Es innegable al inicio el celo por el
privilegio de manejar la información de riesgos entre el auditor interno y los
que están a cargo de la implementación y desarrollo del ERM.
La información oportuna sobre gestión de
riesgos es fundamental para emigrar hacia una auditoría basada en riesgos. El
temor a entregar este tipo de información a los auditores, por lo general obedece
a la ausencia de una sólida cultura de riesgos, lo que hace que sea bastante
tedioso obtener y manejar dicha información.
A medida que aumenta la madurez del riesgo y
la gestión de riesgos se encuentre integrada a los procesos, es probable que
mejore la comunicación con auditoría interna.
Fuente: IIA Position Paper: The Role of Internal
Auditing in Enterprise – Wide Risk Management - 2009
Si actuamos minuciosamente en los niveles que
fijan los documentos del IIA respecto al rol de auditoría en el ERM con
salvaguarda; por ejemplo, para facilitar la identificación y evaluación de
riesgos, los auditores podrían:
- Poner a disposición de la administración algunas técnicas y herramientas utilizadas por el auditor para identificar los puntos críticos. Entre ellas proporcionar un mapa de debilidades de control histórico por perfil de riesgos en la organización.
- Actuar como facilitadores en la realización de talleres de autoevaluación de riesgos y controles (RCSA).
- Enriquecer el inventario de amenazas de riesgos de la organización.
En cuanto a los entrenamientos a la Gerencia
sobre la respuesta al riesgo, es valiosa la asesoría que pueden dar los
auditores en el diseño de medidas de control para mitigar riesgos. Por otro
lado, para fortalecer la coordinación de actividades del ERM los auditores pueden
aprovechar las competencias y conocimiento de la organización; también dictando
charlas al personal de la entidad para lograr la sensibilización en la gestión
de riesgos y controles, así como roles y responsabilidades en estos temas.
Con relación a la consolidación de reportes
sobre riesgos, los auditores pueden contribuir con datos de las debilidades de control y el
cumplimiento de las recomendaciones que obtienen al evaluar la marcha del
sistema de control interno, con énfasis en uno de sus principales componente de
control como es la evaluación de riesgos.
En el mantenimiento así como defender el
establecimiento del ERM, auditoría interna juega un rol preponderante, sobre
todo en instituciones pequeñas, donde resulta imposible constituir una unidad
encargada de implementar la gestión de riegos. Auditoría interna debe cuidar
que su asesoramiento no lo haga responsable de ningún rol en la gestión de
riesgos.
Finalmente, para desarrollar estrategias
conjuntas de gestión de riesgos para aprobación de la Junta se puede lograr
mediante el intercambio de aspectos relevantes que fluye entre el Comité de
Auditoría y el Comité de Riesgos.
¿Te ha gustado el artículo?
¡Déjanos saber tu opinión a través de un comentario!
Interesante artículo, gracias por compartir.
ResponderEliminar