Es innegable al inicio el celo por el privilegio de manejar la información de riesgos entre el auditor interno y los que están a cargo de la implementación y desarrollo del ERM.
La información oportuna sobre gestión de riesgos es fundamental para emigrar hacia una auditoría basada en riesgos. El temor a entregar este tipo de información a los auditores, por lo general obedece a la ausencia de una sólida cultura de riesgos, lo que hace que sea bastante tedioso obtener y manejar dicha información.
A medida que aumenta la madurez del riesgo y la gestión de riesgos se encuentre integrada a los procesos, es probable que mejore la comunicación con auditoría interna.
Fuente: IIA Position Paper: The Role of Internal Auditing in Enterprise – Wide Risk Management - 2009
Si actuamos minuciosamente en los niveles que fijan los documentos del IIA respecto al rol de auditoría en el ERM con salvaguarda; por ejemplo, para facilitar la identificación y evaluación de riesgos, los auditores podrían:
- Poner a disposición de la administración algunas técnicas y herramientas utilizadas por el auditor para identificar los puntos críticos. Entre ellas proporcionar un mapa de debilidades de control histórico por perfil de riesgos en la organización.
- Actuar como facilitadores en la realización de talleres de autoevaluación de riesgos y controles (RCSA).
- Enriquecer el inventario de amenazas de riesgos de la organización.
En cuanto a los entrenamientos a la Gerencia sobre la respuesta al riesgo, es valiosa la asesoría que pueden dar los auditores en el diseño de medidas de control para mitigar riesgos. Por otro lado, para fortalecer la coordinación de actividades del ERM los auditores pueden aprovechar las competencias y conocimiento de la organización; también dictando charlas al personal de la entidad para lograr la sensibilización en la gestión de riesgos y controles, así como roles y responsabilidades en estos temas.
Con relación a la consolidación de reportes sobre riesgos, los auditores pueden contribuir con datos de las debilidades de control y el cumplimiento de las recomendaciones que obtienen al evaluar la marcha del sistema de control interno, con énfasis en uno de sus principales componente de control como es la evaluación de riesgos.
En el mantenimiento así como defender el establecimiento del ERM, auditoría interna juega un rol preponderante, sobre todo en instituciones pequeñas, donde resulta imposible constituir una unidad encargada de implementar la gestión de riegos. Auditoría interna debe cuidar que su asesoramiento no lo haga responsable de ningún rol en la gestión de riesgos.
Finalmente, para desarrollar estrategias conjuntas de gestión de riesgos para aprobación de la Junta se puede lograr mediante el intercambio de aspectos relevantes que fluye entre el Comité de Auditoría y el Comité de Riesgos.
Por: Juan Alberto Villanueva Chang
Publicado en el Blog de Nahun Frett -http://nahunfrett.blogspot.com/
Nahun Frett
Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de Auditool
Santo Domingo, República Dominicana
Y luego Agregar a la pantalla de inicio.