ARTÍCULO ORIGINAL
RIBEIRO, Renor Antonio Antunes [1]
RIBEIRO, Renor Antonio Antunes. Auditoría interna y gestión de riesgos en una empresa europea de transporte ferroviario. Revista Científica Multidisciplinar Núcleo do Conhecimento. Año 06, Ed. 03, Vol. 16, pp. 107-126. Marzo de 2021. ISSN: 2448-0959, Enlace de acceso: https://www.nucleodoconhecimento.com.br/administracion-de-empresas/empresa-europea
RESUMEN
Con el aumento de la población en las grandes ciudades y regiones metropolitanas, hubo un aumento en la demanda de transporte ferroviario. Aunque es una alternativa eficiente y económica al transporte por carretera, ya que es utilizado todos los días por miles de personas, el sector ferroviario requiere una adecuada gestión del riesgo relacionada con accidentes, ataques, mantenimiento preventivo, repuestos, para no sólo garantizar la regularidad y eficiencia de los servicios de transporte, sino también para garantizar la seguridad de los usuarios. Así, el objetivo general de este artículo es conocer las funciones del sector de auditoría interna y gestión de riesgos en una empresa ferroviaria pública en Portugal, y así abordar los riesgos de seguridad de las operaciones ferroviarias. Los objetivos específicos son: conceptualizar los riesgos y la gestión de riesgos; comprender el papel de la auditoría interna y la relación de auditoría interna y gestión de riesgos; comprender algunos de los riesgos del sector ferroviario; entender cómo la auditoría interna y la gestión de riesgos de la empresa analizada actúan para satisfacer los riesgos de seguridad de los pasajeros. El tema se justifica por la necesidad de saber qué sectores son responsables de prevenir eventos nocivos para la seguridad de las personas y qué medidas implementan estos órganos organizativos para mitigar las causas y/o consecuencias de posibles eventos perjudiciales para la seguridad de los usuarios del transporte ferroviario. La metodología utilizada en este trabajo fue la revisión bibliográfica y la aplicación de dos entrevistas en profundidad, con el responsable de la gestión de riesgos y con el auditor interno de la empresa portuguesa de transporte ferroviario. Finalmente, los resultados fueron presentados y discutidos, en comparación con los autores estudiados.La investigación muestra que, según los informes de los entrevistados y según los autores consultados, la auditoría interna tiene el papel tanto de evaluar la gestión de riesgos como de asesorar al sector de gestión de riesgos de la empresa analizada, con el fin de promover mejoras en la gestión de los riesgos de seguridad de los usuarios.
Palabras clave: riesgos, gestión, transporte, ferrocarril, seguridad.
1. INTRODUCCIÓN
Con el aumento de las poblaciones de las grandes ciudades, especialmente en las zonas periféricas, han surgido nuevas demandas de soluciones de transporte para satisfacer a un número creciente de personas, incluidos trabajadores, estudiantes y profesionales liberales. Una alternativa eficiente y económica al transporte por carretera, que ayuda a reducir la contaminación del aire y la congestión, es el transporte ferroviario. Sin embargo, dado que el transporte ferroviario es utilizado todos los días por miles de personas en la mayoría de las principales ciudades del mundo, el uso de este modal requiere una gestión adecuada de los riesgos relacionados con accidentes, ataques, mantenimiento preventivo, piezas de repuesto, para no sólo garantizar la regularidad y eficiencia de los servicios de transporte, sino también para garantizar la seguridad de los usuarios.
El objetivo general de este artículo es conocer las funciones del sector interno de auditoría y gestión de riesgos en una empresa ferroviaria pública en Portugal, y abordar los riesgos de seguridad de las operaciones ferroviarias. Por lo tanto, tenemos los siguientes objetivos específicos: conceptualizar los riesgos y la gestión de riesgos; comprender el papel de la auditoría interna y la relación de auditoría interna y gestión de riesgos; comprender algunos de los riesgos del sector ferroviario; entender cómo la auditoría interna y la gestión de riesgos de la empresa analizada actúan para satisfacer los riesgos de seguridad de los pasajeros. La relevancia del tema se debe tanto a la historia de los accidentes ferroviarios en todo el mundo como a la creciente posibilidad de amenazas de ataques terroristas, que pueden causar cientos de muertes. Por lo tanto, el tema se justifica por la necesidad de saber qué sectores son responsables de prevenir eventos nocivos para la seguridad de las personas y qué medidas implementan estos órganos organizativos para mitigar las causas y/o consecuencias de posibles eventos perjudiciales para la seguridad de los usuarios del transporte ferroviario.
Para alcanzar los objetivos propuestos por este artículo, presentamos los conceptos de gestión de riesgos, el modelo de tres líneas, el papel de la auditoría interna en la gestión de riesgos, así como la complementariedad entre las funciones de auditoría interna y gestión de riesgos. A continuación, discutimos algunos autores que tratan aspectos relacionados con los riesgos ferroviarios. La metodología utilizada fue la revisión bibliográfica y la aplicación de dos (2) entrevistas en profundidad con el responsable de la gestión del riesgo y con el auditor interno de la empresa portuguesa de transporte ferroviario. Finalmente, los resultados fueron presentados y discutidos, en comparación con los autores estudiados. Por último, llegamos a la conclusión de que, según los informes de los entrevistados y según los autores consultados, la auditoría interna tiene el papel de evaluar la gestión de riesgos y asesorar al sector de gestión de riesgos de la empresa analizada.
2. FUNDACIÓN TEÓRICA
2.1 GESTIÓN DE RIESGOS
Según el IIA (2009), el riesgo es “la posibilidad de un evento que tenga un impacto en la consecución de objetivos. El riesgo se mide en términos de impacto y posibilidad de ocurrencia” (IIA, 2009, p. 9). Para FERMA, la gestión de riesgos “es el proceso mediante el cual las organizaciones analizan mecánicamente los riesgos inherentes a sus actividades, con el objetivo de lograr una ventaja sostenida en cada actividad individual y en todas las actividades” (FERMA, 2002, p. 3)[2].
