http://dx.doi.org/10.35381/i.p.v4i7.1855

 

La gestión de los riesgos organizacionales bajo el nuevo enfoque de la auditoría interna

 

The management of organizational risks under the new approach of internal audit

 

 

 

Silvia Janneth Aguilar-Chamba

silvia.aguilar.59@est.ucacue.edu.ec

Universidad Católica de Cuenca, Cuenca, Cuenca

Ecuador

https://orcid.org/0000-0001-9038-3970

 

Lenyn Geovanny Vásconez-Acuña

lenyn.vasconez@ucacue.edu.ec

Universidad Católica de Cuenca, Cuenca, Cuenca

Ecuador

https://orcid.org/0000-0001-9258-3255

 

 

 

 

 

 

Recibido: 01 de marzo 2022

Revisado: 10 de abril 2022

Aprobado: 15 de junio 2022

Publicado: 01 de julio 2022

 

 

 

 

 

 

 

RESUMEN

La auditoría interna como actividad permite evaluar y mejorar los procesos de evaluación y control, así como, el impacto de los riesgos a los cuales están expuestas las empresas. Bajo este contexto, la pandemia del COVID -19 puso en evidencia los problemas en la evaluación y control efectivo de los riesgos en las organizaciones. Por lo que, el estudio tiene como objetivo proponer un procedimiento de auditoría interna que incorpore herramientas de análisis de datos para la gestión efectiva del riesgo organizacional en tiempos de pandemia COVID-19 en la Asociación ASOPROTEXMAHIL de la Provincia de Manabí. La metodología fue de alcance descriptivo. Los resultados mostraron que en la asociación no existen actividades de auditoría interna aplicadas a la gestión de riesgos. Por ende, la propuesta muestra las diferentes tareas que el auditor interno debe realizar cumplir de forma permanente los objetivos organizacionales.

 

Descriptores: Auditoria de gestión; operación administrativa; planificación. (Tesauro Unesco).

 

 

 

ABSTRACT

Internal auditing as an activity allows to evaluate and improve the evaluation and control processes, as well as the impact of the risks to which companies are exposed. In this context, the COVID-19 pandemic highlighted the problems in the evaluation and effective control of risks in organizations. Therefore, the study aims to propose an internal audit procedure that incorporates data analysis tools for the effective management of organizational risk in times of COVID-19 pandemic in the ASOPROTEXMAHIL Association of the Province of Manabi. The methodology was descriptive in scope. The results showed that in the association there are no internal audit activities applied to risk management. Therefore, the proposal shows the different tasks that the internal auditor must perform to permanently fulfill the organizational objectives.

 

Descriptors: Management audit; control; management operations; planning. (Thesaurus Unesco).

 

 

 

 

INTRODUCCIÓN

La dificultad de las operaciones que en la actualidad afrontan las organizaciones, así como la competencia empresarial, sin que importe su tamaño o giro, hizo que los gobiernos corporativos, las administraciones y el personal, se apoyaran en la Auditoría Interna (AI) para atemperar estos efectos. Según (Hernández, 2016), a través de la misma, se garantiza el control del cumplimiento de los objetivos; lográndose un alcance estructurado en las empresas, su independencia y objetividad profesional, al momento de realizar procedimientos de análisis, evaluaciones, recomendaciones, asesoría e información concerniente a las actividades revisadas; su enfoque sistémico y disciplinado posibilita incrementar la efectividad de los diferentes procesos en especial los relacionados con la gestión de riesgos, el control interno y el gobierno corporativo.

En consecuencia, la AI, como un componente de valor complementario, desempeña en la organización un papel muy significativo; pues esta juega un rol muy importante en las tácticas que asuma la entidad para la consecución de las metas propuestas. Debe verse como un centro de beneficio por medio de un trabajo profesional y cualitativo, que aporta sugerencias y mejoras de control, que aumenta el costo y los resultados, objetivamente apreciables y cuantificables (Cubero, 2018).

Cabe considerar, por otra parte, que el COVID-19 ha provocado una disrupción significativa en las organizaciones de todo el mundo; muchas funciones de la AI continúan experimentando retrasos en su plan de auditoría. Las limitaciones se encuentran en el acceso reducido a los datos y la falta de tecnología. En este contexto, (León & González (2020) manifiestan que la pandemia, no solo ha obligado a que las empresas y negocios se reinventen, sino que además ha ejercido presión para que la función de AI trabaje de forma diferenciada (Deloitte S-Latam, 2019).

En contraposición a esta problemática, se ha podido apreciar un deterioro moral y ético en múltiples entidades de producción y/o servicios, a nivel global. Cabe destacar los evidentes escándalos y fraudes contables y corporativos en Estados Unidos y Europa. En este orden de ideas, el control interno se ha visto obligado a adoptar grandes cambios en su enfoque, exigiendo a la mayoría de los gobiernos establecer nuevas y fuertes medidas para prevenir y detectar estos serios problemas, donde AI desempeña el rol de ente catalizador en los procesos. De igual manera, se debe emprender una labor de concientización de los empresarios para que estos de forma organizada puedan afrontar con éxito las posibles eventualidades y predecir de manera concreta y aterrizada las probabilidades y los impactos que pueden surgir en el curso normal de las actividades diarias empresariales (Hernández, 2016).

Dentro de este marco, en América Latina, la AI ha sido un ente de apoyo de la gestión, que actúa en emergencias, detección de fraude, en funcionalidades de control interno, como parte de procesos de información financiera y como apoyo a la auditoría externa (Cubero, 2018). Así mismo, se observa que, las empresas PYMES y las organizaciones del sector de la economía popular y solidaria (SEPS) del Ecuador son vulnerables al conocimiento y tratamiento de los riesgos empresariales en el diario vivir de sus operaciones.

