Evaluación de Riesgo, Complemento Esencial en la Auditoría Interna * Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia 07/16/96 OFICINA DEL CONTRALOR DE P.R. Oficina de Auditoría Interna Evaluación de Riesgo, Complemento Esencial en la Auditoría Interna Wilda Rodríguez Vázquez, CFE Oscar A. Luna Díaz, MBA 25 de octubre de 2002 *

Durante la presentación se discutirán los siguientes temas: Concepto de Riesgo Control Interno Evaluación de Riesgo Nivel Organizacional (Macro) Areas Auditables Determinación de los factores de riesgo

(Cont.) Temas a presentarse Selección de la escala de riesgo Cuestionario de Control para las áreas auditables. Evaluación de Riesgo Nivel de Auditoría (Micro) **

Riesgo Es la probabilidad de que un evento o acción pueda afectar adversamente a la organización. El riesgo es una medida de incertidumbre que envuelve las consecuencias y posibilidad de que un evento ocurra.

Riesgo Consecuencias Son los resultados tangibles del riesgo en las decisiones, eventos o procesos. Las consecuencias pueden variar en severidad dependiendo de los siguientes factores: Exposición Tipo de debilidad, amenaza o riesgo Duración

Riesgo Los Estandares para la Práctica Profesional de la Auditoría Interna se refieren a las consecuencias como el efecto del riesgo. Los efectos del riesgo pueden incluir: Desiciones erroneas de la gerencia por la utilización de información incorrecta, incompleta o poco confiable. Contabilidad inapropiada

Riesgo Fallar en salvaguardar adecuadamente los activos. Insatisfacción del cliente, publicidad negativa y daño a la reputación de la organización. Fallar en adoptar políticas, planes y procedimientos organizacionales o no cumplir con leyes y reglamentos. Utilización de recursos inefectiva o ineficientemente Fallar en cumplir con los objetivos y metas de la organización.

Riesgo Riesgos de la Organización: Son los riesgos inherentes de tener activos en funcionamiento para alcanzar los objetivos establecidos. (Riesgos normales de la organización sin considerar los efectos del sistema de control interno).**

Control Interno Es un proceso utilizado por la Gerencia (Junta de Gobierno, Administración) para proveer seguridad razonable en cuanto al logro de los objetivos en las siguientes categorias: Efectividad y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento con Leyes y Reglamentos

Control Interno Componentes de control interno: Ambiente de control Evaluación de riesgo Actividades de Control Comunicación e Información Monitoreo

Control Interno Los controles internos se pueden clasificar como: Preventivos Son controles que intentan disminuir o prevenir la ocurrencia de eventos no deseados. Son proactivos y ayudan a prevenir pérdidas. Ejemplos: Segregación de tareas, Autorizaciones, Documentación y Control físico sobre los activos.

Control Interno Detectivos: Son controles que intentan descubrir o detectar actos no deseados. Proveen evidencia para una pérdida que ha ocurrido, pero no previenen la ocurrencia de dicha pérdida. Ejemplos: Revisiones, Análisis de varianzas, Reconciliaciones, Inventarios y Auditorías. Ambos tipos de controles son esenciales para un sistema de control interno efectivo.

Control Interno ¿Cómo se identifican y manejan los riesgos en la organización? Un sistema de control interno efectivo permite que la gerencia valore, monitoree y maneje los riesgos más importantes

Evaluación de Riesgo desde el Marco de Referencia de COSO Establecer Objetivos Identificar Riesgos Medir y Analizar Riesgos Implementar Actividades de Control Monitoreo Actividades de Control COSO= Committee of Sponsoring Organizations of the Treadway Commission

Evaluación de Riesgo Es el método para identificar y valorar el riesgo en relación con el logro de los objetivos de la organización. Es un proceso sistemático que integra el juicio profesional sobre eventos o condiciones adversas que son probables en la organización.