Según Drogalas (2014), la gestión de riesgos es la herramienta que se utilizará para reducir los riesgos empresariales. Para Ruud (2001) “un enfoque disciplinado para la creación de valor requiere que una organización gestione eficazmente todos los riesgos significativos y probables” (RUUD, 2001 p. 2). Por lo tanto, el riesgo debe considerarse en todos los niveles de la organización, es decir, tanto a nivel macro como departamental.
Para ABNT (ISO 31000:2018), todas las actividades de una organización implican riesgo. Organizaciones a través de su identificación y análisis, para luego evaluar si el riesgo debe ser modificado o no por su tratamiento. La gestión de riesgos está directamente relacionada con los objetivos de la organización, es decir, representa el control sobre todos los factores que pueden afectar la consecución de objetivos institucionales. Según Santos (2009), “la premisa inherente de la gestión del riesgo corporativo es que cada organización existe para generar valor para las partes interesadas”.
2.2 EL MODELO DE LAS TRES LÍNEAS
El modelo de las tres líneas de defensa fue publicado en 2013 por el Instituto de Auditores Internos (IIA, 2013) como un referente de las prácticas de buen gobierno para organizaciones de cualquier tamaño o sector. En 2020 este modelo se sometió a una actualización, siendo llamado el “Modelo de las tres líneas del IIA 2020” (IIA, 2020). En este modelo del IIA (2020), la primera línea tiene funciones más relacionadas con la entrega de productos y/o servicios en su área de operación, a clientes internos. Los organismos de segunda línea son responsables de proporcionar asistencia experta en primera línea, incluyendo asesoramiento y asesoramiento sobre mejoras en la gestión de riesgos (IIA, 2020). Según Miranda (2019), los gerentes de primera línea son responsables de los riesgos que enfrentan en sus respectivos sectores, y corresponde a la segunda línea supervisar y verificar el cumplimiento de los gerentes de la primera línea.
La tercera línea es responsable de evaluar los controles internos de las dos primeras líneas, un rol que es responsable de la auditoría interna. La IIA (2020, p.3), argumenta que “la auditoría interna proporciona una evaluación y asesoramiento independientes y objetivos sobre la adecuación y eficacia de la gobernanza y la gestión de riesgos”. A su vez, Barbosa (2020), señala que la auditoría interna actúa con objetividad e independencia, para mejorar los procesos de la entidad, de los cuales forma parte la gestión de riesgos. En la misma línea, Ribeiro (2020c), señala que la auditoría interna evalúa la gestión de riesgos, con el fin de comprobar que los controles internos de la gestión están, de hecho, mitigando los riesgos según el apetito de la organización. Para la IIA (2009), la auditoría interna es una actividad independiente para la evaluación de la gestión de riesgos, y también como una de sus tareas es el asesoramiento en la mejora de procesos, sin cogestión (IIA, 2009).
2.3 EL PAPEL DE LA AUDITORÍA INTERNA EN LA GESTIÓN DE RIESGOS
Según Pickett (2005), la auditoría interna del pasado no contribuyó, de manera preponderante, a añadir valor a la administración, actuando sólo después de la realización de pérdidas y/o en un acto de postgestión, a veces de manera policial y/o punitiva. Otro enfoque para la auditoría basada en el riesgo es el cambio de enfoque del trabajo, cambiando el enfoque de los análisis de control interno a los riesgos.
Según el IIA (2004) “el papel principal de la auditoría interna en el proceso de gestión de riesgos es (…) contribuir a garantizar que los riesgos empresariales clave se gestionen adecuadamente” (IIA, 2004, p. 5) garantizando que los controles internos funcionen eficazmente. Por lo tanto, la auditoría interna “debe evaluar y contribuir a mejorar la gestión de riesgos, los controles internos y la gobernanza” (IIA, 2004, p. 5). A medida que se pone en práctica el proceso, COSO (2007) también prevé la posibilidad de evaluar el sistema de gestión de riesgos que debe realizar el auditor interno.
Hacemos hincapié en que la auditoría interna no debe ser responsable de la gestión de riesgos, teniendo en cuenta que su función se limita únicamente a contribuir a la buena gestión de los recursos y procesos de trabajo de la organización. Así, la independencia y objetividad de la Auditoría Interna se garantiza mediante el cumplimiento de un papel consultivo y no ejecutivo, siendo, los máximos gestores y los respectivos gestores de riesgos, los responsables de la preparación y gestión del riesgo (DELOITTE, 2014).
Para Pickett (2005), la auditoría interna es una actividad independiente y objetiva de consultoría y aseguramiento que se guía por una filosofía de agregar valor para mejorar las operaciones de la organización. Según la IIA (2009), la auditoría interna proporciona valor a la organización, proporcionando garantías objetivas de que los riesgos clave se están gestionando correctamente y que el marco de controles internos está funcionando eficazmente.
Por tanto, según Ribeiro (2019), el nuevo rol de Auditoría Interna aparece en un contexto de mayor transparencia y accontability, además de fuerte inestabilidad e incertidumbre, en organismos públicos o privados que gestionan mejor los riesgos asociados a su actividad y que van a disfrutan de más ventajas competitivas que otras organizaciones con menor capacidad para afrontar el riesgo.
2.4 COMPLEMENTARIEDAD ENTRE AUDITORÍA INTERNA Y GESTIÓN DE RIESGOS
La auditoría interna y el departamento de gestión de riesgos tienen funciones complementarias, ya que la auditoría interna proporciona una evaluación independiente de la eficacia de la gestión de riesgos y la eficacia de los controles internos. Para el IIA (2013), los auditores internos (en el marco de la tercera línea de defensa) proporcionan a los gerentes de la organización evaluaciones de la eficacia de la gobernanza de la gestión de riesgos y los controles internos, incluyendo cómo los departamentos y gestores de riesgos, así como los consejos y órganos consultivos (primera y segunda línea de defensa) actúan sobre la gestión del riesgo y los controles internos.
