Juan Villanueva Chang
El enfoque de auditoría interna basada en
riesgos reconoce que primero, el eje central es atreverse a medir la madurez de
la gestión de riesgos por los auditores, y luego desarrollar su metodología de
trabajo.
Sea cual fuere el modelo de referencia a
emplear,[1] la
experiencia demuestra que pasar de un nivel de madurez a otro se suele dar en
un tiempo prolongado, el cual descansa en el empuje que se dé a la cultura de
riesgo en la organización.
“La
cultura del riesgo en particular se ha convertido en un objeto de atención y
debate por los reguladores y
otros órganos; sin embargo, no
hay consenso sobre exactamente
qué es o cómo podría ser manejado”. [2]
“La declaración
de la cultura de riesgo tiene que ser hecha a nivel superior por
la Junta. Esta declaración cae en cascada por la organización para influir en la cultura de riesgo.”[3]
Sin duda, el cambio del nivel de la madurez
de riesgos va de la mano con el avance de la cultura de riesgos, y éste último está
supeditado a la iniciativa de la alta dirección. En la práctica, si el auditor
hace su medición de la madurez de riesgos en apreciaciones generales de los niveles
estructurados para su evaluación, muchas
veces se deja de reconocer de los diferentes avances en los procesos auditados.
Para evitar que la medición del auditor en la
madurez de riesgo se realice en forma global sin poder mostrar avance
significativos en algunas materias auditadas, es necesario invocar a la
creatividad del auditor para enriquecer la medición de riesgos en los grados de
medición de un nivel a otro.
Por ejemplo, asumamos que hemos establecido
una escala de madurez de riesgos de 1 a 5, donde 3 es el nivel definido o
normal. Por lo general se trata de un estado en el que existe políticas y
metodología para evaluar el riesgo y que aún están iniciando formalmente en
desarrollar la metodología de evaluación de riesgos.
Esta escala o nivel de definido o normal
podría tener una subdivisión que nos permita incorporar los avances logrados,
como por ejemplo:
·
Se procedió a diagramar los procesos en forma
integral o parcial?
·
Se actualizó el manual de procedimientos
incorporando el perfil de riesgos y controles?
·
Los dueños del proceso realizan la evaluación
de riesgos en forma reiterativa sin apoyo del personal de la unidad de riesgos?
·
Existe la práctica reiterativa de divulgación
de la metodología de evaluación de riegos?
·
Se efectúan talleres para difusión de la
gestión de riesgos?.
·
Se realizan talleres para revisar los
informes de gestión de riesgos?
·
Se cuenta con reportes con propuestas de
mitigación de riesgos?
·
Se identifica claramente la determinación del
valor del riesgo inherente y residual?
·
Existe documentación formal que acredite la
evaluación de riesgos?
Este inventario de actividades puede ser
incorporado o agrupado en un grado o escala de avance como por ejemplo. 1,2,3 o
A,B,C en cada nivel de la madurez de riesgos.
Esta práctica a propuesta de actualización de
su escala de medición de madurez de riesgos por los auditores puede estimular a
las demás áreas a realizar el avance en la implementación de gestión de riesgos
y comenzar a dar los pasos iniciales para emigrar a la siguiente fase de
madurez de riesgos.
El esfuerzo que ponga el auditor en
hacer que la escala de madurez de riesgos sea permanentemente actualizada
contribuye en simultáneo el avance de su método de trabajo, estando respaldado
a su vez por la Guía para la Práctica del IIA “Selecting, Using and
Creating Maturity Models: A Tool for Assurance and Consulting Engagements” publicado
el 2013.
¿Te ha gustado
la información? ¡Compártela con otro auditor interno!
[1] Capacity Maturity
Model (CMM), Towards a Risk Maturity Model, Measuring Risk Management Maturity
in UK MoD Projects, Aon Risk Maturity Index, A benchmarking tool from Human
Resources Development risk management practices in the organization.
[2] Simon
Ashby, Tommaso Palermo y Michael Power, (Nov. 2012), “Risk Culture in
Financial Organizations: An interim reporte”, Accounting & Finance with
Plymouth University.
[3] Mark Laycock (2014),
“Risk management at the top: Guide to Risk and its Governance in Financial
Institutions
No hay comentarios:
Publicar un comentario