Evaluación de Riesgo El Director de Auditoría Interna generalmente asigna la prioridad en el plan anual para aquellas actividades que resultan con mayor riesgo.

Evaluación de Riesgo La evaluación de riesgo consiste de : Identificación de los riesgos Identificar y clasificar los riesgos de la organización y sus características. Medición de los riesgos Medida de cuán severas pueden ser las consecuencias y la posibilidad de ocurrencia.

Evaluación de Riesgo Prioridades Manejo del riesgo Determinar que riesgos son más críticos para la organización. Establecimiento del orden en que se colocan los riesgos dependiendo de la severidad de los mismos. Manejo del riesgo Asegurar procedimientos de control y otras acciones gerenciales para dirigir y controlar los riesgos identificados.

Evaluación de Riesgo El auditor interno utiliza la evaluación de riesgo para: Desarrollar su plan de trabajo anual Determinar las prioridades Proveer orientación a las diferentes áreas dentro de la organización

Evaluación de Riesgo Clases de Evaluación de Riesgo: Evaluación de Riesgo a nivel organizacional (Macro) Evaluación de Riesgo a nivel de auditoría (Micro)

Evaluación de Riesgo Evaluación de Riesgo a nivel organizacional (Macro) El propósito de la evaluación de riesgo a éste nivel es obtener información para la preparación de un plan anual que sea justificable, esté basado en las áreas de mayor riesgo de la organización, agrege valor y provea información a la gerencia.

Evaluación de Riesgo La evaluación de riesgo a nivel organizacional envuelve los siguientes pasos: Identificar la unidades o actividades auditables Determinar los factores de riesgo Determinar el peso para los factores de riesgo Asignar una escala de valores para los factores de riesgo

Evaluación de Riesgo Evaluar las actividades auditables en relación con los factores de riesgo Determinar las actividades con mayor riesgo a las que se le da prioridad en la preparación del plan anual.

Evaluación de Riesgo (Macro) Actividades Auditables La evaluación de riesgo a nivel organizacional comienza identificando las actividades auditables y desarrollando un inventario de dichas actividades. Actividad auditable es una unidad, sistema o área la cual puede ser definida o identificada y sobre la cual el auditor puede realizar pruebas.

Evaluación de Riesgo (Macro) Actividades Auditables Actividades auditables pueden ser: Unidades Organizacionales Políticas o Procedimientos Sistemas de Información Contratos y Programas Federales Procesos Estados Financieros Leyes y Reglamentos

Evaluación de Riesgo (Macro) Actividades Auditables Niveles de Actividades Auditables Agencias o Corporaciones con diversidad de divisiones. Agencias o Corporaciones con procesos complejos. Agencias o Corporaciones con múltiples unidades de funciones similares.

Evaluación de Riesgo (Macro) Una vez las actividades auditables son identificadas la evaluacion de riesgo a nivel organizacional envuelve: Determinar los factores de riesgo Otorgar peso a los factores Desarrollar la escala para los riesgos

Evaluación de Riesgo (Macro) Factores de Riesgo Determinación de Factores de Riesgo Los factores de riesgo son el criterio utilizado para evaluar las actividades auditables. Los factores de riesgo seleccionados deben ser: Diversos en naturaleza y representativos de varios riesgos de la organización Indicativos de asuntos de mayor riesgo Significativos Razonables

Evaluación de Riesgo (Macro) Factores de Riesgo Algunos ejemplos de factores de riesgo: Tamaño, Complejidad o Liquidez Presupuesto Ambiente Interno Ambiente de Control y Dirección Sistema de Control Interno Tiempo desde la última auditoría

Evaluación de Riesgo (Macro) Asignación de Peso Asignación de peso a los factores de riesgo: Algunos factores de riesgo seleccionados son más importantes que otros. Mediante la otorgación de peso los factores más importantes tendran mayor impacto en la evaluación de riesgo.