Es por ello por lo que, cada vez que estas asumen un riesgo, sin las debidas directrices y conocimientos, optan por decisiones inadecuadas, que resultan contraproducentes al evento de riesgo que afrontan, produciendo lamentables pérdidas financieras en las organizaciones (SEPS, 2018). La AI permite la implantación de procesos que ayudan a garantizar la continuidad en el trabajo de los diferentes actores; lo cual, contribuye a garantizar de forma eficiente y eficaz la ejecución de los procesos; incorporando un componente de costo que optimice las operaciones de la organización (Bendermacher, 2015).

A tenor con lo antes expuesto, se plantea el siguiente problema científico: ¿Cómo realizar una evaluación efectiva del riesgo organizacional en tiempos de pandemia COVID-19 en la Asociación ASOPROTEXMAHIL de la Provincia de Manabí?; teniéndose como objetivo de estudio: proponer un procedimiento de auditoría interna que incorpore herramientas de análisis de datos para la gestión efectiva del riesgo organizacional en tiempos de pandemia COVID-19 en la Asociación ASOPROTEXMAHIL de la Provincia de Manabí.

Referente Teórico

La auditoría en la gestión de gobierno, riesgo y cumplimiento

En las organizaciones se han venido materializando diferentes modelos, los cuales tienen como objetivo lograr una gestión eficiente en diferentes campos clave, tales como: gobierno, gestión de riesgo y cumplimiento. En este contexto, situaciones frecuentes, como fraudes, fallos en la seguridad de la información, y gastos asociados a la falta de control en las operaciones, son elementos en permanente discusión por parte de las juntas directivas. Por lo que, las organizaciones buscan generar estándares claros de gobierno corporativo, que garanticen la realización eficiente de sus actividades, y que en conjunto con el conocimiento, habilidades y experiencia de los auditores se logre minimizar el impacto de los riesgos y la consecución de los objetivos.  Las características inherentes en cada aspecto de la auditoría son las siguientes:

Gobierno: está relacionado con el marco que define los derechos y responsabilidades, sobre los cuales se rigen las distintas áreas de una organización. En general, los principios sobre los cuales se afianza el gobierno son universales, no obstante, estos deben ajustarse a las necesidades, requerimientos y el nivel de maduración de cada entidad. Es por ello, que contar con un determinado modelo de gobierno, requiere del compromiso y calidad de sus administradores, ya que son estos quienes ejecutarán las diferentes acciones directivas para incrementar el valor del negocio, para lo cual, se deberán considerar:

-       Una base normativa eficiente, la misma que deberá incluir elementos jurídicos y legales, así como otros aspectos relacionados con la cultura organizacional, financiera, entre otras.

-       Cumplir con los derechos de los accionistas y delimitar bien sus funciones.

-       Equidad en el tratamiento de los accionistas, sin importar los montos de su inversión.

-       Información real, transparente y en los tiempos establecidos.

Riego: se relaciona con las situaciones indeseables y que pueden comprometer las operaciones de la empresa y, en consecuencia, incrementar la posibilidad de riesgo de un negocio, el crecimiento de su valor y la pérdida de su posición en el mercado. En este sentido, contar con procesos de monitoreo y revisión permanentes pueden ayudar a minimizar sus efectos con una respuesta oportuna, y así crear una cultura de prevención que ayude a minimizar las pérdidas económicas y otros impactos en la organización.

Cumplimiento: se refiere a las estrategias que permiten eludir o reducir riesgos asociados con: multas de incumplimiento, caída de la imagen o reputación de la empresa y problemas con lograr los objetivos financieros. Las actividades asociadas deben estar contempladas en los planes tácticos y de gestión de riesgos, ya que estos se encuentran interconectados desde el marco normativo y legal hasta los objetivos empresariales y su cumplimiento.

Ante el imperativo de afrontar cada vez riesgos más complicados, el más grande control regulatorio, y coexistir en un ámbito de cumplimiento urgido de una mayor precisión, los riesgos han incrementado de manera significativa los retos para la administración de riesgos y cumplimiento en las empresas (Bendermacher, 2015). Por lo tanto, se debe precisar que, la auditoría interna aporta ideas y propuestas innovadoras en la mejora de los procesos, y propicias alertas oportunas sobre la prevención de riesgos potenciales emergentes; al mismo tiempo, provee a la organización de sugerencias que permiten reducir los precios y/o aumentar las utilidades (Echeverría-Junco & Contreras-Ruíz, 2019). En este contexto, Bendermacher (2015) define a la Auditoría Interna como:

Una actividad de aseguramiento y consultoría objetiva e independiente, diseñada para agregar valor y mejorar las operaciones de una organización, ayudando a la entidad a conseguir sus fines, aportando un enfoque sistemático y disciplinado con el fin de evaluar y mejorar la eficiencia de los procesos de gestión de riesgos, control y gobierno (p. 85).

Esta se encarga de controlar hechos con relación a normas o políticas que previamente han sido dictadas por la alta dirección de las empresas. Las funciones reguladoras más importantes de la auditoria se muestran (ver tabla 1):

Tabla 1.

Funciones de auditoría.

 

 

Fuente: Cevallos, Moreno, & Chávez (2018).

 

Consideraciones de la Auditoría Interna en tiempo de COVID-19

La AI tiene como finalidad reforzar las actividades de control interno dentro de las organizaciones, con lo cual, se pretende reducir o eliminar riesgos, proteger sus activos, prevenir actos dolosos como fraudes, cumplir las normativas jurídicas, proveer de información financiera y administrativa confiable y segura, y lograr procesos operativos eficientes. En efecto, los controles realizados a todas las actividades de la organización con eficiencia y eficacia permitirán generar procesos competitivos (Iturriaga et al. 2019).

