El papel de la auditoría interna en la gestión de riesgos en toda la empresa

TRADUCCION : ANA LAURA BLANCAS RODRIGUEZ

                                                                                                                                   29 de septiembre de 2004

El papel de la auditoría interna en la gestión de riesgos en toda la empresa

Junto con el nuevo comité de organizaciones patrocinadoras de la gestión de riesgo empresarial de la comisión de rodamiento (COSO). El Instituto de Auditores Internos (IIA), en coordinación con su filial irlandesa e irlandesa, ha publicado un documento de posición sobre el papel de la auditoría interna en la gestión del riesgo en toda la empresa. El objetivo de los documentos es ayudar a los ejecutivos de auditoría (CAes) a responder a los problemas de gestión de riesgos empresariales (ERM) en su organización. El documento sugiere formas para que los auditores internos mantengan la objetividad e independencia requeridas por los estándares internacionales del IIA para la práctica profesional de auditoría interna (estándares) al proporcionar servicios de aseguramiento y consultoría.

El papel central de la auditoría interna con respecto a ERM es proporcionar seguridad objetiva al consejo sobre la eficacia de las actividades de ERM de una organización para ayudar a garantizar que los riesgos clave del negocio se gestionan adecuadamente y que el sistema de control interno está funcionando eficazmente.

Introduccioni

Se ha reconocido cada vez más la importancia de un gobierno corporativo sólido para gestionar el riesgo. Las organizaciones están bajo presión para identificar todos los riesgos de negocio que enfrentan; Sociales, éticos y ambientales, así como financieros y operativos, y explicar cómo los gestionan a un nivel aceptable. Mientras tanto, el uso de marcos de gestión de riesgos en toda la empresa se ha expandido, ya que las organizaciones reconocen sus ventajas sobre los enfoques menos coordinados de la gestión de riesgos. La auditoría interna, tanto en su función de aseguramiento como en su función de consultoría, contribuye a la gestión del riesgo de diversas maneras.

¿Qué es la Administración de Riesgo para toda la Empresa?

Las personas realizan actividades de gestión de riesgos para identificar, evaluar, administrar y controlar todo tipo de eventos o situaciones. Estos pueden ir desde proyectos individuales o tipos de riesgo estrechamente definidos, p. Riesgo de mercado, a las amenazas y oportunidades que enfrenta la organización en su conjunto. Los principios presentados en este documento pueden utilizarse para orientar la participación de la auditoría interna en todas las formas de gestión de riesgos, pero estamos particularmente interesados ​​en la gestión del riesgo en toda la empresa, ya que es probable que mejore los procesos de gobierno de una organización.

Gestión de riesgos en toda la empresa (ERM)

 Es un proceso estructurado, consistente y continuo en toda la organización para identificar, evaluar, decidir sobre las respuestas a las oportunidades y las amenazas que afectan el logro de sus objetivos.

Responsabilidad de ERM

El consejo tiene la responsabilidad general de asegurar que los riesgos son gestionados. En la práctica, el consejo delegará el funcionamiento del marco de gestión de riesgos al equipo directivo, que será responsable de completar las actividades a continuación. Puede haber una función separada que coordine y proyecte-gestione estas actividades y trae para llevar habilidades y conocimiento especializados. Todos los miembros de la organización desempeñan un papel importante para garantizar el éxito de la gestión de riesgos en toda la empresa, pero la responsabilidad principal de identificar los riesgos y administrarlos recae en la administración.

Beneficios de ERM

Puede hacer una contribución importante para ayudar a una organización a manejar los riesgos para lograr sus objetivos. Los beneficios incluyen:

• Mayor probabilidad de lograr esos objetivos;

• Informes consolidados de riesgos dispares a nivel de la junta directiva;

• Mejor comprensión de los principales riesgos y sus implicaciones más amplias;

• Identificación y compartición de riesgos comerciales cruzados;

• Mayor enfoque de la gerencia en los asuntos que realmente importan;

• Menos sorpresas o crisis;

• Más enfoque interno en hacer las cosas correctas de la manera correcta;

• Aumento de la probabilidad de que se logren iniciativas de cambio;

• Capacidad para asumir un mayor riesgo de mayor recompensa y

• Tomar más riesgos informados y tomar decisiones.

