e identificar, las acciones que serán realizadas por
“los otros proveedores de aseguramiento” que vayamos a aprovechar.
 El resultado “final”

Fase 13ª. Propuesta de aprobación del Plan

 Módulo IV

 Auditorías en base a riesgos.

 Cambios en la forma de desarrollar las auditorías. Modelo tradicional vs

modelos avanzados.

 Indicadores de riesgos clave (KRI´s).

 Pronunciamiento de COSO sobre el monitoreo continuado.

 De los KRI´s a las auditorías.

 Esquema de aplicación. Condicionantes.

 KRI´s subjetivos. Canales de denuncias y banderas rojas contra el fraude.

 Dos conceptos diferentes:

Diseñar el Plan de Auditoría en base a riesgos (IIA), no es lo mismo que

auditar en base a riesgos .

 En el primer caso el objetivo es determinar que es lo que debemos

hacer.

 En el segundo lo que se nos pide es que desarrollemos la actividad

auditora supervisando el control interno de la Organización a través de la
eficacia del Sistema de Gestión de Riesgos existente.

Qué hacer y cómo hacerlo.

 Auditoría Interna en base a riesgos (I de III)

Es “La metodología que une las auditorías internas con el marco general
de la gestión de riesgo de una organización, permitiendo a la auditoría
interna ofrecer garantías al Directorio de que los procesos de gestión de
riesgos son efectivamente aplicados en relación con el apetito al riesgo”.

 Centrándonos en lo importante.

 Ofrecer opinión independiente sobre la bondad del Sistema

Gestión de Riesgos.
 Auditoría en base a riesgos (II de III)

Consiste en: Evaluar la adecuación de los procesos de Gestión de

Riesgos, verificando:

 Que los objetivos de la organización están alineados con la estrategia

de la empresa.

 Que los riesgos significativos están identificados y bien evaluados.

 Que se han seleccionando respuestas apropiadas a los riesgos de

forma que estén en un entorno de aceptación.

 Obtener oportuna información significativa sobre los riesgos críticos.

 Auditoría en base a riesgos (III de III)

En resumen: Conjunto de procesos mediante los cuales las auditorías

proveen aseguramiento independiente al Directorio acerca de:

1º) Si los procesos y medidas de gestión del riesgo que se encuentran

implementadas están funcionando de acuerdo a lo esperado;

2º) Si los procesos de gestión de riesgos son apropiados y están bien

diseñados, y

3º) Si las medidas de control de riesgos que la Gerencia ha

implementado son adecuadas y efectivas, y reducen el riesgo al nivel
de tolerancia aceptado po r el Directorio.

La ABR dependerá del nivel de desarrollo que la propia empresa ha

alcanzado en la gestión de riesgos en el área objeto de examen, y el
grado en que han sido definidos objetivos apropiados por la Gerencia
contra los cuales pueden medirse los riesgos asociados.
Hemos de dar la talla

Hay depositadas muchas

confianzas en nuestra
profesión, no podemos
defraudar.

Para ello hemos de tener:

• Medios adecuados

• Conocimientos apropiados

• Aportar el valor que se nos

atribuye
 Ello nos exige cambios en la manera de actuar:

En el modelo tradicional. La evaluación se lleva a cabo según un

modelo retrospectivo y cíclico:

 Desarrollándose tiempo después de que hayan tenido lugar las

actividades auditadas.

 Los procedimientos de evaluación suelen basarse en un enfoque de

muestreo e incluyen actividades como la revisión de políticas,
procedimientos, aprobaciones y conciliaciones.

 Este enfoque puede limitar el beneficio del trabajo para ser de

utilidad verdadera en el rendimiento comercial o el cumplimiento de
la normativa.
 Dos grandes inconvenientes, una solución:

 Son descripciones periódicas basadas en hechos pasados.

 Exigen el desplazamiento del equipo auditor al área auditada.

¡¡ Cambiemos el espejo retrovisor por los prismáticos !!

a) Auditorías a distancia.

b) Auditorías continuas.
Técnicas basadas en prácticas cotidianas

¿Tendremos hoy buen tiempo?