De igual manera, esta es responsable de implantar procesos conducentes que permitan el aseguramiento del trabajo de las distintas áreas o procesos en la organización o sus partes interesadas. Por lo que, las actividades de auditoría interna deberán ser percibidas como elementos que generen valor a las operaciones y permitan mejorar el trabajo de forma efectiva y eficiente (Hernández, 2016).

Cabe considerar, por otra parte, importantes funciones reguladoras de la AI, como son: análisis de la información, tanto en su confiabilidad e integridad; cumplimientos de las políticas y normativas a las cuales está condicionada la empresa; uso eficiente de los recursos; cumplimiento de las metas y objetivos organizacionales. En efecto, el trabajo asociado a la auditoría interna incluye tanto actividades operativas como financieras, así como áreas, tales como: talento humano, comercialización, producción, tecnologías de la información, entre otras que tenga la empresa (Estupiñan, 2015).

Por consiguiente, la AI es un elemento fundamental de apoyo y ayuda para la gestión administrativa, financiera, para el cumplimiento de las tareas y responsabilidades, y para proporcionar elementos de análisis que posibilitan verificar el logro de los objetivos, y criterios de evaluación (Santillana, 2018). Algunos de los principales objetivos que aportan valor a las organizaciones, a través de la AI, (ver tabla 2):

 

 

Tabla 2.

Objetivos de la auditoría interna.

 

 

Fuente: Adaptado de Casares & Lizarzaburu (2016).

 

 

 

Es por todo ello que, siendo la AI un elemento independiente regulador del sistema, permite y asume funciones profilácticas y de control; que indefectiblemente se traducen en una mayor eficacia y eficiencia de la organización; con lo cual, se busca que las debilidades de la empresa desaparezcan y sobre ese aprendizaje generar fortalezas con fundamento en la toma adecuada y oportuna de decisiones y en el logro de mayores réditos económicos (Abella, 2006).

En la actualidad, la AI al igual que otras actividades organizacionales se está enfrentando a grandes retos, este producto de las secuelas económicas y financieras de la pandemia del COVID-19. Los problemas generados y el impacto a los diferentes sectores productivos y de servicios han sido críticos en muchos casos; lo cual, ha dado paso a cambios en las formas de trabajar, en los hábitos de los consumidores, y en la forma de tratar a los nuevos riesgos que aparecieron producto de la emergencia.

 De esta manera, se hace necesario hacer una sistemática revisión de los posibles impactos negativos que la pandemia produce, y llevar a cabo acciones minimizadoras de sus efectos, que permitan asegurar la continuidad de la entidad. Así mismo, es importante el rol que debe jugar la creación de un equipo de trabajo multidisciplinario, el cual aseguré y guie a la entidad en la toma de decisiones durante todo este período de crisis (Hernández, 2020).

Ahora bien, la AI se ha convertido en un actor clave para dar respuesta a los nuevos riesgos y retos que ha impuesto la presencia del coronavirus; para lo cual se hace imprescindible un cabal conocimiento organizacional. En ese sentido, las diferentes organizaciones han adaptado sus estructuras operativas, administrativas y financieras para minimizar los impactos, y en muchos casos adoptando las directrices de la AI. Esto ayuda a la alta dirección, a avizorar y a tomar las medidas profilácticas necesarias ante los peligros del cambiante panorama de riesgos (Deloitte S-Latam, 2019).

Por lo tanto, el papel de la AI cada día abarca más campos dentro de la gestión de los negocios, ya que, este se debe adaptar a las necesidades y exigencias que impone el medio. Lo mencionado exige que los profesionales de AI, con sus conocimientos técnicos e independencia profesional, sean un aporte confiable de información veraz y objetiva. Es así como, la AI ayuda a optimizar los procesos de gestión de la dirección, proporcionando integridad a sus acciones y, dotando de transparencia y confiabilidad a las organizaciones (Belmonte, 2017). Por lo tanto, el profesional en AI tiene la capacidad de brindar recomendaciones para ayudar en la mejora de aquellas áreas o departamentos donde se hayan identificado debilidades. Bajo esta premisa, es la alta dirección de la empresa la responsable de ejecutar acciones de control interno. En este sentido, las actividades de AI permiten a la dirección asegurar sus actividades, y direccionan al comité de auditoría en la realización de controles. Los auditores internos deben poseer cualidades relevantes, como las que se detallan a continuación la (ver figura 1):

 

 

 

 

 

Figura 1. Cualidades del auditor interno.

Fuente: Tomado de Rojas (2018).

 

El modelo COSO III

Según Casares y Lizarzaburu (2016), el COSO (Committe of Sponsooring Orgazations of the Treaadway Commission) es un proceso realizado por la dirección y el personal de una empresa, cuyo objetivo es dotar de un grado de seguridad a la realización y cumplimiento de objetivos relacionados con:

1. Eficiencia y eficacia de las actividades operativas de la empresa

2. Información financiera confiable.

3. Acatamiento de normativas, leyes y reglamentos aplicables a la empresa.

 

De este modo, el modelo COSO III tiene los siguientes objetivos: a) Estratégicos, son aplicados por la alta dirección de la empresa y dentro de estos se diseñan la misión, visión y objetivos de la organización; b) Operativos, en estos se busca la eficiencia y eficacia en todas las actividades operativa que lleva a cabo la empresa, y están asociados a la información de terceros, pueden afectar a la confiabilidad de la información en general y no solo contable (Abella, 2006). A continuación, se precisan los elementos del modelo COSOIII:

 

1.    Ambiente de control

Tiene relación directa con la cultura organizacional, y dentro de esta, se busca fomentar una filosofía de trabajo orientada hacia el control, tanto con principio y valores. Por consiguiente, este elemento es la base sobre la cual se asientan los demás componentes, ya que, su eficiencia depende del personal competente con que cuentan las entidades (ver tabla 3):

 

Tabla 3.

