Añadiendo valor a la identificación y evaluación de riesgos

Por Juan Alberto Villanueva Chang

El rol del auditor interno en la gestión de riesgos se precisa en el documento emitido por el  IIA  “Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management” , publicado el 2009. Este ratifica la vigencia del tema ya divulgado en una publicación conjunta por  la organización COSO, el IIA de EE.UU. y el IAI del Reino Unido e Irlanda en el 2004.

Es sin duda un texto obligado de consulta para avanzar hacia un enfoque de auditoría basada en riesgos, dando por descontado el conocimiento que se debe tener del grado de madurez de la gestión de riesgos en su organización.

Como se resalta en el escrito antes señalado,  el verdadero rol que le compete al auditor interno en la gestión de riesgos es:

• Brindar aseguramiento sobre el proceso de gestión de riesgos y que sean evaluados correctamente
• Evaluar los procesos de gestión de riesgos,  el manejo y los reportes de riesgos claves

El mismo texto añade como roles legítimo para actuar , previa salvaguardas de la dirección, lo siguiente:

• Facilitar la identificación y evaluación de riesgos
• Asesorar a la dirección para dar respuesta a los riesgos
• Coordinar las actividades de gestión de riesgos
• Contribuir a consolidar los reportes sobre riesgos
• Colaborar con el mantenimiento y desarrollo de la gestión de riesgos
• Desarrollar estrategias de gestión de riesgos para aprobación de la Junta

Sin temor a equivocarnos, se experimenta una conducta casi generalizada cuando el auditor, para desarrollar su trabajo, al momento de solicitar información sobre la identificación y evaluación de riesgos  a los responsables (dueño del proceso o unidad de riesgos). Se suele recibir datos imprecisos o carecen de valor para los fines pertinentes.

Esta actitud probablemente sea, sobre todo donde es incipiente la cultura de riesgos, por la duda en la efectividad del trabajo efectuado,  especialmente cuando se emplean  registros inconsistentes de eventos o incidentes de riesgo pasados.

En consideración a que la gestión de riesgos involucra al control, y de acuerdo al mayor detalle que se conoce sobre el rol legítimo del auditor interno en la gestión de riesgos[1], el auditor puede contribuir con proporcionar datos complementarios para enriquecer la evaluación de riesgos , esto se puede realizar mediante la construcción de un mapa de debilidades de control histórico. En él se puede divulgar el resultado y comportamiento por procesos o áreas de las debilidades de control identificadas en auditorías pasadas, datos a los que sí tiene total acceso el auditor en sus papeles de trabajo.

El llenado de la gráfica anterior puede ayudar, tanto a auditores como a gestores de riesgos,  a tener una visión global del comportamiento de las debilidades de control por las áreas del negocio. El arte en su construcción queda a criterio e imaginación del auditor, especialmente  para intentar elaborar  una correlación entre la frecuencia de las debilidades de control, tipo de riesgos  y por impacto expuesto al riesgo.

En síntesis, consiste en un mecanismo de información de ayuda recíproca  con los responsables de riesgos, fortalece la comunicación y mejora los métodos de trabajo para lograr una eficiente gestión de riesgos y efectiva auditoría.

---

[1]  Paul J. Sobel, CIA (2011) “Internal Auditing´s Role in Risk Management”, Research Foundation - IIA