En el mismo sentido, el Instituto Brasileño de Gobierno Corporativo – IBGC (2015), subraya que la labor de la auditoría interna debe estar alineada con la estrategia de la organización, de conformidad con la matriz de riesgo, y corresponde a la auditoría interna actuar proactivamente tanto en la medición del cumplimiento de las normas aplicables como en la mejora de los controles, normas y procedimientos (IBGC, 2015).
A su vez, para Trains of Portugal (2016), en el contexto de las funciones de gestión y auditoría basadas en riesgos, gestión de riesgos y auditoría interna son complementarias en la forma en que abordan el tema del riesgo y cómo compiten por los objetivos de las organizaciones, con auditoría interna proporcionando apoyo a la gestión, con miras a promover objetivos institucionales (COMBOIOS DE PORTUGAL , 2016):
La evaluación realizada por la auditoría interna incluye todos los elementos de la estructura de gestión de riesgos y control interno, que incluye el entorno de control interno y todos los elementos de la estructura de gestión de riesgos de la organización, como la identificación de riesgos, la evaluación y respuesta al riesgo, la información y la comunicación, así como el seguimiento. Esta interacción de auditoría para la mejora de los controles internos contribuye a la eficacia continua del sistema de control interno (AICPA, 2005).
En cuanto al proceso de gestión de riesgos y evaluación de la gestión por parte de la auditoría interna, cuando la administración identifica las necesidades de nuevos controles internos debido a los riesgos identificados, el proceso de Auditoría Interna se dirige a la evaluación de los mismos controles.Por lo tanto, la auditoría interna proporciona un servicio de apoyo, colaboración y seguimiento del proceso de gestión de riesgos establecido por la dirección de la entidad (COMBOIOS DE PORTUGAL, 2016).
Según Pickett (2005), la auditoría interna y la gestión basada en riesgos tienen funciones complementarias. Así, los auditores internos tienen mucho que aportar a los gestores de la entidad y, de la misma manera, los gestores podrán contribuir al trabajo de la auditoría interna. Según el mismo autor, los auditores internos tienen más conocimiento en controles internos y gestión de riesgos que los gerentes de la organización. A su vez, los gerentes tienen más conocimiento del negocio que los auditores. Así, los auditores pueden obtener el conocimiento del negocio de la dirección y los gestores pueden apropiarse de las técnicas y metodologías de gestión basada en riesgos del contacto con los auditores, con el fin de llenar el vacío entre auditoría interna y gestión de entidades (PICKETT, 2005).
Aunque los auditores y gestores internos tienen funciones específicas dentro de la entidad, el sector de auditoría interna, con independencia y conocimiento de técnicas de auditoría basadas en riesgos, puede contribuir a la mejora de la gestión mediante la emisión de informes para ayudar a la gestión en sus funciones y necesidades (RIBEIRO, 2020B). Cabe destacar que, según Ribeiro (2019), la auditoría pasó de un enfoque puramente contable a un enfoque basado en el riesgo. El desempeño de la auditoría interna también puede ocurrir en el papel de un consejero o un mentor. Este es el papel más innovador y el que añade más valor a la auditoría interna, siendo el resultado final del enfoque basado en el riesgo (LIMA, 2014).
2.5 GESTIÓN DEL RIESGO EN EL SECTOR FERROVIARIO
En un entorno de incertidumbre, característico de la etapa actual de nuestra sociedad, es esencial evaluar los riesgos a los que estamos sometidos. Según El-Koursi; Mitra y Bearfield (2010), la Comisión Europea ha establecido una política ferroviaria para fomentar la liberalización de la industria ferroviaria en todos los Estados miembros de la Unión Europea, con la Directiva sobre seguridad ferroviaria como parte clave. Para Castro (2018), el riesgo está pasando cada vez más por nuestra sociedad, y es importante minimizar al máximo las vulnerabilidades. En este sentido, Landoll (2006) cree que la evaluación del riesgo es esencial para su gestión, y puede verificar si los procesos de control existentes son lo suficientemente eficaces como para que podamos entender si el nivel de protección disponible es suficiente.
En el sector ferroviario, una gran concentración de personas que utilizan composiciones puede potenciar situaciones de riesgo. Según Felgueiras (2015), los altos niveles de concentración de pasajeros son un factor que puede desencadenar situaciones de riesgo. Por lo tanto, es necesario gestionar los riesgos que pueden causar daños a los pasajeros y a las personas en general, teniendo en cuenta que para De Viseu (2016), los accidentes reflejan poca o ninguna preparación para su posible ocurrencia, que se produce por lagunas en la determinación de los riesgos asociados al transporte ferroviario. Además, según Berrado et al (2010), entienden que los cambios tecnológicos y legislativos en la Unión Europea pueden suponer nuevos riesgos en el sector, lo que puede dar lugar a un aumento del número de accidentes, de modo que la estructura de gestión de riesgos sugerida pueda integrarse en un sistema mundial de gestión de la seguridad en el sector ferroviario.
Martins (2017) aboga por el análisis y evaluación de riesgos para mejorar la eficiencia en las operaciones ferroviarias. Según Nedeliakova et al (2020), la mejora continua es un principio básico para lograr la calidad en el transporte ferroviario de pasajeros, de modo que es necesario comprender los procesos individuales relacionados con los riesgos en cada empresa de transporte, y puede basarse en diversas herramientas de mejora de la calidad, disponibles en todo el mundo, para comprender y analizar los procesos y servicios. Rato (2013) argumenta que la confianza en los sistemas genera varias ventajas, como en otros sectores del transporte. Sin embargo, Oliveira (2018) señala que, aunque la tecnología puede ser una herramienta que facilite la protección de los usuarios, no puede ser vista como la única alternativa para eliminar todos los riesgos, ya que debe haber integración con otras técnicas, protocolos y herramientas para generar un sistema de seguridad que funcione en capas.
