Iván Rodríguez
La gestión de riesgos empresariales (Enterprise Risk Management - ERM
por sus siglas en inglés) es un campo globalmente aceptado y en crecimiento.
Como resultado, organizaciones profesionales en diferentes partes del mundo han
publicado varios marcos y declaraciones de riesgos, con diversos enfoques y
contenidos constituyéndose en herramientas valiosas en el entorno empresarial,
por lo que su conocimiento se hace necesario. Además de los marcos ampliamente
conocidos, tales como COSO ERM, el estándar australiano 4360 e incluso Basilea
II, existen otros marcos que es importante que un auditor conozca. Se presentan a continuación algunos de ellos[1].
·
El Código Combinado y la Guía de Turnbull
·
Informe King II
·
Estándar de gestión de riesgos de la Federación de la
Asociación Europea de Gestión de Riesgos (FERMA)
·
Una perspectiva global de la evaluación de control
interno sobre la información financiera (ICoFR) de IMA
·
Standard & Poor's y ERM
EL CÓDIGO COMBINADO Y LA ORIENTACIÓN DE TURNBULL
En el Reino Unido, el Financial Reporting Council publicó el Código
Combinado sobre Gobierno Corporativo (el Código) en 2003. Aunque el Código no
está específicamente etiquetado como un marco de ERM, tiene muchos aspectos
similares y se menciona el "riesgo". Más de 100 veces. El Código
establece que el rol de la junta es proporcionar un marco de control efectivo
para que el riesgo sea evaluado y administrado. También se requiere que la
junta revise la efectividad de los controles, incluidos todos los controles
sobre las áreas financiera, operativa y de cumplimiento, así como los sistemas
de administración de riesgos.
En 2005, el Financial Reporting Council también publicó Control Interno
- Guía Revisada para Directores, en el Código Combinado, que es una revisión
del informe Turnbull publicado por primera vez en 1999. Esta guía asume que el
directorio de una compañía utiliza un enfoque basado en el riesgo para control
interno. La guía sugiere que, para evaluar los procesos de control y riesgo de
una empresa, se deben revisar los siguientes elementos:
·
Evaluación de riesgos;
·
Controlar el entorno y controlar las actividades;
·
Información y comunicación; y
·
Vigilancia.
La guía ofrece ejemplos de preguntas que podrían utilizarse para evaluar
la efectividad de los procesos de control y riesgo. Las preguntas relacionadas
con la evaluación de riesgos se centran en la presencia de objetivos claros, la
dirección efectiva en la evaluación de riesgos, los objetivos de desempeño
medibles, la identificación y evaluación de todos los riesgos de forma continua
y una comprensión clara de los riesgos aceptables.
INFORME KING II
El Informe King sobre Gobierno Corporativo para Sudáfrica (Informe King
II) se publicó en 2002 para promover el gobierno corporativo. Este informe
consta de cinco secciones:
·
Consejo y directores;
·
Gestión de riesgos;
·
Auditoría interna;
·
Informes integrados de
sostenibilidad; y
·
Contabilidad y Auditoría.
El Informe King II también incluye un apéndice sobre "gestión de
riesgos y controles internos".
Según este informe, el consejo es responsable del proceso de gestión de
riesgos y su eficacia. La junta debe:
·
Establecer políticas de estrategia de riesgo;
·
Evaluar el proceso de riesgo;
·
Evaluar las exposiciones a riesgos, tales como riesgos
físicos y operativos, riesgos de recursos humanos, riesgos tecnológicos,
continuidad de negocios y recuperación de desastres, riesgos de crédito y de
mercado y riesgos de cumplimiento;
·
Revisar el proceso de administración de riesgos y los
riesgos importantes que enfrenta la compañía; y
·
Ser responsable de las revelaciones de gestión de
riesgos.