Evaluación de Riesgo (Macro) Asignación de Peso Métodos para otorgar peso a los factores de riesgo: Utilización de Muy Importante, Importancia Promedio o Baja Importancia Asignación a cada factor de riesgo de una cantidad procentual a juicio hasta llegar a 100% Asignación de puntuación a juicio a cada factor.

Evaluación de Riesgo (Macro) Escala de Valores Selección de la escala de riesgo: Para evaluar cada actividad de auditoría con su factor de riesgo es necesario asignar una escala a los factores. Ejemplo de escalas de valor: Asignación de Bajo, Mediano o Alto Riesgo Escala numérica basada en información cualitativa.

Evaluación de Riesgo (Macro) Escala de Valores Cont. Escala numérica 1= Bajo riesgo 5= Alto riesgo 1= Sistema de control interno adecuado 5= Sistema de Control interno inadecuado Escala numérica basada en información cuantitativa 1= <$10,000 5= >$100,000 Tiempo desde la última auditoría 1= Reciente 5= 5 años o más

Evaluación de Riesgo Escala de valores utilizada para determinar los niveles de riesgo en la OCPR 1-2 Bien Alto- Extremadamente Crítico 3-4 Alto Riesgo- Crítico 5-6 Posible Riesgo- Moderado 7-8 Bajo Riesgo- Bueno 9-10 Bien Bajo- Excelente

Evaluación de Riesgo (Macro) Para obtener información al realizar la evaluación de riesgo se deben considerar las siguientes fuentes: Entrevistas con la Gerencia Informes de Auditoría Anteriores Sistema de Seguimiento de Recomendaciones Investigaciones de la Gerencia

Evaluación de Riesgo (Macro) Cont. Fuentes de Información: Informes Financieros Informes Anuales Sistemas de Contabilidad Cuestionarios **

Evaluación de Riesgo Aquellas actividades con mayor riesgo deben recibir prioridad al preparar el plan de trabajo anual. Factores a considerar al preparar el plan anual de auditoría interna: Personal disponible Presupuesto Metas u objetivos de ejecución o cumplimiento

Evaluación de Riesgo Horas anticipadas para investigaciones u otros trabajos Peticiones de la gerencia Tamaño de las auditorías Deseo de que se cubran varias áreas de la organización Experiencia de los auditores

Evaluación de Riesgo La evaluación de riesgo debe ser actualizada anualmente debido a: Cambios en las actividades auditables Surgimiento de nuevos riesgos Cambios en las leyes y reglamentación

Evaluación de Riesgo (Micro) Evaluación de Riesgo a nivel de auditoría Es la evaluación que se realiza en la etapa de planificación de la auditoría, una vez se ha seleccionado la actividad que se va ha auditar. La evaluación de riesgo exitosa resulta en una auditoría que se enfocará en las áreas más críticas.

Evaluación de Riesgo (Micro) La evaluación de riesgo a nivel de auditoría envuelve los siguientes pasos: Identificar los procesos y objetivos para la actividad a auditar. Identificar los riesgos en relación con los objetivos de la actividad. Valorar los riesgos de acuerdo con su severidad y a los objetivos

Evaluación de Riesgo (Micro) Establecer la prioridad entre los riesgos de acuerdo con la evaluación. Identificar las acciones de la gerencia encaminadas a la reducción del riesgo (Establecimiento de controles internos). Determinar el impacto de la evaluación de riesgo a nivel de auditoría en relación con el programa de auditoría.

Evaluación de Riesgo (Micro) Identificación de los procesos: Dependiendo de la complejidad y naturaleza de la actividad a ser auditada es beneficioso en primer lugar determinar los procesos claves, funciones y ciclos de la actividad. Esto provee el punto de partida para la identificación de los objetivos de la actividad auditada.

Evaluación de Riesgo (Micro) Identificación de los riesgos en relación con los objetivos: La fase de planificación de la auditoría incluye la determinación del alcance, desarrollo de los objetivos y la reunión inicial con la gerencia. Durante esta fase la evaluación de riesgo envuelve obtener información general sobre la actividad, incluyendo los objetivos y riesgos mayores de la actividad.