El contexto de gestión de riesgos implica tanto el propio sistema ferroviario como el contexto externo, así como los riesgos asociados con el mantenimiento, piezas de repuesto, cambios en la infraestructura, entre otros. Para Martins (2017),
La evaluación de riesgos es una herramienta muy importante en la gestión de las operaciones ferroviarias. La evaluación del riesgo de ip se basa en cuatro esferas clave:
Riesgos asociados con la prestación de servicios de mantenimiento y suministro de materiales;
Riesgos derivados de las actividades de entidades ajenas al sistema ferroviario;
riesgos derivados de la introducción de cambios significativos en la infraestructura ferroviaria; – Riesgos asociados a las actividades del administrador de infraestructuras (MARTINS, 2017, p. 46).
Para hacer frente a los riesgos en el sector ferroviario, el análisis de riesgos y la priorización desempeñan un papel clave. Según Martins (2017), estos análisis, mediante la identificación de vulnerabilidades y el establecimiento de controles que pueden aumentar los niveles de seguridad de las operaciones, proporcionan una gestión eficiente de las operaciones. Portela (2014) considera que esta eficiencia implica dirigir los esfuerzos a los riesgos más relevantes, con el fin de ser prácticamente imposible abordar todos los riesgos. Con el fin de verificar los riesgos más relevantes, Rato (2013, p. 62) utilizó el diagrama de Pareto, que se utiliza para evaluar la fiabilidad de los sistemas, a través del análisis estadístico. En el mismo sentido, Basu (2004) argumenta que por el diagrama de Pareto es posible identificar los defectos más relevantes, entendiendo, a través de este principio, que el 80% de las consecuencias son causadas por el 20% de las causas.
Con respecto a las consecuencias de los riesgos ferroviarios, la materialización de los riesgos puede tener consecuencias para las personas, la propiedad y el medio ambiente, pero una de las maneras de mitigar estos riesgos es mediante el mantenimiento preventivo. A este respecto, De Viseu (2016) señala que las consecuencias de la materialización de los riesgos ferroviarios recaen en las personas, las mercancías y el medio ambiente, que se expresan en términos de daños corporales, materiales y operativos, que pueden ser directos y/o indirectos. Además, Rato (2013) argumenta que el mantenimiento preventivo tiene la ventaja de reducir el riesgo de accidentes graves, contribuyendo al aumento de la seguridad de los sistemas de transporte y de los usuarios/usuarios.
De hecho, el conocimiento de qué riesgos son más frecuentes en el transporte ferroviario es de importancia fundamental para la implementación de controles adecuados, especialmente en lo que respecta a los sistemas de control y control del tráfico, el mantenimiento de composiciones e infraestructuras ferroviarias, entre otros. Según De Viseu (2016), el análisis de los riesgos de los accidentes ferroviarios debe considerar fallos técnicos, errores humanos, aumento del flujo de personas, nivel tecnológico, factores geográficos, problemas socioeconómicos, conflictos, conflictos, choques económicos y políticos. Según Martins (2017), se realiza la vigilancia y control del tráfico con el fin de reducir los riesgos para los usuarios, así como actuar de una manera que reduzca los problemas que ocurren. Además, el Decreto-Ley Nº 151/2014[3] exige la adopción de un sistema de gestión de la seguridad para evaluar los controles y riesgos existentes.
En cuanto a los tipos de accidentes ferroviarios, De Viseu (2016) clasifica los accidentes ferroviarios como: descarrilamiento; obstrucción o cruce de la carretera; colisión entre composiciones, o entre composiciones y otros objetos, como automóviles y edificios; pisotear; explosión, incendio o electrocución; colapso estructural de puentes, túneles y carreteras; factores naturales indirectos, que pueden desencadenar los otros tipos. Debido a este tipo de eventos que pueden ocurrir, para Martins (2017) la gestión del sistema ferroviario debería ser más rigurosa, con la programación de mantenimiento, el uso de herramientas de control específicas y con buen tiempo de respuesta, con el fin de ofrecer la menor vergüenza posible, incluso para hacer frente a situaciones imprevistas.
3. METODOLOGÍA
Con el fin de promover el desarrollo de objetivos específicos sobre una base consistente de argumentación, este artículo utilizó como base una investigación descriptiva, que, según Silva (2003), es la que tiene como objetivo identificar las características del fenómeno en análisis y establecer relaciones entre las variables. Así, la recopilación de datos se realizó inicialmente a través de una revisión bibliográfica, con el conocimiento de marcos de gestión de riesgos, como ISO, COSO, así como en publicaciones en el ámbito del transporte ferroviario, basadas en la investigación de palabras y conceptos clave. Para conocer la percepción de las personas involucradas con la gestión de riesgos y la auditoría interna de la empresa de transporte ferroviario objeto de análisis, se realizaron dos (2) entrevistas en profundidad con el jefe del departamento de gestión de riesgos y con el auditor interno de la empresa. Estas entrevistas, según Gil (2008), se pueden utilizar para la investigación temática en profundidad en la investigación cualitativa.
Los discursos de los entrevistados fueron sometidos a un análisis de contenidos, que, según Bardin (1977), abarca la lectura de todo el material, con la selección de palabras y conjuntos de palabras que tienen sentido, seguido de la clasificación de estas palabras o frases en categorías o temas. Así, la información fue tratada en un análisis cualitativo, que, para Gil (2008, p. 175), se utiliza para la investigación experimental, cuando “no existen fórmulas o recetas predefinidas para guiar a los investigadores”. Las entrevistas se realizaron en Portugal, en la sede de la compañía para conocer mejor su entorno, ya que según Denzin y Lincoln (2006), este enfoque se centra en el entorno en el que se produce el fenómeno, para una mejor comprensión. Esta investigación, en comparación con los marcos y la literatura consultados, permitió debatir los resultados y la conclusión sobre los papeles desempeñados por la auditoría y el sector de gestión de riesgos, en la empresa en cuestión, para la gestión de los riesgos de seguridad de los usuarios del transporte ferroviario.
