lunes, 9 de abril de 2018

Consulta: Mi empresa no tiene sistema de gestión de riesgos y no implementa las recomendaciones


Quisiera pedirte tu opinión de qué debemos hacer cuando te enfrentas a un directorio que no está de acuerdo a tu evaluación de riesgos. Como auditores muchas veces nos enfrentamos a directorios que son familia y que han formado su empresa con mucho esfuerzo, y a medida que van creciendo, lo hacen sin "formalizar" esta cultura de riesgo que ya a esa altura deberían tener.

Pregunta No. 1: Te consultan "como experto" pero tu evaluación al final no es considerada. ¿Qué hacer en ese caso?

Esta pregunta la debemos responder con dos preguntas:

¿Por qué existe un departamento de auditoría interna en su organización?

             I.        Para realizar tareas irrelevantes como la toma física de inventarios o realizar arqueos de caja.
            II.        Para descubrir fraudes e irregularidades.
          III.        Porque las empresas del sector que opera su organización tiene departamentos de auditoría interna.
          IV.        Su organización es una institución regulada, en la cual el ente regulador requiere que exista una función de auditoría interna.
           V.        Para mejorar y proteger el valor de la organización proporcionando aseguramiento, asesoría y análisis en base a riesgos.

Cómo es una empresa de familia, usted como Director de Auditoría Interna (DAI) debería obtener la respuesta a esta interrogante de los principales dueños de la organización, y luego realizar una ponderación profunda, si la respuesta no es algo similar a lo presentado en la opción número 5.

¿Por qué los líderes de su empresa no están de acuerdo con desarrollar una evaluación formal de los riesgos que podrían impactar a su organización?

Luego que conozca la razón de la resistencia, usted está en posición idónea para desarrollar una estrategia de mercadeo efectiva, la cual puede incluir:

             I.        Promover los beneficios y ventajas de la implementación de este sistema.
            II.        Colaborar en la identificación y evaluación de los principales riesgos.
          III.        Asesorar a la dirección en la respuesta a los riesgos identificados.
          IV.        Colaborar en la coordinación de la gestión de riesgos.
           V.        Apoyar en el proceso implantación y mantenimiento del marco de la gestión de riesgos y su política, como soporte para el Consejo de Administración y el Comité de Auditoría.

Adicionalmente, aunque su organización no tenga desarrollado un sistema de gestión de riesgos, auditoría interna en su organización debe:

     I.        Demostrar su comprensión de los procesos de gestión de riesgos de la organización y buscar oportunidades de mejora. En las conversaciones con la alta dirección y con el Consejo, el DAI podrá valorar el apetito al riesgo, la tolerancia al riesgo y la cultura de riesgo de la organización.

    II.        Estar alertar a la Dirección sobre nuevos riesgos, así como sobre riesgos que no han sido adecuadamente mitigados, y proporcionar recomendaciones y planes de acción para una adecuada respuesta a los riesgos (por ejemplo, aceptar, continuar, transferir, mitigar o evitar).

  III.        Realizar sus propias evaluaciones de riesgo. Normalmente se podrá deducir el apetito al riesgo de la organización de conversaciones con la Dirección y con el Consejo y también de las políticas de la organización y de las actas de las reuniones. Esto permitirá al DAI y a la actividad de Auditoría Interna alinear las respuestas a los riesgos que recomienden.

  IV.        Utilizar un marco de referencia sobre gestión de riesgos o sobre control interno ya existente (por ejemplo, el marco del Committee of Sponsoring Organizations of the Treadway Commissio –COSO– o la norma ISO 31000) para guiar su identificación de riesgos.

   V.        Mantenerse actualizada en lo referente a exposiciones a riesgos potenciales y oportunidades relacionadas con éstos, la actividad de Auditoría Interna puede también investigar sobre nuevos desarrollos y tendencias relacionadas con el sector de la organización, y también sobre procesos que puedan ser empleados para supervisar, evaluar y responder a los referidos riesgos y oportunidades.

Pregunta No. 2 - ¿Tomar palco y ver cómo nos golpeará la materialización del riesgo y terminar cuantificando su impacto?  Quiérase o no, nuestra opinión muchas veces queda solo para el registro de que "nosotros lo dijimos, pero no nos tomaron en cuenta".

Los auditores internos pueden desarrollar de forma independientes análisis de deficiencias para determinar si los riesgos significativos están siendo identificados y evaluados adecuadamente. De esta forma, la actividad de Auditoría Interna estará posicionada para evaluar el proceso de evaluación de riesgos de la Dirección.

Al revisar el proceso de gestión de riesgos, es importante que los auditores
internos identifiquen y debatan sobre los riesgos y la correspondiente respuesta que
haya sido elegida. Por ejemplo, la Dirección puede elegir aceptar un riesgo, y el DAI
necesitará determinar si la decisión es apropiada de acuerdo con el apetito al riesgo
de la organización o la estrategia de gestión de riesgos.

Si el DAI concluye que la Dirección ha aceptado un nivel de riesgos que puede ser inaceptable para la organización, el DAI debe comentar este asunto con la alta dirección y puede necesitar comunicar el tema al Consejo, de acuerdo con la Norma 2600 – Comunicación de la Aceptación de los Riesgos. En los casos en los que la Dirección elige emplear una estrategia de mitigación en respuesta a los riesgos identificados, la actividad de Auditoría Interna puede evaluar, si es necesario si las acciones correctivas son adecuadas y se han tomado en el momento oportuno. Esto se puede lograr revisando el diseño del control y probando los controles y supervisando los procedimientos.

Para finalizar, si sus recomendaciones no son implementadas, usted debe aplicar el esquema presentado en la Norma 2600 –Comunicación de la aceptación de los riesgos

Cuando el director ejecutivo de auditoría concluya que la dirección ha aceptado un nivel de riesgo que pueda ser inaceptable para la organización, debe tratar este asunto con la alta dirección. Si el director ejecutivo de auditoria determina que el asunto no ha sido resuelto, el director ejecutivo de auditoría debe comunicar esta situación al Consejo.

Interpretación: La identificación del riesgo aceptado por la dirección puede observarse a través de un trabajo de aseguramiento o consultoría, a través del seguimiento del progreso sobre las acciones tomadas por la dirección como resultado de anteriores trabajos, o a través de otros medios. El director ejecutivo de auditoria no tiene la responsabilidad de resolver el riesgo.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

2 comentarios:

  1. Excelente artículo señor Nahun, le escuché decir en un congreso que la auditoría no termina hasta que los hallazgos no son resueltos, lo cual es muy cierto, pero pensé cuanto trabajo y responsabilidad, porque entiendo que cada línea de defensa debe asumir su responsabilidad, ahora en este artículo indica que si el “DAI concluye que la Dirección ha aceptado un nivel de riesgo que puede ser inaceptable para la organización, debe comentarlo con la alta dirección y puede necesitar comunicar el tema al Consejo”, yo siempre utilizo la norma 2600, para referir la aceptación del riesgo por parte de la Dirección, ahora el enfoque es de mayor responsabilidad.

    ResponderEliminar