Ambiente de Control Interno.

 

Componente	Principios
Ambiente de Control Interno	ü  Evidencia el compromiso de la empresa hacia la integridad y sus valores éticos. ü  Promueve la independencia de funciones de supervisión de la junta directiva. ü  La administración debe establecer la estructura organizacional, responsables, líneas de reporte. ü  Compromiso para atraer, retener y desarrollar a colaboradores competentes.

 

Fuente: Adaptado de Abella (2006).

 

 

 

2.    Evaluación de riesgos

Se direcciona al mantenimiento de la eficacia, eficiencia y efectividad de las actividades operativas y su gestión en las organizaciones, empleando técnicas para su tratamiento y monitoreo de riesgos, evaluando su impacto y probabilidad (ver tabla 4):

 

Tabla 4.

Evaluación de riesgos.

 

Componente	Principios
Evaluación de Riesgos	ü Identificación y evaluación del riesgo; ü La administración debe establecer la estructura organizacional, ü responsables, líneas de reporte. ü Evitar riesgos de fraude en la empresa.

 

Fuente: Adaptado de Abella (2006).

 

 

3.    Actividades de control

Están relacionadas con el establecimiento de las políticas y procedimientos que deberán aplicarse en la organización con el fin de cumplir con los lineamientos de la administración sobre la gestión de riesgos. Las actividades de control tienen alcance para todas las áreas y departamentos de la empresa, así como para todos los niveles y funciones directivas (ver tabla 5):

 

Tabla 5.

Actividades de control.

 

Componente	Principios
Actividades de Control	ü Selección y desarrollo de actividades de control; ü Selección y desarrollo de controles de la TI; ü La junta directiva muestra su independencia de la Administración, la cual ejerce funciones de supervisión.

 

Fuente: Adaptado de Abella (2006).

 

4.    Información y comunicación

Para la eficiente identificación, evaluación y tratamiento de los riesgos, las organizaciones deben contar con sistemas eficientes de información y comunicación en todos sus niveles (ver tabla 6):

 

Tabla 6.

Información y comunicación.

 

Componente	Principios
Información y Comunicación	ü Creación de información selecta que respalde el fundamento de los componentes del control interno; ü Transmisión interna a los diferentes departamentos de la entidad; ü Comunicación externa, por parte de la organización, en relación con las situaciones que afecten el desempeño de los componentes de control interno.

 

Fuente: Adaptado de Abella (2006).

 

5.    Supervisión y Monitoreo

Es el proceso de verificación de la calidad del desempeño del control interno. Se realiza por medio de la supervisión continua, por parte de los jefes o líderes de cada área o proceso, como parte habitual de su responsabilidad (ver tabla 7):

Tabla 7.

Supervisión y Monitoreo.

 

Componente	Principios
Monitoreo	ü Evaluación y comunicación de las deficiencias; ü Evaluación periódicamente de los componentes del control interno.

 

Fuente: Adaptado de Abella (2006).

 

 

 

Gestión de riesgos empresariales: marco de revisión en ISO 31000

Norma ISO 31000

Esta normativa provee de principios relacionados con la implementación de sistemas de gestión de riesgos en las organizaciones. Esta herramienta puede ser aplicada a cualquier empresa, y no existen restricciones por su tamaño, inversiones de capital, nivel de financiamiento, tipo de mercado, tipo de constitución. Por otra parte, la norma no hace énfasis en su aplicación a una u otra área de la empresa o sector productivo especifico. Si bien, se sabe que las organizaciones aplican en mayor o menor medida actividades de gestión de riesgo, es importante tomar en cuenta, que con la norma se logra la coordinación y alineación de estas prácticas con los objetivos de la empresa (ISOTools EXCELLENCE, 2015).

Debe señalarse que la normativa consta de once (11) principios asociados con los diferentes procesos de gestión de riesgos; por lo tanto, el uso que estos tengan permitirá a las empresas a generar mayores probabilidades en función del logro de sus objetivos, permitiéndoles identificar de mejor forma oportunidades y amenazas para el desarrollo de estrategias (ver tabla 8):

 

Tabla 8.

Principios de la Gestión de Riesgos, según ISO 31000: 2009.

 

No.	Principio	Descripción
1	Permite la creación y protección de valor para la empresa.	Permite optimizar los recursos y así mejorar el desempeño organizacional ajustado al cumplimiento de los procesos y objetivos;
2	Se integra en los procesos organizacionales.	Debe convertirse en procesos de planificación tanto operativos y estratégicos;
3	Integrada a la toma de decisiones.	Con la información oportuna, identifica prioridades y acciones más apropiadas;
4	Explícita frente a la incertidumbre:	Al identificar los riesgos se incrementa la posibilidad de generar ganancias y minimizar las perdidas.
5	Es sistemática, estructura y utilizada en forma oportuna.	Asegurar eficiencia, consistencia y confiabilidad de resultados;
6	Requiere de calidad de información.	Toda la información disponible requiere ser comprendida.
7	Adaptabilidad	La empresa debe ajustarse a sus ambientes internos y externos, al igual que sus recursos (humanos, financieros).
8	Integración de factores humanos y culturales.	Reconoce la contribución de ambos en el cumplimiento de objetivos;
9	Es transparente e incluyente.	Involucra a todos los actores clave para la empresa, ayudando a identificar, analizar y monitorear los riesgos, con canales de comunicación efectivos.
10	Es dinámica, reiterada y sensible a los cambios.	El entorno cambiante requiere que las actividades de las organizaciones sean flexibles para la identificación oportuna de los riesgos.
11	Ayuda a la mejora continua de las organizaciones.	Las empresas que ya se encuentran posicionadas en el mercado, invierten en el largo plazo.