4. RESULTADOS Y DISCUSIÓN
Debido a la recopilación de datos y el análisis del contenido de las entrevistas, identificamos los principales temas reportados, tales como: riesgos de seguridad ferroviaria; gestión de riesgos y funciones de auditoría interna; mejorar la gestión del riesgo y adoptar buenas prácticas adoptadas en otras organizaciones; y alineación de la gestión de riesgos con la planificación estratégica y la cultura organizacional. Así, trataremos los informes de los entrevistados, en comparación con los autores a los que se hace referencia en este artículo, de acuerdo con los siguientes puntos.
4.1 RIESGOS PARA LA SEGURIDAD FERROVIARIA
En cuanto a los riesgos para la seguridad en el transporte ferroviario, tanto el gestor de riesgos como el auditor interno informaron de que la actividad, además de ser antigua, es de vital importancia en la gestión de la propia empresa pública. Para el gestor de riesgos, esta actividad se realiza desde hace mucho tiempo, teniendo en cuenta que forma parte de las preocupaciones de seguridad de los usuarios del sector ferroviario:
Lo es, la gestión de riesgos en CP es una actividad ya bastante antigua, es decir, en términos de gestión de riesgos de seguridad. Es decir, tradicionalmente el ferrocarril que hace el registro intensivo de todos los eventos es, que tiene que ver con los acontecimientos. Sí, en el área de seguridad. Y en base a esto, en este registro, hace un monitoreo estadístico de accidentes e incidentes.
Para el auditor interno entrevistado, además de las preocupaciones sobre el trabajo realizado para cumplir con la legislación, la preocupación es evaluar los riesgos de seguridad de los usuarios. Y según ha explicado Ribeiro (2020a), los planes de gestión de riesgos van acompañados de auditoría interna, y para el caso en pantalla estos riesgos son los relacionados con la seguridad de los usuarios.
nuestro plan de gestión de la seguridad requiere la adopción de rutinas para la evaluación de auditorías internas de calidad. Hay auditorías internas y externas, hay una serie de obligaciones, por lo que hay auditorías que son obligatorias, obligatorias, con principios de renovación, monitoreo por ahí, y hay otras que vamos a comprobar ciertos tipos de situaciones, con mucho énfasis en lo que es la parte de la seguridad ferroviaria. Estamos mirando mucho el sistema de seguridad, cómo está el equipo y cómo es el comportamiento de los pasajeros a bordo de los trenes. Es decir, estas cuestiones, entendemos que son de capital importancia para una empresa ferroviaria, en seguridad.
Los informes de los entrevistados sobre la preocupación por los riesgos de seguridad de los usuarios del sector ferroviario son corroborados por De Viseu (2016), Martins (2017) y Rato (2013), que consideran los diversos factores de riesgo de accidentes ferroviarios, por lo que el desconocimiento de estos riesgos tiene como consecuencia la ocurrencia de daños a personas, bienes y medio ambiente.
4.2 FUNCIONES DE GESTIÓN DE RIESGOS Y AUDITORÍA INTERNA
El gestor de riesgos entiende que su trabajo sirve como subvención para la planificación de la auditoría interna. Este informe está de acuerdo con Pickett (2205), afirmando que los auditores podrán obtener los conocimientos que necesitan de la administración. Por lo tanto, el plan de auditoría interna considera los riesgos con mayor probabilidad e impacto, y la gestión de riesgos sirve como subvención para el trabajo de la auditoría interna, como se puede ver en el siguiente extracto:
La auditoría desde el año 2000, a partir de 2007, comenzó a tener en cuenta los problemas que presentaban los organismos. Y a partir de 2011 y 2012 se hace el plan de auditoría analizando la encuesta de gestión de riesgos, entre otros aspectos. En otras palabras, veamos qué hay en el plan de gestión de riesgos, en rojo, particularmente hay temas más importantes.
El discurso del gestor de riesgos se ajusta a Ribeiro (2020a), al informar de que la auditoría interna y la gestión de riesgos tienen funciones complementarias, por lo que la planificación de la auditoría considera la evaluación de riesgos realizada por el sector de gestión de riesgos. En cuanto al enfoque en los riesgos más importantes, Portela (2014) refuerza que es imposible integral todos los riesgos, y los más relevantes deben priorizarse para optimizar los esfuerzos. Además, la interacción de auditoría interna y gerentes contribuye a la mejora continua de los controles internos (AICPA, 2005).
Por lo tanto, según la opinión del gerente entrevistado, la gestión de riesgos apunta a los riesgos con mayor probabilidad e impacto, siendo importante cumplir con las regulaciones legales y para la auditoría interna, que utiliza estos riesgos críticos en su plan de auditoría. Por lo tanto, se percibe que el gerente es consciente de los roles de la segunda y tercera línea, por lo que la auditoría interna verificará los riesgos más críticos de la gestión de riesgos.
Los riesgos más propensos a impactar vienen como insumos para el plan de auditoría anual. Estos criterios son una forma interesante de validar el plan de auditoría. El estatuto público exige que la realización de la gestión de riesgos se realice formalmente, es decir, el gestor público no puede, no está exento de conocer sus riesgos empresariales.