Las actividades incluidas en el MTC

• Articular y comunicar los objetivos de la organización;

• Determinar el apetito por el riesgo de la organización;

• Establecer un entorno interno adecuado, incluido un marco de gestión de riesgos; Identificar posibles amenazas para el logro de los objetivos;

• Evaluar el riesgo (es decir, el impacto y la probabilidad de que ocurra la amenaza);

• Seleccionar e implementar respuestas a los riesgos;

• Realizar actividades de control y otras actividades de respuesta;

• Comunicación de la información sobre los riesgos de manera coherente en todos los niveles de la organización; Supervisar y coordinar centralmente los procesos de gestión de riesgos y los resultados, y Proporcionar garantías sobre la eficacia con la que se gestionan los riesgos

Proporcionar garantías sobre ERM

Uno de los requisitos clave del consejo o su equivalente es obtener la seguridad de que los procesos de gestión de riesgos están funcionando eficazmente y que los riesgos clave se están administrando a un nivel aceptable.

 Es probable que la seguridad provenga de diferentes fuentes. De estos, la garantía de la dirección es fundamental. Esto debería complementarse con una garantía objetiva, para la cual la actividad de auditoría interna es una fuente clave. Otras fuentes incluyen auditores externos y revisiones de especialistas independientes. Los auditores internos normalmente ofrecen garantías en tres áreas:

• Procesos de gestión de riesgos, tanto en su diseño como en su funcionamiento;

• Gestión de los riesgos clasificados como "claves", incluyendo la efectividad de los controles y otras respuestas a ellos; y

• Evaluación fiable y apropiada de los riesgos y notificación del riesgo y del estado de control.

El papel de la auditoría interna en el ERM

La auditoría interna es una actividad independiente y objetiva de aseguramiento y consultoría. Su rol fundamental en el MRE es proporcionar una garantía objetiva al consejo sobre la efectividad de la gestión de riesgos. De hecho, la investigación ha demostrado que los directores de la junta y los auditores internos están de acuerdo en que las dos formas más importantes en que la auditoría interna aporta valor a la organización son proporcionar garantías objetivas de que los principales riesgos empresariales se gestionan adecuadamente y Ofreciendo garantías de que el marco de gestión de riesgos y de control interno funciona de manera eficaz1.

La Figura 1 presenta una serie de actividades de ERM e indica qué funciones debe desempeñar una actividad de auditoría interna profesional eficaz y, lo que es igualmente importante, no debe emprender. Los factores clave a tener en cuenta al determinar el rol de la auditoría interna son si la actividad plantea cualquier amenaza a la independencia y objetividad de la actividad de auditoría interna y si es probable que mejore los procesos de administración, control y gobernanza de la organización.

Las actividades a la izquierda de la Figura 1 son todas actividades de aseguramiento. Forman parte del objetivo más amplio de garantizar la gestión de riesgos. Una actividad de auditoría interna que cumpla con las Normas Internacionales para la Práctica Profesional de Auditoría Interna puede y debe realizar por lo menos algunas de estas actividades.

La auditoría interna puede proporcionar servicios de consultoría que mejoren los procesos de gobierno, gestión de riesgos y control de una organización. El alcance de la consultoría interna del auditor en ERM dependerá de los otros recursos, internos y externos, disponibles para el consejo y en la madurez de riesgo2 de la organización y es probable que varíe con el tiempo. La experiencia del auditor interno en la consideración de los riesgos, en la comprensión de las conexiones entre los riesgos y la gobernabilidad y en la facilitación significa que la actividad de auditoría interna está bien calificada para actuar como promotora e incluso gerente de proyecto para ERM, especialmente en las primeras etapas de su introducción. A medida que aumenta la madurez del riesgo de la organización y la gestión del riesgo se vuelve más intrínseca en las operaciones del negocio, la función de auditoría interna en la defensa de ERM puede reducir. Del mismo modo, si una organización emplea los servicios de un especialista o función de gestión de riesgos, es más probable que la auditoría interna dé valor concentrándose en su función de aseguramiento que mediante la realización de las actividades de consultoría más. Sin embargo, si la auditoría interna aún no ha adoptado el enfoque basado en el riesgo representado por las actividades de aseguramiento a la izquierda de la Figura 1, es poco probable que esté equipado para llevar a cabo las actividades de consultoría en el centro.

...