 

Fuente: Tomado de Murillo, Narváez, & Erazo (2019).

 

Debe señalarse, que esta norma ha sido diseñada especialmente para la protección del valor de una empresa, y que esta pueda lograr sus objetivos de una forma eficaz y eficiente.

 

METODOLOGÍA

El presente artículo fue desarrollado bajo un estudio fue descriptivo, se hizo una descripción de los principales conceptos asociados con la auditoría interna y la gestión de riesgos, para luego identificar los riesgos presentados en la organización de estudio. La unidad de análisis fue la Asociación ASOPROTEXMAHIL de la Provincia de Manabí, donde contó con un universo de 14 empresas adscritas a la mencionada asociación.

 

RESULTADOS

En el presente apartado se exponen de manera detallada los resultados que se obtuvieron en la evaluación realizada en ASOPROMETEXMAHIL.

Riesgo sistemático o de mercado: este tipo de riesgo influye sobre el rendimiento de los activos financieros, ya sea por factores políticos, sociales o económicos. Al consultar a los representantes de la Asociación si se han identificado riesgos sistemáticos o de mercado, el 92,90% afirmó que sí han identificado riesgos sistémicos, el mismo está relacionado con el incremento de las tasas de interés activas, lo cual ha incidido sobre los costos de producción (ver figura 2).

Riegos de gestión: se consultó si se aplican índices financieros para detectar, examinar y evaluar los peligros financieros a los que se expone Asociación, el 57,10% de los encuestados señaló que sí se aplican indicadores financieros, con el propósito de controlar posibles eventos futuros que afecten a sus finanzas (ver figura 2).

Riesgo económico: El riesgo económico está vinculado a las eventualidades que pueden incidir en los resultados de explotación empresarial, lo que a su vez impide a la gerencia conocer con mayor precisión la garantía de la rentabilidad que se pueda obtener en el largo plazo. De acuerdo con los resultados obtenidos, el 57,10% de los encuestados, manifestaron que en la entidad no se realizan análisis de riesgo económico (ver figura 2).

Riesgo organizacional: se consultó a los representantes de la Asociación, si conocen el impacto de los riesgos que afectan a su planeamiento estratégico, el 71,40% señaló que no han identificado estos riesgos y que desconocen el impacto que generan. Esto deja en evidencia la necesidad de emplear medidas para identificar y valorar los eventos a los cuales estaría expuesta la asociación a nivel organizacional, de manera que se pueda garantizar el logro de los objetivos (ver figura 2).

 

 

 

 

 

 

 

 

 

Figura 2. Análisis del Riesgo en Asociación

Fuente: Encuesta.

 

Ambiente de control: el 61,50% de los encuestados señaló que en la Asociación no se realizan reuniones periódicas con el fin de evaluar acciones para el cumplimiento de los objetivos de auditoría interna. Es importante señalar que los objetivos de auditoría interna deben ser establecidos a través del proceso de planeación, puesto que contribuyen al mantenimiento efectivo del control y facilitan el seguimiento posterior. Dicho seguimiento debe efectuarse a través de reuniones periódicas, de lo contrario será dificultoso para la gerencia, conocer los resultados (ver figura 3).

 

Evaluación de riesgos: identificar y valorar los riesgos relacionados con los objetivos, requiere de la intervención de un auditor; al respecto, se consultó a los encuestados si la Asociación cuenta con un auditor interno que efectúe operaciones de control en la entidad, el 71,40% señaló que no dispone de este personal, esto trae como consecuencia que la empresa no pueda identificar y evaluar cambios que impacten significativamente al sistema de control interno (ver figura 3).  

 

Actividades de control: ofrecen a los directivos la seguridad de que las tareas se están ejecutando de forma razonable. Al respecto, el 57% de los encuestados indicó no conocer las actividades de control establecidas en la Asociación. La falta de controles y prácticas para detectar fraudes y errores en las distintas áreas de la organización, es una de las causas principales que afectan el cumplimiento de los objetivos empresariales (ver figura 3).

 

Información y comunicación: la información sobre los resultados de la auditoria interna pueden influir en la mejora de los procesos y, por consiguiente, en la eficacia del negocio, pero solo si se tiene acceso a esta, en este contexto, se consultó sobre la existencia de un sistema formal que se ocupe de la información, respondiendo el 57,10% de los encuestados que la asociación no cuenta con un sistema formal de información, ocasionado con ello que la comunicación no sea eficaz. En este sentido, es necesario que la organización establezca canales adecuados de comunicación, para garantizar el flujo de información interna y externa (ver figura 3).

 

Supervisión y monitoreo: se consultó a los representantes de Asociación si existe algún proceso que permita realizar supervisión y monitoreo a las actividades, acciones y planes de gestión de riesgo, a lo que un 71,40% respondió que no existe ningún proceso, mientras que el 28,60% indicó que sí. Es importante señalar que la supervisión y el monitoreo son imprescindibles para la gestión de riesgo, siendo un proceso que ofrece la oportunidad a las empresas de verificar si estas se ajustan a los límites de riesgo que se han fijado, y detectar problemas que puedan afectar a la organización (ver figura 3).

Estos resultados dejan en evidencia el escaso control sobre los riesgos que afectan a la entidad, en consecuencia, su nivel de maniobra es bajo, por lo que se considera inminente el análisis y gestión de riesgos, de manera particular de los activos financieros.

 

 

Figura 3. Análisis de la Gestión de Riesgo.

Fuente: Encuesta.

 

 

 

 

 

 

 

PROPUESTA

En correspondencia con los resultados obtenidos en el apartado que antecede, a continuación, en la figura 4 se presentan las acciones que desde el área de Auditoría Interna se deben ejecutar, para potenciar la gestión de los riesgos organizacionales en la Asociación ASOPROMETEXMAHIL de la Provincia de Manabí.