Este intercambio de información está de acuerdo con Pickett (2005), porque según el autor, la auditoría interna y la gestión de riesgos tienen funciones complementarias. Para AICPA (2005), esta iteración entre auditoría interna y gestión de riesgos contribuye a la mejora de los controles internos. De hecho, el auditor interno corrobora la declaración del gerente de que el plan de auditoría anual tiene como uno de los focos la gestión de riesgos elaborada por el sector de riesgo de la empresa, con énfasis en los riesgos con mayor probabilidad e impacto:
Este plan anual de auditoría se basa, por un lado, en aquellos aspectos que creemos que son fundamentales, pero también debido a los riesgos que se describen en el plan de gestión de riesgos, examinando aquellos que son los riesgos críticos.
4.3 MEJORAR LA GESTIÓN DE RIESGOS
En cuanto a la mejora de la gestión de riesgos en la empresa, tanto el gestor de riesgos como el auditor interno demuestran que es necesario conocer un conjunto de conocimientos técnicos aplicables al trabajo, como las normas internacionales y las buenas prácticas adoptadas en otras empresas. Este entendimiento se ajusta a Nedeliakova et al (2020), que considera que se recomienda el uso de herramientas de calidad para la mejora continua de los servicios ferroviarios. A su vez, Berrado et al (2010), destacan los cambios que se han producido en el sector en los últimos años, tanto en términos legislativos como tecnológicos, con la gestión de riesgos como herramienta para la gestión de la seguridad del transporte ferroviario.
Por ello, el auditor interno destacó la importancia de aplicar la ISO 9001/2015 para comprender los procesos de trabajo dentro de la empresa. Según él, la auditoría interna tiene que centrarse en una amplia gama de procesos internos.
la auditoría tiene que ver la gestión del todo, ¿no? Así que eso es lo que cuando hemos sido certificados por iso 9001 lo que estamos diciendo es que tengo, digamos un sistema de gestión, cumple con un conjunto de requisitos, funciona de acuerdo con un conjunto de requisitos, que se ocupan de varias áreas. Por lo tanto, hay una serie de factores internos, de lo que es una cadena de procesos para la realización de productos y servicios.
Esta mejora continua de los controles internos, a través de la iteración entre auditoría interna y gestión es defendida por la AICPA (2005), y para Pickett (2005), los auditores internos tienen mucho que aportar a la gestión. Con respecto al cumplimiento de las buenas prácticas adoptadas en otras empresas, el gestor de riesgos señala que:
Tratando de ver si alguien ya está haciendo el trabajo en algún lugar para que lo copiemos, ¿no? Podemos copiar las mejores prácticas que otros están haciendo. Tenemos muchas dificultades porque esto es inherente a nuestra empresa. Tenemos mucho trabajo diario de toda la naturaleza y ya estamos aquí en la gestión de riesgos, lo cual es un esfuerzo tremendo.
Esta necesidad de buscar las mejores prácticas está en consonancia con la defendida por El-Koursi, Mitra y Bearfield (2010), que señalan que uno de los elementos definidos por la Comisión Europea para la política ferroviaria son los requisitos para que todas las empresas ferroviarias y los administradores de infraestructuras de los Estados miembros europeos implementen un sistema de gestión de la seguridad, y esta política de gestión del riesgo de seguridad debe ser adoptada por todas las empresas que operan en la Unión Europea.
4.4 PLANIFICACIÓN ESTRATÉGICA Y CULTURA
Los entrevistados demostraron su preocupación por la planificación estratégica y la preocupación por elaborar y ejecutar la gestión de riesgos que abarca no sólo cuestiones operativas relacionadas con el corto plazo, sino también a medio y largo plazo. De esta forma, los participantes destacaron la importancia de incorporar la gestión de riesgos a la cultura de la organización. Así, el directivo ha informado de que “en un segundo plano el papel de la gestión de riesgos, es hacer evidente a la organización, cuáles son los problemas a los que se puede enfrentar a corto, medio y largo plazo”. Por su parte, el auditor interno informó de que “el riesgo no proviene también de una cultura, que es asumida por nosotros que tiene que ver con la transformación de 9001”. La declaración del auditor interno está en consonancia con el IBG (2015), que subraya que el trabajo de la auditoría interna debe estar alineado con la estrategia de la empresa.
En cuanto a la evolución del papel de la auditoría interna, el responsable de riesgos informó que en los “inicios, por lo tanto, el tema de la auditoría está muy vinculado a aspectos (…) alcance financiero, (..). Sin embargo, todo esto ha ido evolucionando (…)” Estas consideraciones están de acuerdo con Ribeiro (2019), quien señala que el papel de la auditoría ha evolucionado a partir de un enfoque de verificación de cumplimiento para centrarse en los procesos de gestión de riesgos.
Por su parte, el auditor interno destacó que si bien el Estado se centra en la cuestión financiera, la auditoría interna y la gestión de riesgos deben centrar los esfuerzos en la seguridad de los pasajeros.
Y la auditoría interna no debe centrar sus esfuerzos en esta evaluación financiera, ya que hay otras áreas más importantes y sensibles, como la seguridad, que involucra vidas humanas, trabajadores, equipos y que tiene varios riesgos.
Las declaraciones de los participantes se ajustan al IIA (2013), en el que los auditores deben proporcionar a los administradores evaluaciones sobre la eficacia de la gestión de riesgos de la empresa, incluida la forma en que los gestores de riesgos actúan sobre la gestión. A su vez, COSO (2007) también hace hincapié en que el sistema de gestión de riesgos debe ser evaluado por el auditor.
Por lo tanto, se verifica que los discursos de los participantes estén alineados entre sí y con los autores a los que se hace referencia y con énfasis en la gestión de los riesgos de seguridad de los pasajeros, de modo que también exista preocupación por los aspectos legales y financieros, pero que se haga hincapié en los riesgos más críticos, en consonancia con las mejores prácticas, de acuerdo con la planificación estratégica y buscando implementar una cultura de riesgos en la empresa.
