Evaluación de Riesgos
Principio 6: Especifica objetivos relevantes
Principio 7: Identifica y analiza los riesgos
La organización identifica los riesgos para la consecución de sus objetivos a través de la entidad y analiza los riesgos como base para determinar cómo se deben gestionar los riesgos.
La administración debe considerar los riesgos en todos los niveles de l organización y tomar las acciones necesarias para responder a estos.
En este proceso se consideran los factores que influyen como la severidad, velocidad y persistencia del riesgo; la probabilidad de perdida de activos y el impacto relacionado sobre las actividades de operativas, de reporte y cumplimiento. Así mismo la entidad necesita entender su tolerancia al riesgo y su habilidad para funcionar y operar dentro de estos niveles de riesgo.
El proceso de identificación de riesgos debe ser integral y completo y considerar todas las interacciones significativas de bienes, servicios e información, internamente y entre la entidad y sus principales socios y proveedores de servicios externos.
Los riesgos pueden surgir en todos los niveles de la entidad y debido a factores tanto internos como externos. Una vez identificados estos factores se puede considerar su relevancia e importancia, y si es posible relacionarlos con riesgos y actividades específicas.
Riesgos externos: Desarrollos tecnológicos que en caso de no adoptarse provocarían obsolescencia organizacional, cambios en las necesidades y expectativas de la demanda, condiciones macroeconómicas tanto a nivel internacional como nacional, condiciones microeconómicas, competencia elevada con otras organizaciones, dificultad para obtener crédito o costos elevados del mismo, complejidad y elevado dinamismo del entorno de la organización, reglamentos y legislación que afecten negativamente a la organización.
- Riesgos económicos: Cambios que pueden impactar las finanzas, la disponibilidad de capital, y barreras al acceso competitivo.
- Ambiente natural: Catástrofes naturales o causadas por el ser humano, o cambios climáticos que puedan generar cambios en las operaciones, reducción en la disponibilidad de materia prima, perdida de sistemas de información, resaltando la necesidad de planes de contingencia.
- Factores regulatorios: Nuevos estándares o regulaciones y leyes que impliquen cambios en las políticas y estrategias operativas y de reporte de la entidad.
- Operaciones extranjeras: Cambios en el gobierno o leyes de países extranjeros que afecten a la entidad.
- Factores sociales: Cambios en las necesidades y expectativas de los clientes que puedan afectar el desarrollo de los productos, procesos de producción, servicio al cliente, precios o garantías.
- Factores tecnológicos: Desarrollos que pueden afectar la disponibilidad y uso de la información, costos de infraestructura y la demanda de los servicios basados en la tecnología.
Riesgos internos: Riesgos referentes a la información financiera, sistemas de información defectuosos, pocos o cuestionables valores éticos del personal, problemas con las aptitudes y actitudes, y comportamiento del personal.
- Infraestructura: Decisiones sobre el uso de recursos de capital que pueden afectar las operaciones y la disponibilidad de la infraestructura.
- Estructura de la administración: Cambio en las responsabilidades de la administración que pueda afectar los controles que se llevan a cabo en la organización.
- Personal: Calidad del personal contrato y los métodos de capacitación y motivación que puedan influir en el nivel de control de conciencia dentro de la entidad, y vencimiento de contratos que puedan afectar la disponibilidad de personal.
- Acceso a los activos: Naturaleza de las actividades de la entidad y acceso de empleados a los activos, que puedan contribuir a la malversación de activos.
- Tecnología: Alteraciones en los sistemas de información que puedan afectar los procesos de la entidad.
Los riesgos deben ser claramente identificados y se realiza mediante un mapeo de riesgos que incluye la especificación de los procesos claves de la organización, la identificación de los objetivos generales y particulares, y las amenazas y riesgos que pueden impedir que estos se cumplan. También es necesario llevar a cabo una evaluación de riesgos a nivel de transacciones, permitiendo así tener un nivel aceptable de riesgo en la entidad.
Después de identificar riesgos tanto a nivel de la entidad como de transacciones, se lleva a cabo el análisis de riesgos. Este proceso debe incluir la evaluación de la probabilidad de que ocurra un riesgo, el impacto que causaría y la importancia del riesgo. Es importante estimar la probabilidad de ocurrencia de los riesgos identificados con el fin de calcular posibles pérdidas. Esta estimación comprende entonces tres variables, probabilidad, impacto y velocidad; con estas consideraciones se puede construir una matriz de riesgos para determinar los riesgos prioritarios.
La importancia de cada riesgo en su control interno se basa en la probabilidad de manifestación y en el impacto que puede causar en la organización. La velocidad del riesgo se refiere a la rapidez con la que el impacto se evidenciara en la entidad. El impacto está referido a perdida de activos y de tiempo, disminución de la eficiencia y eficacia de las actividades, efectos negativos en los recursos humanos, y alteración de la exactitud de la información de la organización, entre otras. El impacto debe estar expresado en una única unidad que puede ser monetaria.
El riesgo comprende barreras que se imponen a la organización en su crecimiento o inclusive para su supervivencia. Eliminar completamente el riesgo es una situación hipotética, porque los factores a considerar son demasiados en un entorno donde el dinamismo es una constante. Sin embargo existen muchas acciones para reducir el riesgo de que la organización sea afectada, una de estas es la implementación de un adecuado sistema de control interno.
Debido a que las condiciones económicas, industriales, legislativas y operativas cambian constantemente, es necesario disponer de mecanismos para identificar y afrontar los riesgos asociados. En una organización no existe forma de reducir los riesgos a cero, debido a esto se pueden distinguir dos tipos de riesgos, riesgos inherentes y el riesgo residual. El riesgo inherente es el riesgo para el cumplimiento de los objetivos de la entidad en la ausencia de las acciones de la administración para modificar su probabilidad o impacto; y el riesgo residual es el que permanece después de que la administración lleva a cabo sus respuestas a los riesgos.
Finalmente, luego de evaluar los riesgos significativos la administración debe considerar como van a ser manejados. Esto implica el uso del juicio y un análisis razonable de costos asociados con la reducción de los niveles de riesgo. Las respuestas a los riesgos se organizan en las siguientes categorías:
|
Categoría |
Descripción |
|
Aceptación |
Ninguna acción es tomada para modificar la probabilidad o impacto del riesgo. |
|
Anulación |
Salida de actividades que dan lugar a riesgos. |
|
Reducción |
Acciones tomadas para reducir la probabilidad o impacto del riesgo. |
|
Compartir |
Reducir la probabilidad o impacto del riesgo, transfiriéndolo o compartiendo una parte del riesgo. |
Tolerancia al Riesgo
La Tolerancia al Riesgo se refiere al nivel aceptable de variación en el desempeño relativo al cumplimiento de los objetivos. Es decir la cantidad máxima de un riesgo que una organización puede aceptar para lograr los objetivos. Funcionar y operar dentro de la tolerancia al riesgo le proporciona a la administración la seguridad del cumplimiento de los objetivos de la entidad.
Equipo Auditool
Y luego Agregar a la pantalla de inicio.