 

 

Figura 4. Rol de la Auditoría Interna en la gestión de riesgos organizacionales.

 

 

1.    Aseguramiento del diseño de procesos de gestión de riesgos

Con la finalidad de asegurar el diseño de los procesos de gestión de riegos, en la tabla 8, se presentan las actividades que debe seguir la Asociación ASOPROMETEXMAHIL.

 

 

 

 

 

Tabla 8.

Aseguramiento del diseño de procesos de gestión de riesgos.

 

 

Elaboración: Los autores.

 

2.    Aseguramiento de los procesos de evaluación de riesgo (ver tabla 9):

 

Tabla 9.

Aseguramiento de los procesos de evaluación de riesgos.

 

Actividades	Riesgos asociados	Objetivos del aseguramiento	Tareas de auditoría interna
Levantamiento de la información por etapas y actividades	Falta / deficiencia de actividades	Comprobar que las etapas identificadas están relacionadas con los riesgos identificados.	Analizar la matriz de riesgos y comprobar: ·         Que los procesos y sus etapas se ajustan al organigrama y objetivos de la organización. ·         Si existen procesos que se están evaluando de forma errónea. ·         Si existen etapas omitidas en la aplicación de un proceso. Si hay procesos que deben incorporarse a juicio del auditor.
Identificación de señales de alerta asociados a los procesos de gestión de riesgos	Inadecuada identificación de señales de alerta.	Confirmar la identificación y análisis de señales de alertas de riesgos.	Analizar la matriz de riesgos y comprobar: ·         La identificación de señales de alerta de forma correcta; ·         Calificación y clasificación de las señales de alerta; ·         Identificación de los controles asociados a las alertas detectadas.
Identificación de controles	Deficiencia en la identificación de controles.	Verificar que los controles mitiguen los riesgos asociados.	Analizar la matriz de riesgos y comprobar: ·         Si el riesgo tiene por lo menos una actividad de control. ·         Los controles tienen una información histórica y documentada. ·         Si los controles están asociados al riesgo identificado. ·         Si existen directrices que indiquen la forma de aplicar los controles;
Clasificación de riesgos en función de su impacto y frecuencia	Falta / deficiencia en la valuación de los impactos de los riesgos.	Verificar que la valoración de riesgos se haya realizado en correspondencia con los parámetros de impacto y frecuencia.	Analizar la matriz de riesgos y comprobar: ·         Si los riesgos fueron calificados de acuerdo con su frecuencia e impacto; ·         Si la probabilidad dada a cada riesgo es razonable con base en los antecedentes documentados. ·         Si el impacto dado al riesgo es coherente con la relevancia del proceso. ·         Si las medidas de control son consecuentes con el nivel de impacto del riesgo. ·         Si existen uno o más riesgos con valoraciones erróneas.
Valorar la efectividad de los controles	Falta / deficiencia en mitigar los riesgos.	Comprobar la efectividad de los controles.	Analizar la matriz de riesgos y comprobar: ·         Si los controles se encuentran valorizados con razonabilidad. ·         Si los controles cumplen con criterios aceptados técnicamente. ·         Si existen uno o más controles deficientes en su valoración.

 

Fuente: Los autores.

 

 

 

 

 

3.    Evaluación de los informes de gestión de riesgos

El objetivo de esta fase es la evaluación y seguimiento de los procesos asociados a los informes generados por los procesos de gestión de riesgos (ver tabla 10):

 

Tabla 10.

Evaluación de los informes de gestión de riesgos.

 

Actividades	Riesgos asociados	Objetivos del aseguramiento	Tareas de auditoría interna
Caracterización para la elaboración de informes.	Falta de claridad en el entendimiento del informe por los usuarios.	Verificar la claridad, objetividad, redacción y sobriedad en la elaboración de los informes.	La auditoría deberá revisar los planes, manuales y documentación relacionada con el tratamiento de riesgos y analizar: ·         Si estos tienen la claridad y contienen los elementos suficientes para su interpretación. ·         Si la información que ahí se describe está asociada a los procesos respectivos.
Aplicación de normativas y acuerdos de compromiso para el desarrollo de la documentación.	Inadecuada aplicación de las directrices previstas en las normativas para la presentación de documentación.	Asegurar que la documentación se encuentre desarrollada y presentada en función de las normativas.	Se deberá examinar si: ·         Se han identificado a los usuarios o clientes internos o externos a quienes se dirige la información. ·         La información que contiene se ajusta al proceso respectivo. ·         La información se encuentra definida en los plazos respectivos. ·         Existen los soportes y respaldos de los documentos.
Determinar compromisos y responsables de los procesos para el cumplimiento en la elaboración de informes.	Deficiente cumplimiento de responsabilidades.	Verificar si los responsables realizan los informes siguiendo las directrices previstas.	Se deberá examinar si: ·         Se han definidos él o los responsables de la revisión de informes. ·         Se encuentran definidas las directrices para la revisión de los informes. ·         Se están realizando las tareas de revisión de los informes en correspondencia con los lineamientos específicos establecidos por la organización. ·         Existen receptores de la información.
Valorar la información para optimizar y mejorar los procesos.	Deficiente o nula información relevantes en los informes.	Analizar si la información detallada en los informes es relevante.	Analizar y comprobar: ·         Si los informes muestran datos relevantes sobre las causas, efectos, impactos y frecuencia de los riesgos generados. ·          Si la información mostrada ha sido entregada de forma oportuna. ·         Si las acciones o recomendaciones en los informes aportan a la gestión de riesgos. ·         Si se aplicaron cambios ajustados a recomendaciones realizadas previamente.