5. CONCLUSIÓN
Debido a lo anterior, debido al aumento en el número de usuarios ferroviarios en grandes ciudades y regiones metropolitanas, considerando los riesgos de seguridad para los usuarios de este modal de transporte, es necesario que las empresas tomen procesos o sistemas de gestión de riesgos para hacer frente a riesgos de accidentes, riesgos ambientales, riesgos de ataques terroristas, entre otros. En vista de esta realidad, los autores consultados y los informes de los entrevistados demuestran el papel desempeñado por la auditoría interna y el departamento de gestión de riesgos para apoyar la gestión de riesgos para la seguridad de los usuarios ferroviarios.
Así, se ha producido una transformación del papel de la auditoría interna en la literatura consultada y en los informes de los entrevistados, que pasó de una mera verificación de aspectos contables y financieros a un organismo para verificar la eficacia de la gestión de riesgos y el asesoramiento al gerente. Así, tanto la dirección, como la auditoría interna, en el papel de tercera línea, actúan conjuntamente en la mejora continua de la gestión de riesgos y, según el informe de los entrevistados, se ejerce esta función en la empresa ferroviaria analizada, en cuanto a los riesgos de seguridad de los usuarios.
Por lo tanto, los discursos de los entrevistados sobre el papel de la gestión de riesgos y la auditoría interna están alineados con las mejores prácticas y la literatura consultada, con el fin de actuar en sus respectivas áreas de competencia para implementar, evaluar, monitorear y mejorar constantemente la gestión de los riesgos de seguridad de los pasajeros del transporte ferroviario, en la empresa portuguesa analizada.
REFERENCIAS
ABNT NBR ISO 31000: Gestão de riscos – diretrizes – risk management – guidelines. Rio de Janeiro, 2009.
ABNT NBR ISO 31000: Gestão de riscos – diretrizes – risk management – guidelines. Rio de Janeiro, 2018.
AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS (AICPA), AICPA Committee Handbook for 2005 (2006). AICPA Committees. 211. Disponível em: https://egrove.olemiss.edu/aicpa_comm/211. Acesso em: 29.01.2021
BARBOSA, Euro Gama; DANTAS, José Alves; SANTOS, Daniel Novais. Gestão dos Recursos de Tempo de Auditoria: Modelo Matemático de Estimação e de Controle. Revista TCU, v. 145, p. 30, 2020.
BARDIN, L. Análise de conteúdo. Lisboa: Edições 70, 1977.
BERRADO, Abdelaziz et al. A framework for risk management in railway sector: application to road-rail level crossings. Open Transportation Journal, p. 19p, 2010.DE VISEU, Bombeiros do Distrito. Abordagem Geográfica dos Riscos Associados ao Transporte Ferroviário: os Grandes Acidentes Ferroviários no Mundo e em Portugal. Disponível em: https://www.riscos.pt/wp-content/uploads/2018/Encontros/XENR/Aprst/XENR_conf_inag.pdf. Acesso em: 14.12.2020.
CASTRO, Madalena Lopes Sardica Velez de et al. Diagnóstico de comportamentos de risco: o metropolitano de Lisboa. 2018. Tese de Doutorado. Dsiponível em: http://comum.rcaap.pt/bitstream/10400.26/25030/1/Madalena%20Castro.pdf. Acesso em: 14.12.2020.
COMBOIOS DE PORTUGAL. Plano de Gestão de Riscos 2016: Inclui os Riscos de Corrupção e Infrações Conexas. Portugal: Gabinete de auditoria interna, qualidade e ambiente. Maio, 2016. Disponível em: https://www.cp.pt/StaticFiles/Institucional/1_a_empresa/2_principios_bom_governo/planocorrupcao.pdf; Acesso em: 14.01.2021
COSO – Committee of Sponsoring Organizations of the Treadway Commission. Gerenciamento de Riscos Corporativos – Estrutura Integrada. 2007. Disponível em: https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Portuguese.pdf. Acesso em: 10/08/2020.
DELOITTE. The value killers revisited. A risk management study. 2014. Disponível em: https://www2.deloitte.com/content/dam/Deloitte/br/Documents/audit/ValueKiller.pdf; Acesso em 15.12.2020.
DENZIN, N. K. e LINCOLN, Y. S. Introdução: a disciplina e a prática da pesquisa qualitativa. 2. ed. Porto Alegre: Artmed, 2006.
DROGALAS, G.; KARAGIORGOS, T.; PAZARSKIS, M.; CHRISTODOULOU, P. Internal auditing as a main tool for efficient risk assessment. Macedonia: Department of Business Administration University of Macedonia. MIBES 2007. Disponível em: http://mibes.teilar.gr/proceedings/2007/poster/Karagiorgos-Drogalas-Pazarskis-Christodoulou.pdf; Acesso em: 14.12.2020.
EL-KOURSI, E. M.; MITRA, Subhabrata; BEARFIELD, G. Harmonising safety management systems in the European railway sector. Safety Science Monitor, v. 11, n. 2, p. 14p, 2007.
FELGUEIRAS, S. R. C. C. Ação policial face à ação coletiva: Teoria para uma estratégia de policiamento de multidões. Lição inaugural abertura do ano letivo 2015/2016, 2015.
FERMA – Federation of European Risk Management Associations. Norma de gestão de riscos. AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003. Disponível em: https://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-portuguese-version.pdf. Acesso em: 10/08/2020.
GIL, Antonio Carlos. Métodos e técnicas de pesquisa social. 6. ed. Ediitora Atlas SA, 2008.
IBCG – Instituto Brasileiro de Governança Corporativa. Código das Melhores Práticas de Governança Corporativa. 5º ed. 2015. Disponível em: https://edisciplinas.usp.br/pluginfile.php/4382648/mod_resource/content/1/Livro_Codigo_Melhores_Praticas_GC.pdf. Acesso em: 10/08/2020.
IIA – THE INSTITUTE OF INTERNAL AUDITORS. Position statement: The Role of Internal Audit in Enterprise-wide Risk Management. September, 2004. Disponível em: http://www.iiajapan.com/pdf/data/erm/ERM.pdf. Acesso em: 13.12.2020.