Qué son entonces los indicadores.

Esto no sería un indicador

Esto sí sería un indicador

 Y los KRI´s

Los KRI´s son herramientas de Control Interno, preferiblemente de

tipo preventivo
Son un medio para alcanzar un fin
 Global Technology Auditing Guide 3

Monitoreo continuado:

“Proceso realizado por los responsables de la gestión para asegurar que

las políticas y los procesos operativos resultan eficaces y para evaluar la
adecuación y la eficacia de los controles

Es realizado por los responsables de gestión financiera u operativa;

auditoría evalúa la adecuación de estas actividades de gestión”
 Auditoría continua/control/aseguramiento

El rol de la auditoría continua es inversamente proporcional a la actividad

de los gestores en el seguimiento continuo de los controles: cuanto mayor
es el papel de los gestores, menor será la función directa de la auditoría
interna.

Conseguir una seguridad razonable dependerá de una monitorización

continuada de la eficacia de los controles internos y evaluaciones
independientes de auditoría de esa función
 El reto de la Auditoría a distancia y/o continua.

La secuencia de las actividades de auditoría es:

PLANIFICACIÓN TRABAJO COMUNICACIÓN SEGUIMIENTO DE

PLAN ANUAL
DE AUDITORÍA DE CAMPO DE RESULTADOS PLANES DE ACCIÓN

• Análisis de Riesgos • Riesgos • Papeles de trabajo • Informe (conclusiones y • Grado de

• Frecuencia • Controles • Resultados recomendaciones) implementación
• Recursos disponibles • Pruebas a realizar • Supervisión • Rating • Eficacia de las
• Cierre medidas

Prácticamente todas ellas se benefician del uso de indicadores

 Empleo de las nuevas técnicas de auditoría

29,2%

70,8%

Incluyen No incluyen

% de Compañías que incluyen trabajos de Auditoría a Distancia en su Plan de Auditoría.

Según la Encuesta Audit Director Roundtable, plan 2011
 Por dónde y cómo empezar

a) Analizando la versatilidad, fiabilidad e integridad de los sistemas.

b) Capacitando y familiarizando a los auditores en las nuevas técnicas.

c) Seleccionando los procesos sobre los que se va aplicar la metodología.

d) Identificando los KRI más adecuados asociados a los factores de riesgo

inherentes

e) Estableciendo los rangos de oscilación aceptable del indicador.

f) Compartiendo la idoneidad del KRI con el responsable del proceso a

auditar.

g) Implementar la herramienta verificando su eficacia.

h) Ampliar el uso de la herramienta al resto de lo procesos clave de la

organización
El pronunciamiento de COSO

“El diseño y la puesta en

marcha de un conjunto de
KRI´s es un elemento
importante de las
organizaciones en el proceso
gestión de los riesgos
empresariales”
 Cómo llegar, según COSO, a los KRI´s

Developing Key Risk Indicators to Strengthen Enterprise Risk Management

 Principales indicadores del evento

Developing Key Risk Indicators to Strengthen Enterprise Risk Management

 Ejemplo de leading indicators

Disminución
Ingresos

Pérdida
de
Clientes

Precios
no
Competitivos

Costes
Elevados

Gestión de
compras KRI = Nº oferentes por adjudicación
Ineficiente
 Dos formas de aplicarse

• Identificando factores de riesgo (sin haberse

producido necesariamente aún los eventos)

Ex-ante • Ejemplos: Riesgos de incendios estivales,

en base a los niveles de precipitaciones
precedentes, o riesgos de fraude interno
según el grado de satisfacción de los
trabajadores obtenido en estudios de clima
laboral.

• Valoran y cuantifican eventos pasados

Ex-post • Ejemplo: El fraude en tarjetas de

debito/crédito de periodos anteriores
 Cómo se utilizan

Los atributos son cuantificados y convertidos en métricas que provean bases

para la toma de decisiones.
No auditan los datos, detectan anomalías

Serie histórica

Incidencia

Datos ejercicio
Auditoría a distancia vs continua
 De los KRI´s a las auditorías

1. De los procesos/riesgos seleccionados determinar sus indicadores.

2. Identificar datos disponibles en las aplicaciones. Programar su captura.

3. Para los que no estén en las aplicaciones, definir cuestionarios y fechas

de recepción; estableciendo métodos de comprobación.

