Coninter tema 4.5 complementaria
- 1. IV IV 4.5 Impacto / Análisis de Costo – beneficio. Un método para abordar el impacto es a través de la actividad de auditoría interna. El Consejo para la práctica de auditoría interna 2010- 2: Vinculando el Plan de Auditoría con Riesgos y exposición delinea las relaciones entre la estrategia de riesgos y la auditoría interna. La estrategia de riesgos de la organización deberá estar reflejada en el diseño del plan de la actividad de auditoría interna. Un enfoque coordinado debe ser aplicado a las sinergias de apalancamiento entre la administración de riesgos de la organización y los procesos de auditoría interna. El plan de la actividad de auditoría interna debe ser diseñado con base en una evaluación de riesgos y exposiciones que puedan afectar a la organización. Finalmente, el objetivo de la auditoría: Es proveer a la gerencia de información para mitigar las consecuencias negativas asociadas con el cumplimiento de los objetivos de la organización. El grado de la materialidad de la exposición puede ser visto como un riesgo mitigado por el establecimiento de actividades de control. El universo de auditoría puede incluir componentes del plan estratégico de la organización. Por medio de la incorporación de tales componentes, el universo de auditoría considerará y reflejará los objetivos generales del plan de negocios. Los planes estratégicos reflejarán también probablemente la actitud de la organización hacia el riesgo y el grado de dificultad para el logro de los objetivos planeados. Es aconsejable evaluar el universo de auditoría al menos una vez al año, para reflejar las estrategias más actuales y la dirección de la organización. El universo de auditoría puede ser influido por los resultados del proceso de administración de riesgos. Al momento de desarrollar planes de auditoría los eventos del proceso de administración de riesgos deben ser considerados.
- 2. IV IV Los calendarios de trabajo de auditoría deberían estar basados, entre otros factores, en una evaluación de prioridades de riesgos y exposiciones. La priorización es necesaria para tomar decisiones, para aplicar recursos relativos basados en la importancia de riesgo y la exposición. Una variedad de modelos de riesgo existe para asistir al director ejecutivo de auditoría para priorizar temas potenciales de auditoría. La mayoría de estos modelos de riesgos utilizan factores de riesgo para establecer la prioridad de los compromisos tales como: materialidad monetaria, liquidez de activos, competencia de la gerencia, calidad de los controles internos, grado de inestabilidad, tiempo del último compromiso realizado de auditoría, complejidad, relaciones con los empleados y con el gobierno, etc. Cambios en la dirección de la gerencia, objetivos, énfasis y enfoque deben reflejarse en las actualizaciones del universo de auditoría y su plan de auditoría relacionado. En la conducción de compromisos de auditoría, los métodos y técnicas para probar y validar las exposiciones deben estar bien analizados con la materialidad del riesgo y su probabilidad de ocurrencia. La información en reportes gerenciales deben comunicar las conclusiones de administración de riesgos y las recomendaciones para reducir las exposiciones para que la gerencia entienda completamente el grado de exposición, es crítico que el reporte de auditoría identifique la “criticidad” y consecuencia de la actividad de riesgo respecto del logro de objetivos. El director ejecutivo de auditoría debe, al menos anualmente, preparar un informe sobre lo adecuado del sistema de control interno para mitigar los riesgos; tal declaración debe también comentar sobre la materialidad de los riesgos no mitigados y la aceptación gerencial de tales riesgos.
- 3. IV IV Otro método es determinar el costo – beneficio por medio de un enfoque de medición de riesgos, tal como se esboza en el siguiente texto de evaluación de riesgo de negocio. Una vez que se han identificado los riesgos y sus consecuencias el próximo paso es medirlos. Medir riesgo es difícil por su naturaleza intangible. Los matemáticos (y muchos auditores internos) prefieren pensar sobre riesgos en términos cualitativos en lugar de cuantitativos. Para muchos gerentes definir los riesgo en una escala de tres riesgos (Alto, Medio y Bajo) es suficiente para sus necesidades. Medir riesgos no es una ciencia precisa ni lo necesita ser. La evaluación de riesgos apoya la planeación en cuanto que ayuda a identificar las partes del plan que podrían necesitar mayor atención que otras debido a que son más importantes o menos protegidas por controles. El proceso de evaluación de riesgos provee al gerente de importantes partes del proceso de toma de decisión, pero el gerente necesita hacer ajustes a las decisiones con base en las condiciones reales encontradas. Los riesgos son eventos con alguna probabilidad de ocurrencia. Las consecuencias son los resultados de los riesgos que actúan en nuestros procesos de negocios y nuestras metas y objetivos. Tanto los riesgos como consecuencias se miden en tres dimensiones: La ocurrencia de riesgo es la probabilidad de que el riesgo cree una consecuencia que podría afectar materialmente nuestra capacidad para lograr nuestras metas de negocio. Ejemplo: Un banco tiene una caja con un grupo de títulos valores registrados con una tasa de interés fija como garantía contra un préstamo otorgado, el banco está en riesgo si las tasas de interés aumentan por encima de cierto importe (la garantía ya no cubrirá el valor del préstamo). Dados razonables registros contables, el banco no está en riesgo si los títulos resultan físicamente dañados aun cuando ese es un riesgo real con una razonable probabilidad de ocurrencia. La
- 4. IV IV razón es que el daño no afecta los procesos de negocios del banco en una forma material (los títulos valores están registrados, entonces pueden remplazarse si se dañan o pierden), independientemente de la probabilidad de ocurrencia. La severidad de las consecuencias es otra dimensión de la medición de riesgos. La severidad de las consecuencias es frecuentemente dependiente de la operación de los controles internos. Algunos controles reducen las consecuencias a eventos inmateriales. Las consecuencias deben tener un efecto material sobre la capacidad de lograr objetivos. Los riesgos con consecuencias inmateriales que no afectan nuestra capacidad de lograr nuestras metas son eliminados de consideración. Tales controles internos que reducen las consecuencias a la inmaterialidad son probados en el programa de auditoría. Por ejemplo: Usando el mismo ejemplo del banco antes mencionado en riesgo de pérdida o daño, dado un adecuado registro contable (el control) no vale la pena ser considerado dado que el costo de reemplazo (la consecuencia) no es material. No diseñaríamos un programa de auditoría para cubrir todos los aspectos de controles de custodia referida a riesgo de daño físico o pérdida, verificaríamos que tenemos buenos registros contables de estas tenencias a través de una prueba de arqueo a la caja. El espacio de tiempo del riesgo y la duración de sus consecuencias es la tercera dimensión de la medición de los riesgos. Lo riegos pueden tener consecuencias que varían en severidad dependiendo de en qué momento del proceso de negocios se producen y por cuánto tiempo duran sus consecuencias. Por ejemplo: La oportunidad se torna un tema importante en las operaciones de la computadora. El riesgo de interrupción del procesamiento de una computadora del Banco es mayor durante ciertos momentos del día (conexión l sistema eléctrico), algunos momentos del año (mal clima), y aun en ciertas secuencias de procesamiento (operaciones altamente complejas que requieren una gran intervención de operador). Las probabilidades de interrupción debido a un número de causas crecen o disminuyen dependiendo de tales factores.
