En torno a la auditoría de la gestión de riesgos

Por Juan Alberto Villanueva Chang

Al observar hace algunos años como se adopta la gestión de riesgos en una organización, comparto lo señalado en algunas encuestas que señalan que no existe un modelo único de gestión de riesgos para una entidad. Cada cual define su propia gestión de riesgos luego de algunos intentos y de lograr el grado de madurez de su cultura organizacional.

Quienes hemos experimentado la progresiva implementación de la gestión de riesgos, indudablemente entendemos que existe una correlación directa respecto a su adopción: tamaño vs  la  especialización de sus actividades. Por consiguiente, ésta evoluciona con el ciclo del negocio.

Una cultura de gestión de riesgos (según el ISO 31000) requiere de la existencia de la siguiente plataforma:

• Estrategia respecto al riesgo: Su incorporación en la gestión estratégica y definir el apetito al riesgo
• Ambiente organizacional: Sensibilización permanente y medidas de control de desempeño
• Infraestructura de riesgos: Políticas, organización, sistemas
• Proceso de riesgos: Cumplir el establecimiento del contexto, identificación, evaluación, análisis, mitigación del riesgo, control y monitoreo

A propósito del ISO 31000, es  un documento práctico que ayuda a las organizaciones a desarrollar su propio enfoque de gestión de riesgos. No es un estándar para optar una certificación, son sugerencias para compararse con las mejores prácticas.

La gestión de riesgos se refiere a la arquitectura:

•  Principios para la gestión de riesgos
•  Estructura de soporte o marco de gestión de riesgos
• Proceso de gestión de riesgos

El manejo de riesgos trata de la aplicación de aquella arquitectura a una entidad en particular.

Para auditar la gestión de riesgos se debe comprobar que exista documentación que permita conocer que la gestión de riesgos se conduce apropiadamente, proveer evidencia que se  identifica y analizan los riesgos y que se divulgue abiertamente la base de incidentes para conocimiento de toda la organización.

Se debe conocer quienes son los responsables y los niveles de aprobación para la implementación de la gestión de riesgos, así como recibir facilidades para el permanente monitoreo y revisión. Verificar en detalle de las frecuentes revisiones de la gestión de riesgos como un todo, su monitoreo y adopción de medidas correctivas.

Entre los principales documentos a revisar se tiene: Política de gestión de riesgos, registros de amenazas y evaluación de riesgos, programa de tratamiento de los riesgos y plan de acción para mitigar riesgos, entre otros.

Un programa de riesgos debe permitir conocer ¿Quién tiene la responsabilidad de la implementación del plan? ¿Qué recursos se van a emplear? ¿Qué presupuesto se asignó? ¿Cuál es el cronograma de implementación?  ¿Cuáles son los detalles del mecanismo y frecuencia de la revisión del cumplimiento del plan de tratamiento de los riesgos?

Usualmente, los factores que dificultan o demoran la implementación de la gestión de riesgos se deben a:

• Enfoque de gestión de riesgos diseñado en forma deficiente
• Dificultad para lograr la sensibilización de la cultura de riesgos en todos los niveles
• Recursos humanos y técnicos deficientes para implementar la gestión de riesgos
• Incapacidad de mantener y sostener impulso del proyecto de gestión de riesgos
• Dificultad para entender que la gestión de riesgos es integral y su supervisión resulta ineficaz

Finalmente, el auditor no debe perder de vista que la gestión de riesgos debe ser parte de la toma de decisiones de todos los procesos de la organización, limitado por los resultados de su análisis de impacto y probabilidad de ocurrencia, así como del nivel de tolerancia.