4. Definir pistas de auditoria (rango de admisión de valores).

5. Analizar resultados y consultar causas de desviaciones ilógicas

6. Abrir auditoria para los casos

no justificados razonablemente.

7. Concluir sobre las causas reales

que Justifican las desviaciones.

8. Proponer recomendaciones.
 Aplicación en las auditorías financieras

Los KRI financieros deben permitir el análisis de las variaciones surgidas en

los principales epígrafes de los Estados Financieros :

 Fondos de Comercio
 Cartera de Valores  Avales y Garantías
 Provisiones  Derivados
 Gastos  Litigios y Otras
 Ingresos Contingencias
 Insolvencias  Créditos Fiscales
 Amortización y otras depreciaciones  Gastos e Ingresos
Extraordinarios
 Préstamos a filiales y asociadas
 Operaciones intragrupo
 Esquema de aplicación

Actualización
Otras
tablas
Análisis
Cierre trimestral

Determinación
CUADRO DE IMPLANTACIÓN DE PROTOCOLOS
TRIMESTRE N-1

fuentes UNIDAD DE AUDITORÍA

origen
PERIODO (1)

CUADRO DE IMPLANTACIÓN DE PROTOCOLOS

Sociedad A Sociedad B Sociedad C Sociedad D (2)

Obtención incidencias
UNIDAD DE AUDITORÍA FONDO DE COMERCIO (3)
CARTERA DE VALORES
PERIODO PROVISIONES GASTO/INVERSIÓN (1)
PROVISIONES INGRESOS
Sociedad A Sociedad B Sociedad C Sociedad D (2)
PROVISIONES INSOLVENCIAS

desviaciones
AMORTIZACIONES Y OTRAS DEPRECIACIONES
FONDO DE COMERCIO (3)
PRESTAMOS A FILIALES Y ASOCIADAS
CARTERA DE VALORES
PROVISIONES GASTO/INVERSIÓN
OPERACIONES INTRAGRUPO
PROVISIONES INGRESOS AVALES Y GARANTÍAS

datos
PROVISIONES INSOLVENCIAS
DERIVADOS
AMORTIZACIONES Y OTRAS DEPRECIACIONES

potenciales
LITIGIOS Y OTRAS CONTINGENCIAS
PRESTAMOS A FILIALES Y ASOCIADAS
CRÉDITOS FISCALES
OPERACIONES INTRAGRUPO
AVALES Y GARANTÍAS GASTOS E INGRESOS FINANCIEROS
DERIVADOS MISCELÁNEA
LITIGIOS Y OTRAS CONTINGENCIAS
CONTROL OPERACIONES RELEVANTES

de indicadores
CRÉDITOS FISCALES AJUSTES DE TEMAS RELEVANTES
GASTOS E INGRESOS FINANCIEROS
CONSOLIDACIÓN
MISCELÁNEA
CONTROL OPERACIONES RELEVANTES
(1) Indicar el trimestre y año del periodo sobre el que se informa
AJUSTES DE TEMAS RELEVANTES
CONSOLIDACIÓN (2) Indicar todas las sociedades del ámbito de actuación de la Unidad e Auditoría
(3) Indicar SI, NO, No aplicable. En estos dos últimos casos se debe explicar el motivo
(1) Indicar el trimestre y año del periodo sobre el que se informa
(2) Indicar todas las sociedades del ámbito de actuación de la Unidad e Auditoría
(3) Indicar SI, NO, No aplicable. En estos dos últimos casos se debe explicar el motivo

