La gestión de riesgos tiene como objetivo añadir valor sostenible a la organización, da un plus y una ventaja frente al mercado y al entorno en el cual se desempeña, es una pieza clave de la gestión estratégica de las organizaciones.
La gestión de riesgo empresarial (ERM) es un proceso estructurado, consistente y continúo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. Cada organización es única y tiene su propio estilo para gestionar los recursos, sortear las situaciones del día a día, conseguir los resultados e incluso visionar el futuro de la empresa. Es en este punto en el que la gestión de riesgos se vuelve una pieza clave en el logro de los objetivos y de acá se desprende una labor ardua en la tarea de generar una cultura de gestión de riesgos para lograr impregnar a toda la organización de ello, logrando así involucrar a todos a través de la capacitación y generación de conciencia.
Hoy por hoy las organizaciones se ven avocadas a implementar sistemas de gestión de riesgos que les permita identificar y gestionar adecuadamente los riesgos que tienen impacto en el cumplimiento de los objetivos. Las compañías tienen una mayor conciencia del impacto positivo que les genera una adecuada gestión de riesgos y en esta medida se ven bajo la presión de identificar todos los riesgos del negocio a los que se enfrentan; sociales, éticos, ambientales, financieros y operacionales. Pero más allá de la intención de atender esta necesidad, vemos que son varios los actores que confluyen en esta actividad y que cada actor aporta una parte fundamental en el proceso, así que la responsabilidad no está delimitada únicamente al máximo órgano ni tampoco es exclusiva del área de auditoría interna. Es importante que todos los actores, desde la junta directiva, pasando por la alta dirección, los líderes de procesos y hasta el personal de apoyo se involucren en la gestión de riesgos.
La auditoría interna, en su rol de aseguramiento, contribuye a la gestión de riesgos en formas variadas, sin embargo, no debe desconocerse que esta área no debe tener ciertas actuaciones en la gestión de riesgos empresariales que comprometan la objetividad e independencia.
Suele confundirse el papel desempeñado por el auditor interno, pues muchas organizaciones delegan en estas actividades que le hacen perder objetividad e independencia, comprometiendo la efectividad del sistema de gestión de riesgos. El Instituto de Auditores Internos de RU e Irlanda publicó una Declaración de Posición sobre El Rol de la Auditoría Interna en la Gestión de Riesgo, para proveer una guía a sus miembros sobre los roles que están permitidos y las salvaguardas necesarias para proteger la objetividad e independencia de la auditoría interna. Algunos roles que la auditoría interna no debe realizar son: establecer el apetito de riesgo, imponer procesos de gestión de riesgo, manejar el aseguramiento sobre los riesgos, tomar decisiones en respuesta a los riesgos, implementar respuestas a riesgos a favor de administración y tener responsabilidad de la gestión de riesgo (The Institute of Internal Auditors, 2004, Pág. 2).
La auditoría interna de cara al sistema de gestión de riesgos es un órgano consultor independiente y objetivo, no impone riesgos, Mario Ambrosone en su texto La administración del Riesgo Empresarial: una responsabilidad de todos – El Enfoque COSO el papel de los auditores internos, destaca:“Los auditores internos desempeñan un rol clave en evaluar la efectividad de la gestión de riesgos, así como en la recomendación de aspectos susceptibles de mejora.”
Entonces el papel del auditor interno en las organizaciones debería configurarse como un actor que va a proveer a la organización de un nivel de aseguramiento alto en materia de gestión de riesgos, donde el sistema de control interno se convierte en una herramienta para la gestión que cambia permanentemente en función de las estrategias de negocio, los cambios de tecnología, la trasformación de las regulaciones normativas y la evolución de las estructuras organizacionales, entre múltiples variables. Es por ello que es determinante avanzar hacia la noción de un equipo interdisciplinario que interviene y tiene responsabilidad en el sistema de administración de riesgos.
La siguiente tabla fue tomada de la publicación “The Institute of Internal Auditors IIA; El Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial”. En este se describe el rango de las actividades de gestión de riesgos empresariales e indica cuáles roles corresponden a una función de auditoría interna profesional efectiva.
| Roles principales de la auditoría interna respecto al ERM | Roles legítimos de auditoría interna realizados con salvaguarda | Roles de auditoría interna que no debe realizar |
| Brindar aseguramiento sobre procesos de gestión de riesgo. Brindar aseguramiento de que los riesgos son correctamente evaluados. Evaluación de los procesos de gestión de riesgo. Evaluación de reporte de riesgos claves. Revisión del manejo de los riesgos claves. | Facilitación, identificación y evaluación de riesgos. Entrenamiento a la gerencia sobre respuesta a riesgos. Coordinación de actividades de ERM. Consolidación de reportes sobre riesgos. Mantenimiento y desarrollo del marco de ERM. Desarrollo de estrategias de gestión de riesgo para aprobación de la junta. | Establecer el apetito de riesgo. · Imponer procesos de gestión de riesgo. Manejar el aseguramiento sobre los riesgos. Tomar decisiones en respuesta a los riesgos. Implementar respuestas a riesgos a favor de administración. Responsabilidad de la gestión. |
Zulima López Arango
Salary Partner
Russell Bedford – Medellín, Colombia