Evaluación de Riesgo (Micro) Determinación del alcance: Un paso clave en la determinación del alcance de la auditoría y los objetivos es la revisión de toda la información disponible en relación con el área a auditar.

Evaluación de Riesgo (Micro) Valoración o medición de los riesgos: Una vez los riesgos son identificados el próximo paso es medirlos. La medida del riesgo se realiza en dos dimensiones: Severidad de las consecuencias Mide la magnitud de un evento negativo. Es la exposición o el impacto negativo que el evento puede tener en la organización.

Evaluación de Riesgo (Micro) La severidad de las consecuencias puede ser medida utilizando: Escala Descriptiva Escala Cualitativa Escala Monetaria Riesgo en dolares Posibilidad de ocurrencia Es la probabilidad o frecuencia de ocurrencia de un evento de riesgo. Es la probabilidad sin considerar ningún procedimiento de control implantado por la gerencia.

Evaluación de Riesgo (Micro) La posibilidad de ocurrencia puede ser medida en términos cualitativos o cuantitativos: Descriptiva Escala Cualitativa Margen de Error Prioridad de los riesgos: El establecimiento de la prioridad entre los riesgos identificados depende de la severidad de las consecuencias y de la posibilidad de ocurrencia.

Evaluación de Riesgo (Micro) Métodos para establecer la prioridad entre los riesgos identificados: Prioridad relativa Clasificación absoluta “Matrix Ranking” (Orden utilizando una matriz matemática)

Evaluación de Riesgo (Micro) Una vez se establecen las prioridades Se identifican las actividades de control Evalúan los controles internos Se determina como la evaluación de riesgo afecta el resto de la auditoría.

Evaluación de Riesgo (Micro) Algunos ejemplos de riesgos: Relacionados con los activos: Fraude o robo Desastres o accidentes Exposición Mantenimiento inadecuado Relacionados con las operaciones: Compras

Evaluación de riesgo (Micro) Relacionados con las operaciones: Compras Materiales que no cumplen con las especificaciones Confabulación Compras poco económicas Operaciones Tardanzas en los servicios Calidad de servicio poco adecuada

Evaluación de Riesgo (Micro) Almacén Inventario insuficiente para cubrir pedidos u órdenes Excedente de inventario Recursos Humanos Reclutamiento de candidatos poco cualificados Adiestramiento inadecuado Finanzas Información no actualizada o incompleta Falta de documentación Reconciliaciones incompletas o fuera de tiempo

Evaluación de riesgo (Micro) Relacionados con sistemas de información: Actualización y Calidad de la información Errores, omisiones o duplicidad Información insuficiente o fuera de tiempo Seguridad y acceso a la información Accesos no autorizados a los archivos Transacciones no autorizadas Resguardos y recuperación ante desastres Pérdida de información crítica Interrupción de las operaciones

Evaluación de Riesgo (Micro) Equipo y Programación Sistemas insuficientes e inadecuados Implantación de sistemas inefectiva o fuera de tiempo Relacionados con ambiente externo e interno Externo Nueva reglamentación Condiciones económicas Operaciones extranjeras ( condiciones económicas y políticas) Nueva tecnología y productos

Evaluación de Riesgo (Micro) Interno - Nuevo personal - Nuevos Sistemas de Información - Rápido Crecimiento - Nuevas Actividades, productos o servicios - Reestructuraciones - Limitaciones presupuestarias

Conclusión Todos los funcionarios en la organización son responsables del control interno y la evaluación de riesgo; El Director Ejecutivo, Administrador La Gerencia El Auditor Interno

CONTAMOS CON SU COOPERACIÓN PARA MEJORAR LA FISCALIZACIÓN Y ADMINISTRACIÓN DE LA PROPIEDAD Y LOS FONDOS PÚBLICOS