Por: CP Iván Rodríguez. Colaborador de Auditool
En las organizaciones modernas, la gestión de riesgos se ha consolidado como un componente esencial de la gobernanza corporativa. Marcos normativos, políticas internas y herramientas tecnológicas buscan asegurar que los riesgos sean identificados, evaluados y reportados oportunamente. Sin embargo, se sigue presentando una situación que llama la atención: a pesar de contar con sistemas formales robustos, hay riesgos críticos que no se reportan o se descubren demasiado tarde. Esta situación se presenta, no por que haya fallas estructurales del sistema (aunque a veces ocurra) sino a una dimensión más compleja y menos visible: la barrera humana en la notificación de riesgos. En este contexto, el rol del auditor - especialmente en auditoría interna, gestión de riesgos o cumplimiento - adquiere una relevancia estratégica, no solo como evaluador, sino como agente de cambio cultural.
A pesar de contar con sistemas formales robustos, hay riesgos críticos que no se reportan. El problema, más que técnico, es cultural. No basta con evaluar la existencia del sistema; es necesario evaluar su uso real y efectivo.
Las organizaciones suelen diseñar marcos de reporte de riesgos bien estructurados, cuentan con procedimientos definidos, buenos canales de comunicación, herramientas tecnológicas y responsabilidades asignadas, lo cual los hace parecer completos. Sin embargo, en la práctica, se observa un fenómeno recurrente:
Esto evidencia que el problema, más que técnico es cultural. Para el auditor, esto implica un cambio de enfoque: no basta con evaluar la existencia del sistema; es necesario evaluar su uso real y efectivo.
¿Por qué no se reportan los riesgos?
La ausencia de reportes en muchos casos suele darse, bien sea por desconocimiento de los empleados o por su percepción de riesgo personal. Entre los factores más comunes se encuentran:
• Temor a consecuencias reputacionales o disciplinarias
• Incertidumbre sobre quién verá la información
• Cultura organizacional basada en la culpa
• Experiencias pasadas negativas al reportar incidentes
📊 La notificación selectiva y sus impactos estratégicos
Lo anterior deriva en una consecuencia crítica, que es la notificación selectiva en la cual se reportan riesgos menores (hay seguridad al comunicar) y se ocultan riesgos complejos o sensibles, dando como resultado un perfil de riesgo artificialmente bajo que no refleja la realidad organizacional. Esto tiene impactos estratégicos en la gestión del riesgo, tales como:
• Decisiones basadas en información incompleta
• Subestimación de riesgos emergentes
• Pérdida de oportunidades
• Fallos en la definición del apetito de riesgo
De "¿quién fue?" a "¿qué se puede aprender?"
Cuando la reacción organizacional ante un incidente se centra en "¿quién fue?" en lugar de "¿qué se puede aprender?", se genera una cultura de silencio. Por ello, el auditor debe considerar en sus evaluaciones, además de los controles, el clima organizacional así como el nivel de confianza en los canales de reporte Esto le da a la auditoría una dimensión más cualitativa y cultural. Dentro de los cuestionamientos que debe hacer el auditor están los siguientes:
• ¿El mapa de riesgos refleja la realidad o una versión incompleta?
• ¿Existen señales indirectas de riesgos no reportados?
• ¿Hay inconsistencias entre operaciones y reportes?
Ahora bien, el auditor debe tener en cuenta que la notificación de riesgos no es solo un proceso técnico, sino un proceso social basado en la confianza. Los empleados reportan cuando confían en que no serán castigados injustamente, entienden el propósito del reporte, perciben valor en el proceso y ven resultados concretos. Por ello es importante la manera en como se perciben los órganos de control al interior de las organizaciones. Normalmente hay dos posiciones, o son vistos como órganos de control punitivo o como socios estratégicos del negocio. En el primer caso, se aumenta la resistencia a reportar, se amplía la brecha entre negocio y control y se deteriora la comunicación. Es importante entonces que aquellas áreas que trabajan el tema de riesgos tengan visibilidad y construyan confianza. Esto se logra mediante presencia en reuniones operativas, mayor interacción informal, un buen conocimiento del negocio y el fortalecimiento de las relaciones personales. Para el auditor, esto implica pasar de ser un observador externo a ser actor integrado en la organización y en ese sentido, fortalecer la confianza en su trabajo, mejorar la calidad de la información que recibe y por tanto, lograr una detección temprana de riesgos. Cuando el órgano de control se percibe como un facilitador, los empleados sienten mayor apertura y disposición para reportar incidentes, lo que fortalece la gestión integral del riesgo. Además, es fundamental que la comunicación institucional refuerce la idea de aprendizaje y prevención, promoviendo una cultura donde el reporte se vea como una oportunidad para aprender y evitar futuros errores, no como un motivo de sanción.
🖥️ Las herramientas de reporte
Las herramientas de reporte también juegan un papel importante. Si bien el problema es principalmente cultural, el tener formularios complejos con campos ambiguos e interfaces poco intuitivas genera confusión, frustración al diligenciar con la consecuente desmotivación para reportar. Las organizaciones deben procurar que sus herramientas de reporte posean:
• interfaces simples, con campos claros y específicos,
• se usen plantillas y
• haya automatización, en cuanto sea posible.
El auditor debería entonces verificar el uso de las herramientas y las opiniones de sus usuarios.
🎓 La capacitación como elemento clave
De otra parte y como en muchos procesos, un elemento clave es la capacitación, especialmente en niveles operativos; por ejemplo, personal administrativo y/o atención al cliente, puesto que en la práctica son los principales gestores de riesgos. Los contenidos de las capacitaciones deben centrarse en temas críticos, tales como:
• qué se debe reportar,
• cómo reportar y
• las acciones posteriores luego del reporte.
El auditor, en relación con este tema debe evaluar programas de capacitación, verificar la comprensión real de los contenidos y promover la formación práctica y continua.
La eficacia de la notificación de riesgos no depende exclusivamente de la existencia de políticas o herramientas, sino de la confianza organizacional. Sin ella, incluso los sistemas más sofisticados fracasan. Las barreras humanas no son un obstáculo menor; son el factor crítico que determina si los riesgos son visibles o permanecen ocultos. En este escenario, el auditor desempeña un papel fundamental, más que ser evaluador, debe ser un impulsor de una cultura donde reportar riesgos sea percibido como un acto de responsabilidad y no de exposición.
Es necesario que el auditor transforme el enfoque tradicional y trascienda la evaluación de cumplimiento, la revisión documental y la validación de controles a una evaluación cultural, una auditoría del clima de confianza y revisión de incentivos y percepciones.
Como se aprecia, es necesario que el auditor transforme el enfoque tradicional de auditoría y trascender la evaluación de cumplimiento, la revisión documental y la validación de controles a una evaluación cultural, una auditoría del clima de confianza y revisión de incentivos y percepciones. De ahí la importancia de la permanente actualización de los auditores, no solo en temas técnicos de su trabajo, sino en aquellos asuntos relativos a las relaciones interpersonales, habilidades blandas y aspectos culturales pues son un valioso complemento a su labor.
CP Iván Rodríguez - CIE AF
Colaborador de Auditool
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Y luego Agregar a la pantalla de inicio.
Escribir un comentario