lunes, 17 de noviembre de 2014

Creatividad permanente de la madurez de riesgos por el auditor interno

Juan Villanueva Chang
El enfoque de auditoría interna basada en riesgos reconoce que primero, el eje central es atreverse a medir la madurez de la gestión de riesgos por los auditores, y luego desarrollar su metodología de trabajo.

Sea cual fuere el modelo de referencia a emplear,[1] la experiencia demuestra que pasar de un nivel de madurez a otro se suele dar en un tiempo prolongado, el cual descansa en el empuje que se dé a la cultura de riesgo en la organización.

“La cultura del riesgo en particular se ha convertido en un objeto de atención y debate por los reguladores y otros órganos; sin embargo, no hay consenso sobre exactamente qué es o cómo podría ser manejado”. [2]

“La declaración de la cultura de riesgo tiene que ser hecha a nivel superior por la Junta. Esta declaración cae en cascada por la organización para influir en la cultura de riesgo.”[3]

Sin duda, el cambio del nivel de la madurez de riesgos va de la mano con el avance de la cultura de riesgos, y éste último está supeditado a la iniciativa de la alta dirección. En la práctica, si el auditor hace su medición de la madurez de riesgos en apreciaciones generales de los niveles estructurados para su evaluación,  muchas veces se deja de reconocer de los diferentes avances en los procesos auditados.

Para evitar que la medición del auditor en la madurez de riesgo se realice en forma global sin poder mostrar avance significativos en algunas materias auditadas, es necesario invocar a la creatividad del auditor para enriquecer la medición de riesgos en los grados de medición de un nivel a otro.    

Por ejemplo, asumamos que hemos establecido una escala de madurez de riesgos de 1 a 5, donde 3 es el nivel definido o normal. Por lo general se trata de un estado en el que existe políticas y metodología para evaluar el riesgo y que aún están iniciando formalmente en desarrollar la metodología de evaluación de riesgos.

Esta escala o nivel de definido o normal podría tener una subdivisión que nos permita incorporar los avances logrados, como por ejemplo:

·         Se procedió a diagramar los procesos en forma integral o parcial?
·         Se actualizó el manual de procedimientos incorporando el perfil de riesgos y controles?
·         Los dueños del proceso realizan la evaluación de riesgos en forma reiterativa sin apoyo del personal de la unidad de riesgos?
·         Existe la práctica reiterativa de divulgación de la metodología de evaluación de riegos?
·         Se efectúan talleres para difusión de la gestión de riesgos?.
·         Se realizan talleres para revisar los informes de gestión de riesgos?
·         Se cuenta con reportes con propuestas de mitigación de riesgos?
·         Se identifica claramente la determinación del valor del riesgo inherente y residual?
·         Existe documentación formal que acredite la evaluación de riesgos?

Este inventario de actividades puede ser incorporado o agrupado en un grado o escala de avance como por ejemplo. 1,2,3 o A,B,C en cada nivel de la madurez de riesgos.

Esta práctica a propuesta de actualización de su escala de medición de madurez de riesgos por los auditores puede estimular a las demás áreas a realizar el avance en la implementación de gestión de riesgos y comenzar a dar los pasos iniciales para emigrar a la siguiente fase de madurez de riesgos.

El esfuerzo que ponga el auditor en hacer que la escala de madurez de riesgos sea permanentemente actualizada contribuye en simultáneo el avance de su método de trabajo, estando respaldado a su vez por la Guía para la Práctica del IIA  Selecting, Using and Creating Maturity Models: A Tool for Assurance and Consulting Engagements” publicado el 2013.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!



[1] Capacity Maturity Model (CMM), Towards a Risk Maturity Model, Measuring Risk Management Maturity in UK MoD Projects, Aon Risk Maturity Index, A benchmarking tool from Human Resources Development risk management practices in the organization.
[2]  Simon Ashby, Tommaso Palermo y Michael Power, (Nov. 2012), “Risk Culture in Financial Organizations: An interim reporte”, Accounting & Finance with Plymouth University.
[3] Mark Laycock (2014), “Risk management at the top: Guide to Risk and its Governance in Financial Institutions

No hay comentarios:

Publicar un comentario