El lado humano del riesgo

La clave para administrar los riesgos críticos de una empresa no sólo está basada en evaluar sistemas y procesos, sino más bien en los nombres y caras que están detrás de éstos. Cuando nos enfrentamos al mejor control en cuanto a su implementación, diseño o eficacia operativa, seguramente al ser testeado una y otra vez su calificación será de 10 puntos. Pero, todavía no se ha analizado si el empleado conoce o más aún, si le importa cómo opera el control; si el gerente ha leído correctamente un reporte para la toma de decisiones; o si existe la posibilidad de que el ejecutivo esconda una parte de la información financiera y cambie el resto. Debido a esto, los consejos de la práctica de auditoría interna recomiendan a los comités, equipos de auditoría y en especial a los gerentes quienes en definitiva son los dueños de procesos, mantener una cuidadosa mirada al factor humano del riesgo – las acciones cotidianas y de la vida real son por lo tanto las acciones más importantes que los empleados debe cumplir y administrar día a día en sus trabajos.

Este enfoque no es nuevo, pero se ha puesto en al debate a la luz de las nuevas regulaciones de la SEC (Securities and Exchange Commission) en cuanto a las nuevas guías basadas en riesgos y en evaluaciones con un enfoque de “arriba hacia abajo” (top-down).

El Factor Humano
En efecto el verdadero riesgo a que se enfrentan las organizaciones y que pueden tener implicancia, por ejemplo en los reportes financieros, actividades operacionales, administración comercial y/o tecnológico no sólo están presentes en los procesos de la organización o los controles que los rodean, sino que más bien en las personas que los ejecutan, quienes hacen que el ambiente de control de la organización sea flexible y dinámico.

Reportes e informes que analizan riesgos usualmente utilizan palabras como “errores” o “acciones inapropiadas”. Pero, si nos detenemos a pensar, los controles automáticos no efectúan acciones inapropiadas, los sistemas contables y de procesamiento de datos no son los que cometen errores.

Son en efecto, las personas quienes pueden realizar acciones que pueden ir contra la ética o cometer un fraude. Por supuesto, el error humano siempre ha sido parte del universo de auditoría, y considerando organismos reguladores muy persuasivos, enfoques top-down, evaluaciones del ambiente de control basados en riesgos – con una vista directa a los controles presentes en los procesos – es fácil caer dentro de los más normales y expuestos ámbitos de control. Pero, hay buenas noticias: El nuevo rol de Auditoría Interna considera el lado humano del riesgo como el factor primordial a evaluar sistemas de control interno.

Las compañías pueden hacer una gran diferencia si al efectuar sus evaluaciones de riesgos se enfocan más en el factor humano, reconociendo aquí una verdadera fuente de exposición. Es además una oportunidad para identificar “brechas” en los procesos que podrían resultar en debilidades de control y ayudar a los auditores internos a hacer más simples las evaluaciones de riesgos sobre la administración. Muchos expertos han opinado que los casos Enron o WorldCom podrían volver a ocurrir, aún bajo las regulaciones existentes, debido a que los problemas no están en los controles in situ, sino que están en las personas. Un control hace lo que exactamente está diseñado para hacer, las personas no, por eso es especial y riesgoso. En caso de controles, la naturaleza humana es única y se puede manifestar como un simple letargo de medio día, problemas familiares que provocan desconcentración en las tareas diarias del trabajo, llegar a tiempo a una reunión de apoderados en el colegio de nuestros hijos, etc. Muchas razones pueden resultar en un error de juicio y estos simples errores pueden ser extraordinariamente perjudiciales, por ejemplo en los estados financieros.

El Factor Fraude
Existe un indiscutible riesgo humano que nadie puede subestimar su impacto: El Fraude. A menudo el riesgo de actividades fraudulentas – falsear estados financieros, desórdenes financieros, gastos no respaldados, duplicidad de pagos, cheques girados de manera anómala- son elementos muy conocidos por los auditores internos al ejecutar pruebas de auditoría sobre los controles antifraude. Matrices de riesgos enfocados al factor humano, incorporar a especialistas en prevención de fraude a los programas de auditoría y considerar la mayor cantidad de escenarios de fraude posibles - donde la oportunidad es clave al evaluar el factor humano - son herramientas eficaces para prevenir y anticipar la ocurrencia de este tipo de hechos.

Factor Cualitativo v/s Cuantitativo
Auditores que realizan evaluaciones de riesgos usualmente utilizan información cuantitativa (saldos de balance) para obtener el alcance de revisión. Simplemente porque no todos los riesgos vienen de los números, se deben realizar evaluaciones de riesgo bajo un perfecto balance con factores cualitativos. Lo importante es que al integrar estos factores no se debe perder de vista su relación con el impacto en la información financiera.
Si bien es cierto, los auditores internos de todos los sectores coinciden que el enfoque sobre procesos y controles que afectan a la información financiera es adecuado, no es menos cierto que después de dos o tres años de certificaciones SOX, donde se usaron gran cantidad de recursos humanos y monetarios para mitigar las exposiciones financieras, dejaron una sensación de no aportar mayor valor agregado para la compañía. Las nuevas guías de la SEC vuelven a los principios de las evaluaciones basados en riesgo y enfoques de arriba hacia abajo, que integra como pilar primordial el factor humano. Como resultado, los auditores internos están en una inmejorable posición para enfocar más eficientemente sus tiempos y energías de sus auditorías, las que apoyarán de mejor manera a los comités ejecutivos y facilitará el éxito organizacional.

Última actualización: