Por: Juan Alberto Villanueva Chan
Es ineludible que
tarde o temprano realizaremos una auditoría a la gestión de riesgos en nuestras
organizaciones. En esta nueva tarea, los auditores enfrentamos dos escenarios
particulares: las observaciones que encontremos podrían recaer necesariamente
en el Comité de Riesgos y; el enfoque de las revisiones serán básicamente de
cumplimiento a la normatividad de riesgos en la organización.
Las técnicas para evidenciar el cumplimiento de la normatividad
de riesgos recaen en la observación, indagación e inspección. Observamos el
desempeño de las sesiones para identificar y evaluar riesgos con los
responsables. Por ejemplo, se observa la existencia de reportes de las sesiones
de identificación de riesgos y controles y sus correctivos. Se indaga con personas
entendidas que nos provea información sobre cómo va el funcionamiento de la
gestión de riesgos en sus procesos. Por ejemplo, indaguemos si hubo evaluaciones
de riesgos de TI y la antigüedad de sus recomendaciones. Se inspeccionan registros
o documentos que validen el cumplimiento de la normatividad y metodologías de
la gestión de riesgos. Por ejemplo,
inspeccionamos el historial de las actas de sesiones y propuestas de mitigación
de riesgos.
En adición, existen técnicas adicionales que pueden usarse y
combinarse. Dichas técnicas son la evaluación de conocimientos, que combinando
las técnicas de indagación e inspección, se puede revisar cómo se ha
desarrollado los programas de capacitación y sensibilización de riesgos en toda
la organización. Mediante
estas técnicas el auditor corrobora el contenido
de un informe del área de riesgos con los miembros que participaron en las
sesiones de trabajo. El propósito es validar la consistencia de la información en
los reportes de riesgos. Comprobar que los aplicativos TI automatizados para la
identificación y evaluación de riesgos almacenen la data según lo esperado.
Si bien existen pocas referencias para desarrollar un programa de
auditoría a la gestión de riesgos, es posible tomar como guía la secuencia del
ISO 31000, es decir primero identificar la existencia de principios, luego que
estos principios fluyan por un marco de gestión de riesgos, es decir la
instrumentación, para finalmente comprobar que se desarrolla el proceso de
gestión de riesgos. Es importante advertir que existe cierta lógica en cumplir
ciertos pasos previos para culminar con un plan de mitigación de riesgos según
el ISO 31000 – Gestión de Riesgos.
A continuación se describe algunos puntos de atención que se debe
tomar en cuenta en un programa de auditoría respetando el marco ISO 31000:
I. Principios:
- ¿Se encuentra incorporada la gestión de riesgos en todos los procesos de la entidad?
- ¿La gestión de riesgos es iterativa, dinámica y sensible al cambio?
- ¿La gestión de riesgos está adaptada al entorno del negocio?
- ¿La gestión de riesgos toma en cuenta factores humanos y culturales?
- ¿La gestión de riesgos facilita la mejora continua de la organización?
- ¿La gestión de riesgos forma parte de la toma de decisiones?
II. Marco:
- ¿Está definida y asignada la política de gestión de riesgos?
- ¿Existen indicadores para medir el funcionamiento de la gestión de riesgos?
- ¿Están alineados los objetivos de gestión de riesgos a los objetivos estratégicos de la organización?
- ¿Se tiene asegurado el cumplimiento regulatorio de gestión de riesgos?
- ¿Se tiene adecuadamente asignada la responsabilidad de la gestión de riesgos en la organización?
- ¿Se asignó recursos para el desarrollo de la gestión de riesgos?
- ¿Se cuenta con un plan de gestión de riesgos para su implementación?
- ¿El informe de riesgos señala la eficacia del marco de gestión de riesgos?
III. Proceso:
- ¿Se evidencia comunicación y consulta interna y externa con los stakeholders?
- ¿Se tiene establecido el contexto de la gestión de riesgos?
- ¿Se definió los factores y criterios de riesgos (naturaleza, causas y consecuencias, probabilidad, nivel de riesgo aceptable, etc)
- ¿Se evidencia el análisis de riesgos mediante consecuencias y probabilidad de impacto?
- ¿Se evidencia la evaluación de riesgos comparando el nivel de riesgo encontrado y la tolerancia al riesgo?
- ¿Se evidencia una selección de opciones de tratamiento al riesgo?
- ¿Se cuenta con planes de implementación de planes de tratamiento al riesgo?
- ¿Se cuenta con actividades de supervisión a todo el proceso de gestión de riesgos?
- ¿Existe un registro de toda la documentación del proceso de gestión de riesgos?
¿Te ha gustado el artículo?
¡Déjanos saber tu opinión a través de un comentario!
No hay comentarios:
Publicar un comentario