IIA – THE INSTITUTE OF INTERNAL AUDITORS. Position paper: the role of internal auditing in enterprise-wide risk management. January, 2009. Disponível em: https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Role%20of%20Internal%20Auditing%20in%20Enterprise%20Risk%20Management.pdf; Acesso em 13.12.2020.
IIA – THE INSTITUTE OF INTERNAL AUDITORS. Declaração de Posicionamento do IIA. As três linhas de defesa no gerenciamento eficaz de riscos e controles. Janeiro 2013. The Institute of Internal Auditors. Disponível em: http://www.iiabrasil.org.br/new/2013/downs/As_tres_linhas_de_defesa_Declaracao_de_Posicionamento2_opt.pdf; Acesso em 13.12.2020.
INSTITUTO DE AUDITORES INTERNOS. Modelo das três linhas do IIA 2020: uma atualização das três linhas de defesa. 2020. Disponível em: http://www.iabrasil.org.br/new/2013/downs/As_tres_linhas_de_defesa_Declaracao _de_Posicionamento2.pdf. Acesso em: 28 dez. 2020.
LANDOLL, Douglas J.; LANDOLL, Douglas. The security risk assessment handbook: A complete guide for performing security risk assessments. CRC Press, 2005.
LIMA, L. C. M. de. Controle interno na administração pública: o controle interno na administração pública como um instrumento de accountability. Brasília: Escola da Advocacia Geral da União (AGU), 2012, 72p.
MARTINS, Sara Filipa Grencho. Gestão e controlo de circulação de tráfegos rodoviário e ferroviário. 2017. Tese de Doutorado. Instituto Superior de Engenharia de Lisboa. Disponível em: https://repositorio.ipl.pt/bitstream/10400.21/7171/1/Disserta%c3%a7%c3%a3o.pdf. Acesso em: 14.12.2020.
MIRANDA, Rodrigo Fontenelle de Araújo. Módulo 1-Introdução à gestão de riscos: estruturas de gerenciamento e bases normativas. 2019. Disponível em: https://repositorio.enap.gov.br/bitstream/1/4088/1/Modulo%201-Estruturas%20de%20Gerenciamento%20e%20Bases.pdf. Acesso em: 29.01.2021.
NEDELIAKOVA, Eva et al. Sustainability of railway undertaking services with lean philosophy in risk management—Case study. Sustainability, v. 12, n. 13, p. 5298, 2020. Disponível em: https://www.mdpi.com/2071-1050/12/13/5298. Acesso em: 14.12.2020.
OLIVEIRA, J. L. Apontamentos Sobre Segurança nos Transportes Públicos, Apresentação PowerPoint. Lisboa, 2018.
PORTELA, Gerardo. Gerenciamento de Riscos Baseado em Fatores Humanos e Cultura de Seg: Estudo de Caso de Simulação Computacional do Comportamento Humano. Elsevier Brasil, 2014.
PICKETT, K. H. S.; PICKETT, J. M. Auditing for managers: the ultimate risk management tool. TEXTBOOK. March, 2005. Disponível em: http://www.wiley.com/WileyCDA/WileyTitle/productCd-EHEP000933.html; Acesso em: 13.12.2020.
RATO, João Carlos Mourão. Gestão da manutenção da frota das UQE-S2300. 2013. Tese de Doutorado. Faculdade de Ciências e Tecnologia. Disponível em: https://run.unl.pt/bitstream/10362/10119/1/Rato_2013.pdf Acesso em: 14.12.2020.
RIBEIRO, Renor Antonio Antunes. O papel da auditoria interna na gestão de riscos em entidades do setor público de Portugal e do Brasil. 2019. Dissertação de Mestrado.
RIBEIRO, Renor. Gestão de Riscos no Setor Público: normas e padrões internacionais, análise das legislações nacionais de Portugal e do Brasil e aplicação na base normativa do setor público. 1ª ed. Brasília: Athenas Editora, 2020.
RIBEIRO, Renor. Gestão de Riscos em Organizações Públicas: normas e padrões internacionais utilizados para a gestão de riscos, etapas do processo e análise da base normativa de Portugal e do Brasil. 1ª ed. Lisboa: Edições Exlibris, 2020.
RUUD, T. F.; BODENMANN, J. M. Corporate governance und interne revision: neuorientierung der internen revision, um einen zentralen beitrag zu einer effektiven corporate governance zu leisten. Der Schweizer Treuhänder 6-7/2001, S.521 – 534. Disponível em: https://www.alexandria.unisg.ch/61949/1/Corporate%20Governance%20und%20Interne%20Revision.pdf >. Acesso em: 14.12.2020.
SANTOS, R. F. Gestão de Risco e Controle Interno. 2009. Disponível em: http://pt.scribd.com/doc/35413699/Gestao-de-Risco-e-Controle-Interno-com-COSO; Acesso em: 17.12.2020.
SILVA, E. L.; MENEZES, E. M. Metodologia da pesquisa e elaboração de dissertação. 4. ed. rev. atual. Florianópolis: UFSC, 2005.
APÉNDICE – REFERENCIA DE NOTA AL PIE
2. Disponible en: https://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-portuguese-version.pdf
3. Disponible en: https://dre.pt/web/guest/pesquisa/-/search/58273537/details/normal?q=+Decreto-Lei+n.%C2%BA151%2F2014
[1] Máster en Administración Pública por la Universidade do Minho – UMINHO (Portugal), MBA en Gestión Estratégica en Administración Pública, Especialista en Administración Pública en UMINHO, Especialista en Planificación Educativa, Licenciado en Ingeniería Mecánica por UFC, Licenciado en Física por la UECE, Licenciado en Educación Musical por la UnB.
Enviado: Marzo de 2021.
Aprobado: Marzo de 2021.