 

Fuente: Los autores.

 

 

4.    Evaluación de los controles de gestión de riesgos (ver tabla 11):

 

Tabla 11.

Evaluación de los controles de gestión de riesgos.

 

Actividades	Riesgos asociados	Objetivos del aseguramiento	Tareas de auditoría interna
Implementar medidas y acciones para el control en la gestión de riesgos.	Deficiente o nula aplicación de medidas de control.	Examinar las acciones de implementación de controles en correspondencia con las actividades de gestión de riesgo.	El auditor deberá analizar: ·         Si las acciones de control definidas en el plan son realizadas por los responsables designados. ·         Si las acciones de control fueron implementadas de acuerdo con   las necesidades y características del riesgo. ·         Si se aplicaron otros controles, determinar si estos fueron autorizados y si son oportunos y efectivos. ·         Si los controles se realizaron en los plazos determinados en el plan de gestión de riesgos. ·         Si existen eventos de control que no pudieron ser ejecutados por sus responsables. ·         Cuáles son los acontecimientos o eventos que impidieron la aplicación de un determinado control. ·         Si existe un registro que muestre la falta de ejecución del control y sus justificaciones.
Evaluar la eficacia de los controles de gestión de riesgos.	Inadecuados resultados de la aplicación de los controles.	Verificar la eficacia de los controles realizados a la gestión de riesgos.	El auditor deberá analizar: ·         Si las medidas tomadas por las unidades de gestión de riesgos fueron efectivas. ·         Si se han reducido el número de riesgos de alto impacto y frecuencia. ·         Si se han logrado bajar los niveles de frecuencia e impacto de los riesgos a niveles tolerables. ·         Si los controles fueron aplicados a tiempo y de forma exitosa.
Monitoreo de las acciones de control en la gestión de riesgos.	Deficiente monitoreo de los procesos de gestión de riesgos.	Examinar que los responsables realicen un monitoreo oportuno de los procesos que integran la gestión de riesgo.	·         El auditor interno deberá comprobar si: ·           El monitoreo se realizó de forma oportuna ·           Se identificaron impedimentos en la aplicación de los controles. ·           Se tomaron medidas adicionales para lograr un control oportuno. ·           Los resultados de los controles fueron comunicados de forma oportuna. ·           Si los informes de resultados y recomendaciones del control son consistentes con los lineamientos de la auditoría interna.

 

Fuente: Los autores.

 

5.    Mantenimiento del marco de gestión de riesgos (ver tabla 12):

 

Tabla 12.

Mantenimiento del marco de gestión de riesgos.

 

Actividades	Riesgos asociados	Objetivos del aseguramiento	Tareas de auditoría interna
Evaluar el compromiso de los responsables en la gestión de riesgo.	Deficiente o nulo compromiso de los responsables de la gestión de riesgos.	Analizar que la aplicación de los procesos de gestión de riegos tenga el mismo grado de compromiso por parte de sus responsables.	El auditor deberá analizar: ·         Si existen actividades que ayuden a garantizar el compromiso dentro del plan de gestión de riesgo. ·         Si existe documentos o registros que muestren el cumplimiento de las actividades. ·         Si existen información de las causas que afectaron al desempeño en la gestión de riesgos.
Examinar el diseño del marco de trabajo de la gestión de riesgos.	Inadecuada vinculación del marco de trabajo de gestión de riesgos a los procesos de la organización.	Asegurar que el marco de gestión de riesgos se ajuste a los objetivos de la empresa.	El auditor deberá analizar: ·         Si el marco de la gestión de riesgos se ajusta al contexto actual de la organización. ·         Si existen actividades de rendición de cuentas asociadas al cumplimiento de la gestión de riesgos. ·         Cuáles fueron los eventos que evitan la integración de los procesos de la empresa a la gestión de riesgos. ·         Si se cumplen los mecanismos de comunicación y generación de la información entre las partes interesadas.
Asegurar el cumplimiento eficaz de los procesos de gestión de riesgos	Deficiente monitoreo de los procesos de gestión de riesgos.	Verificar la eficacia de desempeño y contribución de los procesos de gestión de riesgos.	El auditor deberá analizar: ·           Si los indicadores son evaluados periódicamente en cuanto a su veracidad. ·           Si existen cambios en las actividades de los procesos de gestión de riesgos. ·           Si los cambios generados fueron consultados, evaluados y autorizados. ·           Si la documentación de respaldo evidencia el cumplimiento del marco de gestión de riesgo.
Toma de decisiones de mejora del marco de gestión de riesgos.	Inadecuados criterios para la toma de decisiones	Examinar los efectos de las decisiones tomadas al marco de gestión de riesgos.	·         El auditor interno deberá analizar: ·         La idoneidad de la información utilizada para la toma de decisiones. ·         Si existen criterios establecidos y documentados para tomar determinadas decisiones. ·         Si existe una evaluación para seleccionar una solución óptima ante algún cambio. ·          Si existen procesos definidos ante algún cambio en el marco de trabajo. ·         Si se evalúan los cambios generados de forma periódica.

 

Fuente: Los autores.

 

 

 

CONCLUSIONES

La auditoría interna permite a las organizaciones contar con elementos de trabajo para garantizar el cumplimiento de todas las funciones tanto operativas como administrativas, permitiendo garantizar la confiabilidad e integridad de la información y el uso eficiente de los recursos, logrando así minimizar los efectos de los riesgos a los cuales está expuesta la empresa.

La pandemia del COVID-19 generó un gran impacto en el desempeño de las actividades en las organizaciones, con diferentes efectos negativos, y donde el papel de la auditoría interna se ha vuelto clave para asegurar la continuidad de las operaciones, proporcionado recomendaciones que ayudan a mantener y asegurar la gestión integral y eficiencia de las empresas.