EEFF

Resto
Incidencias
Incidencias
potenciales + reales

1. Obtención de datos
2. Actualización de tablas
¿Significativas?
3. Determinación de
incidencias potenciales SÍ NO

4. Análisis del origen de las

desviaciones y
• Elaboración Informe Seguimiento
actuaciones de Auditoría
Auditoría Interna incidencias
Interna
• Reporte Mensual
 En procesos operativos
CUENTAS A PAGAR

10 15 16 1

PROVEEDOR
VENTANILLA ÚNICA ÁREA GESTORA CONTROL DE PAGOS TESORERÍA

Facturas 11 9 8 Programa de
recibidas / Aprobación y Validación pagos
Facturas masivas Autorización factura
12 Telesap 12 24

11'

12 Numeración secuencial, verificación con 11' Proceso automático

documentación interna (pedido)

Aprobación comercial, Verificación por parte de

8 24
personal independiente 1 Asignación de actividades a personal cualificado
Fraude
Riesgo

10 15 16 Existencia de una normativa interna, Segregación

de Funciones , Establecimiento de Autoridad y

9 12
límites, Control de accesos
Validación de facturas cuyo importe supere el pedido efectuado
Aprobación formal, control de incidencias,
verificación documentación externa

11
Verificación de entrada y proceso de datos

Indicador: Importe acumulado en facturas no coincidentes con el

Ratio X importe del pedido asociado
Medición

Seguimiento: Sist. de Alarmas

Rango Ratio > 1

valoración 0 < Ratio < 1

 Ejemplo KRI proceso de compras

FRACCIONAMIENTO
TRATOS de FAVOR A
DE PEDIDOS
PROVEEDORES:
CONCENTRACIÓN DE
PEDIDOS , PAGOS
ANTICIPADOS ,…
• Nº Pedidos por proveedor con
importe menor a Mesa compras

•Promedio de pedidos por usuario y

mes entre rango de importes
.ABC de Proveedores
periodo n vs periodo n-1 EFICACIA PROCESO
. Proveedores con saldo deudor. COMPRAS
.Importe abonos por Proveedor PEDIDOS
ANTIGUOS

Importe pedidosabiertos
%PEDIDOS 
ABIERTOS X100
Importe total pedidos
Importe facturado
• Pedidos abiertos con fecha de creación > 90 días 
%FACTURADO X100
Importe adjudicado
• Pedidos con fecha de entrada de mercancía superior a
90 días desde la fecha de creación Importe entrada demercancía
%CONSUMIDO X100
Importe adjudicado
Riesgos : Reputacional, fraude, corrupción,
eficacia proceso, integridad patrimonial
 KRI´s subjetivos: Canales de denuncias

• Los indicadores cualitativos de riesgos suelen ser habituales en la lucha

contra el fraudes. Pudiendo destacar:

• La ley Sarbanes Oxley obliga a las empresas de la SEC a establecer

canales de comunicación para sus empleados, con la característica de
anónimo.

• Código Unificado español lo incluye dentro de sus recomendaciones,

requiriendo, al menos su confidencialidad.

• La SBS los incluye en su resolución 37-2008.

• Su destino son los Comités de Auditoría

• Una reciente estadística de BDO, el 40,2%

de las detecciones de fraudes se debe
a los avisos recibidos, fundamentalmente
de los empleados 174
 KRI´s subjetivos: Banderas Rojas de fraude

• Inexistencia de líneas claras de responsabilidad y autoridad.

• Implantación de objetivos operativos poco realistas.
• Carencia de políticas y procedimientos de personal claros y concretos
sobre: Conducta laboral, ética y conflicto de intereses.
• Políticas retributivas por debajo del mercado.
• Comportamientos benévolos en el castigo a los infractores.
• Problemas de comunicación sobre los procesos antifraudes.
• Estructuras del negocio complejas.
• Transacciones entre partes relacionadas inusuales.
• Entorno de control interno débil
• Contenciosos con los Organismos Reguladores
• Existencia de documentos manipulados
• Ausencia de documentos soportes de operaciones del negocio.
• Uso frecuente de documentos duplicados por ausencia del original.
• Documentos soportes con enmiendas o tachaduras
• Uso de un número elevado de cuentas corrientes.