El rol del auditor interno en la gestión de riesgos se precisa en el documento emitido por el IIA “Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management”, publicado el 2009. Este ratifica la vigencia del tema ya divulgado en una publicación conjunta por la organización COSO, el IIA de EE.UU. y el IAI del Reino Unido e Irlanda en el 2004.
Es sin duda un texto obligado de consulta para avanzar hacia un enfoque de auditoría basada en riesgos, dando por descontado el conocimiento que se debe tener del grado de madurez de la gestión de riesgos en su organización.
Como se resalta en el escrito antes señalado, el verdadero rol que le compete al auditor interno en la gestión de riesgos es:
- Brindar aseguramiento sobre el proceso de gestión de riesgos y que sean evaluados correctamente
- Evaluar los procesos de gestión de riesgos, el manejo y los reportes de riesgos claves
El mismo texto añade como roles legítimos para actuar, previa salvaguardas de la dirección, lo siguiente:
- Facilitar la identificación y evaluación de riesgos
- Asesorar a la dirección para dar respuesta a los riesgos
- Coordinar las actividades de gestión de riesgos
- Contribuir a consolidar los reportes sobre riesgos
- Colaborar con el mantenimiento y desarrollo de la gestión de riesgos
- Desarrollar estrategias de gestión de riesgos para aprobación de la Junta
Sin temor a equivocarnos, se experimenta una conducta casi generalizada cuando el auditor, para desarrollar su trabajo, al momento de solicitar información sobre la identificación y evaluación de riesgos a los responsables (dueño del proceso o unidad de riesgos). Se suele recibir datos imprecisos o carecen de valor para los fines pertinentes.
Esta actitud probablemente sea, sobre todo donde es incipiente la cultura de riesgos, por la duda en la efectividad del trabajo efectuado, especialmente cuando se emplean registros inconsistentes de eventos o incidentes de riesgo pasados.
En consideración a que la gestión de riesgos involucra al control, y de acuerdo al mayor detalle que se conoce sobre el rol legítimo del auditor interno en la gestión de riesgos[1], el auditor puede contribuir con proporcionar datos complementarios para enriquecer la evaluación de riesgos, esto se puede realizar mediante la construcción de un mapa de debilidades de control histórico. En él se puede divulgar el resultado y comportamiento por procesos o áreas de las debilidades de control identificadas en auditorías pasadas, datos a los que sí tiene total acceso el auditor en sus papeles de trabajo.
El llenado de la gráfica anterior puede ayudar, tanto a auditores como a gestores de riesgos, a tener una visión global del comportamiento de las debilidades de control por las áreas del negocio. El arte en su construcción queda a criterio e imaginación del auditor, especialmente para intentar elaborar una correlación entre la frecuencia de las debilidades de control, tipo de riesgos y por impacto expuesto al riesgo.
En síntesis, consiste en un mecanismo de información de ayuda recíproca con los responsables de riesgos, fortalece la comunicación y mejora los métodos de trabajo para lograr una eficiente gestión de riesgos y efectiva auditoría.
[1] Paul J. Sobel, CIA (2011) “Internal Auditing´s Role in Risk Management”, Research Foundation - IIA
Juan Alberto Villanueva Chang
Subgerente de Planeamiento de Auditoría del Banco Central de Reserva del Perú; cuenta con 38 años de experiencia en diversas áreas de la misma entidad. Estudió Economía en la Universidad Particular Inca Garcilaso de la Vega y cuenta con un Posgrado en Análisis Monetario en la Universidad Nacional de San Marcos. Colaborador del blog de Nahun Frett y Auditool.
Artículo Publicado en el Blog de Nahun Frett - http://nahunfrett.blogspot.com/
Y luego Agregar a la pantalla de inicio.
Escribir un comentario