La Asociación Asopromexmahil evidencia falencias en sus actividades de gestión de riesgos, ya que, si bien los funcionarios han identificado varios eventos negativos, no existen procesos definidos para evaluar la frecuencia y el impacto de estos, afectando a la toma de decisiones y el logro de sus objetivos de continuidad y crecimiento de las operaciones.

La propuesta realizada a la Asociación Asopromexmahil, tiene como base definir las funciones del auditor interno en el marco de la gestión de riesgo, brindando una serie de actividades diseñadas para asegurar la eficacia de las actividades cuya finalidad es minimizar el impacto de los riesgos en función del cumplimiento de los objetivos de la empresa, con elementos de evaluación y control continuo de todos los procesos de la organización.

La propuesta presupone posibles riesgos asociados a cada una de las actividades planteadas, por lo que, se definen tareas específicas que deberá seguir el auditor interno en la Asociación ASOPROMETEXMAHIL de la Provincia de Manabí, con lo cual se provee de un marco de trabajo para lograr la mayor eficacia, eficiencia y economía en la gestión de riesgos de esta organización.

 

FINANCIAMIENTO

No monetario.

 

AGRADECIMIENTO

A la Universidad Católica de Cuenca; por motivar el desarrollo de la investigación.

 

 

REFERENCIAS CONSULTADAS

 

Abella, R. (2006). COSO II y la gestión interal de riesgos del negocio [COSO II and the internal management of business risks]. Estrategia Financiera.

 

Belmonte, J. (2017). El rol actual de la Auditoría Interna [The current role of Internal Audit]. https://iaia.org.ar/rol-actual-la-auditoria-interna/

 

Bendermacher, J. (2015). Perspectivas y percepciones: Auditoría interna y auditoría externa [Perspectives and perceptions: Internal and external audit]. Globaliia, 83-90. Obtenido de https://n9.cl/u4hcak

 

Casares, I., & Lizarzaburu, E. (2016). Introducción a a la Gestión Integral de Riesgos Empresariales [Introduction to Integral Enterprise Risk Management]. Obtenido de www.platinumediitorial.com

 

Cevallos, D., Moreno, C., & Chávez, Á. (2018). La auditoría interna como herramienta efectiva para la prevención de fraudes en las empresas familiares [Internal auditing as an effective tool for fraud prevention in family businesses]. Universidad y Sociedad. Obtenido de https://rus.ucf.edu.cu/index.php/rus/article/view/1019

 

Cubero, T. (2018). Manual de auditoría de gestión Enfoque empresarial y de riesgo [Performance Auditing Manual Business and Risk Approach]. Recuperado de https://n9.cl/vqitp

 

Deloitte S-Latam. (2019). Consideraciones de Auditoría Interna en respuesta al COVID-19. Obtenido de Navegar por el cambio: un desafío sin precedentes [Internal Audit considerations in response to COVID-19. Navigating change: an unprecedented challenge]. Recuperado de https://n9.cl/vx5u2

 

 

 

 

Echeverría-Junco, F., & Contreras-Ruíz, C. (2019). Auditoria Interna Re imaginada [Re-imagined Internal Audit]. https://home.kpmg/co/es/home/insights/2019/09/auditoria-interna-re-imaginada.html

 

Estupiñan, R. (2015). Administración de riesgos y la auditoría interna [Risk management and internal audit]. Ecoe Ediciones.

 

Hernández P., O. (2016). La auditoría interna y su alcance ético empresarial [Internal auditing and its ethical business scope]. Actualidad Contable Faces, 19(33),15-41.  Disponible en:   https://www.redalyc.org/articulo.oa?id=25746579003

 

Hernández, J. (2020). Pandemia: el desafío para la continuidad de una organización [Pandemic: the challenge for an organization's continuity]. Deloitte. Recuperado de https://n9.cl/92yr0

 

ISOTools EXCELLENCE. (2015). Norma ISO 31000 [ISO 31000 Standard]. Obtenido de www.isotools.org

 

Iturriaga, C., Rueda de León, R., & Silva, R. (2019). Auditoría Interna [Internal Audit]. México: Perspectiva de vanguardia.

 

León, D., & González, D. (2020). ¿Cuál es el impacto del COVID-19 en la Auditoria Interna? [What is the impact of COVID-19 on Internal Audit?]. Recuperado de https://n9.cl/6mol8t

 

Murillo, L., Narváez, C., & Erazo, J. (2019). Sistema de control interno con enfoque en la ISO 9001:2015 en la bananera Monterrey [Internal control system with focus on ISO 9001:2015 at Monterrey banana company]. Revista Arbitrada Interdisciplinaria Koinonía, 4(2), 241-264. http://dx.doi.org/10.35381/r.k.v4i2.474

 

Rojas, E. (2018). Las organizaciones, el control y la auditoría interna. Gestión y Desarrollo Libre, 3(5). Disponible en https://revistas.unilibre.edu.co/index.php/gestion_libre/article/view/8191

 

Santillana, J. (2018). Auditoría Interna [Internal Audit]. México: Pearson Educación. Recuperado de https://n9.cl/x5ai6

 

 

 

 

 

SEPS. (2018). Norma de control para la administración de riesgo operativo y riesgo legal en las entidades del sector financiera popular y solidario bajo el control de la superintendencia [Control standard for the management of operational risk and legal risk in the entities of the popular and solidarity financial sector under the control of the superintendency]. Obtenido de https://www.seps.gob.ec/interna-npe?24844

 

 

 

 

 

 

 

 

 

 

©2022 por los autores. Este artículo es de acceso abierto y distribuido según los términos y condiciones de la licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0) (https://creativecommons.org/licenses/by-nc-sa/4.0/).