ESTÁNDAR DE GESTIÓN DE RIESGOS POR LA FEDERACIÓN DE LA
ASOCIACIÓN EUROPEA DE GESTIÓN DE RIESGOS (FERMA)
Un consorcio de organizaciones estadounidenses, incluido el Instituto de
Gestión de Riesgos, la Asociación de Seguros y Gestores de Riesgos, y el Foro
Nacional para la Gestión de Riesgos en el Sector Público, publicaron un
Estándar de Gestión de Riesgos (RMS) en 2004. El RMS representa las mejores
prácticas que las empresas pueden comparar. No es un documento extenso, pero
proporciona un proceso de administración de riesgos, que incluye:
·
Vinculación con los objetivos estratégicos de la
organización;
·
Evaluación de riesgos, que el RMS desglosa en análisis
de riesgos, identificación de riesgos, descripción de riesgos, estimación de
riesgos y evaluación de riesgos.
·
Informe de riesgos;
·
Decisión;
·
Tratamiento de riesgos;
·
Informe de riesgo residual; y
·
Vigilancia.
IMA - UNA PERSPECTIVA GLOBAL SOBRE LA EVALUACIÓN DEL
CONTROL INTERNO SOBRE INFORMES FINANCIEROS
IMA desarrolló un marco basado en el riesgo para ayudar a la gestión de
la empresa en un cumplimiento rentable de los requisitos SOX 404 titulado “Una
perspectiva global sobre la evaluación del control interno sobre la información
financiera” (ICoFR); incluye autoevaluaciones por parte de los CFO y los
propietarios de procesos de los negocios.
El marco, se basa en los avances en las disciplinas de gestión de
calidad y riesgo global durante muchos años. Los requisitos de SOX 404 han
resultado en que las empresas más pequeñas que cotizan en bolsa se den de baja
o amenacen con la exclusión de su cotización; corporaciones más grandes deben
emplear personal a tiempo completo y consultores costosos para atender sus
programas de cumplimiento.
ICoFR se basa en gran medida en los avances en la gestión global de
riesgos, incluida la forma de considerar los riesgos una vez que se ha
establecido un contexto de seguridad con los objetivos comerciales adecuados.
El contexto de aseguramiento, en lo que se relaciona con SOX 404, son estados
financieros exentos de fallas, con un sistema efectivo de controles internos.
Sin embargo, el marco basado en el riesgo funciona igual de bien con otros
contextos / aplicaciones empresariales, como la planificación de la continuidad
del negocio, la gestión de operaciones y la optimización de costos.
El marco de la ICoFR también se basa en los principios tradicionales de
la Gestión de la Calidad Total (TQM). Por ejemplo, una vez que se ha
establecido el contexto de aseguramiento y se selecciona la cartera de control
inicial para abordar las amenazas al logro de los objetivos, el riesgo residual
que queda es cuantificable (por ejemplo, mediante el análisis de las tasas de
error histórico) y se prueba contra los límites preestablecidos. Esto ayuda a
determinar si el riesgo es aceptable o no.
STANDARD & POOR’S Y ERM
Standard & Poor´s (S&P) ha comenzado a incorporar la práctica de
ERM de una compañía en la calificación de S&P de la compañía. Actualmente,
S&P aplica esta calificación tanto a las instituciones financieras como a
las aseguradoras. Su marco para evaluar ERM en los bancos incluye una revisión
de las políticas, la infraestructura y la metodología de ERM. Las políticas
deben abordar la cultura del riesgo, el apetito y la estrategia; control y
seguimiento; y revelación y conocimiento. La infraestructura de ERM cubre
tecnología de riesgo, operaciones y capacitación de riesgo. La metodología se
refiere a la asignación de capital, la verificación de modelos y los métodos de
valoración.
El marco para evaluar a las aseguradoras incluye una evaluación de la
cultura de gestión de riesgos, controles de riesgos, gestión de riesgos
emergentes, modelos de capital y riesgo y gestión de riesgos estratégicos.
S&P califica a una aseguradora como débil, adecuada, fuerte o excelente.
Una calificación adecuada significaría que una aseguradora tiene sistemas de
control de riesgos en pleno funcionamiento para todos los riesgos importantes.
¿Te ha
gustado la información? ¡Compártela con otro auditor interno!
No hay comentarios:
Publicar un comentario