- 5. IV IV Análogamente, la duración de las consecuencias puede afectar la magnitud del riesgo. El procesamiento de la computadora del banco es usualmente conducido por ciclos. La interrupción de tales ciclos por una hora es un nivel de riesgo; la interrupción por un día es otro nivel de riesgo (mayor) y la interrupción por una semana probablemente deje al banco fuera de interrupciones. Finalmente, los beneficios devengados de las actividades de auditoría, revisión y evaluación de riesgo deben exceder el costo de asignar recursos escasos a tales actividades. Adicionalmente la implementación de controles para mitigar cualquier riesgo identificado debe ser menor que sus pérdidas potenciales. Controles Manuales Por muchos años solo existieron controles manuales en las organizaciones. La introducción de tecnología, particularmente tecnología de computadoras, cambio dramáticamente esto. Los controles manuales fueron vistos como caros e ineficientes porque eran desarrollados por empleados y representaba un riesgo mayor al depender de la competencia y actitud de los individuos que los estaba practicando. Los controles manuales todavía forman parte del sistema de control interno pero no hay duda de que su papel fue declinado conforme más actividades de negocios se volvieron automatizadas. En su lugar, muchos controles fueron reemplazados por controles de alto nivel, esto es, la revisión humana del procesamiento extensivo de computadora y el enfoque solamente en las excepciones. Los controles manuales también trabajan frecuentemente en conjunción con controles automatizados. Por ejemplo, un sistema de nóminas puede identificar (vía un control de edición) un incremento inusual en la tasa de pagos basado en parámetros programados. La porción manual de control sería una revisión manual
- 6. IV IV de un informe de excepciones para identificar y subsecuentemente evaluar la integridad de la transacción. Controles automatizados Los controles automatizados son procedimientos programados diseñados para evitar, detectar y corregir errores o irregularidades que podrían impactar adversamente las actividades de negocios de la organización. Tales controles abordan los aspectos esenciales del procesamiento de transacciones e información, desde la iniciación de la actividad de informe. Los controles automatizados y sus funciones relacionadas de procesamiento computarizado respaldan directamente el sistema de negocios subyacente y ayudan a asegurar la consistencia y veracidad de los procesos automatizados. Por ejemplo, la edición automatizada de información ingresada para asegurar que se evite correcta y completamente el ingreso de información errónea dentro del sistema. Los controles automatizados son preferidos debido a su economía velocidad, confiablidad y veracidad. Sin embargo solo son tan efectivos como los controles de alto nivel que los administra. Por ejemplo, un sistema puede producir un informe adecuado sobre transacciones de cuentas por pagar que exceden un límite establecido, sin embargo si no hay revisión efectiva o investigación de tales excepciones por un individuo apropiado, el valor del control es nulo. Los controles automatizados suplementan y aumentan la efectividad de la revisión de empleados y gerentes pero no la reemplazan. Dos métodos comunes para evaluar controles internos son las pruebas de cumplimiento y sustantivas. Las pruebas de cumplimiento son procedimientos diseñados para verificar si los controles están siendo aplicados en la manera descrita en flujogramas, cuestionarios, etc.
- 7. IV IV Si, de las pruebas el auditor cree que los controles están operando efectivamente, se puede confiar en tales sistemas de control. El control manual puede ser verificado en su cumplimiento por medio de la revisión de documentación tal como pruebas de auditoría. Donde existen pruebas de auditoría (documentación para respaldar el control, firmas, por ejemplo) una revisión de la muestra de documentación es suficiente. Sin embargo, cuando no existe documentación (segregación de funciones) se pueden requerir la observación o entrevistas para verificar el cumplimiento con el sistema de control interno. Los controles automatizados pueden también dejar una pista de auditoría (registros de log, registro de transacciones) que pueden revisarse para asegurar cumplimiento. Las pruebas sustantivas son procedimientos diseñados para probar los errores en el sistema de control interno (errores monetarios por ejemplo). En tales casos, la información se compara y concilia para asegurar que está adecuadamente representada a través del ciclo de la transacción. Tales pruebas pueden ejecutarse manualmente, sin embargo, las revisiones automatizadas se están volviendo más comunes. La información puede correr a través de un sistema para verificar la integridad del sistema y suplementarse con una revisión de la información producida para asegurar su veracidad.