Auditoría Interna

El auditor y los principios de gestión de riesgos

Detalles

 

Por: CP Iván Rodríguez. Colaborador de Auditool 

Desde hace unos años se ha acentuado la preocupación de diferentes instancias por el tema de la gestión de riesgos. Organismos profesionales y académicos han emitido diferentes pronunciamientos, guías y herramientas al respecto. Por ejemplo, la Organización Internacional de Normalización (International Organization for Standardization - ISO) al introducir inicialmente ISO 31000 en 2009 y mejorar la norma en 2018, tenía la intención de proporcionar una guía para el diseño, la implementación y el mantenimiento de la gestión de riesgos. De manera similar, abunda literatura técnica al respecto.

Los principios básicos tradicionales que impulsan la toma de decisiones para priorizar y mitigar el riesgo seguramente sean conocidos por la mayoría de los auditores y gerentes de riesgos; sin embargo, una revisión de los conceptos básicos puede ser refrescante. El trabajo diario mantiene a todos tan ocupados que no siempre hay la oportunidad de repasar qué es la gestión de riesgos. Reforzar los principios puede ayudar a demostrar cómo un programa sólido de gestión de riesgos apoya el logro de la misión y visión de la organización.

En los diferentes marcos de riesgos es posible identificar algunos principios que permiten a los auditores, a la alta dirección de las organizaciones y a otros interesados, lograr una apropiada gestión de riesgos y facilitar la toma de decisiones en beneficio de los objetivos previstos. Normalmente se identifican los siguientes principios básicos de gestión de riesgos:

  • Identificación de riesgos
  • Análisis de riesgos
  • Control de riesgos
  • Financiación de riesgos
  • Gestión de reclamaciones

Estos principios se pueden aplicar a la mayoría de las situaciones o problemas en la vida cotidiana, una y otra vez, de manera inconsciente. Por ello, el uso de ejemplos sencillos en los programas de capacitación, por parte de los auditores, puede ser una herramienta didáctica eficaz a la hora de promover los aportes que la gestión de riesgos hace al éxito de la organización.

La identificación de riesgos es justo lo que parece: ¿qué riesgos se le presentan a la persona o a la organización al estar frente a un determinado escenario? Un ejemplo cotidiano es conducir un automóvil. Se puede identificar el riesgo de tener un accidente debido a un mantenimiento deficiente del automóvil, la falta de combustible en el tanque, el exceso de velocidad o conducir bajo la influencia del alcohol. Otros riesgos identificados pueden ser el riesgo de dañar la propiedad, ya sea el automóvil en sí o la propiedad de otra persona. Existe el riesgo de pérdida financiera, si no existe un seguro de responsabilidad civil adecuado, o si uno recibe una multa por exceso de velocidad, etc.

El análisis de los riesgos identificados busca una respuesta a la pregunta de qué es lo peor que podría pasar. En un lenguaje más técnico, es la frecuencia con que podrían ocurrir estos eventos adversos y, si sucede, el impacto o qué es lo peor que podría pasar. En el caso del automóvil, lo peor que podría pasar es que alguien pierda la vida. Un análisis adicional puede determinar que el riesgo de estar en un accidente automovilístico es bajo porque el conductor nunca está en la carretera, solo conduce con buen tiempo durante el día, en carreteras con un bajo límite de velocidad, con un automóvil bien mantenido, etc.

El control de riesgos ofrece oportunidades para evitar, prevenir y/o reducir los riesgos. En el ejemplo del automóvil, evitar el riesgo sería no poseer un automóvil o no viajar en un automóvil. En realidad, todavía existe una cantidad mínima de riesgo en el sentido en que la persona podría ser atropellada por un automóvil como peatón, pero, en algunos escenarios, el riesgo se puede evitar por completo. La prevención de riesgos tiene como objetivo reducir la frecuencia o probabilidad del evento o pérdida. Esto podría significar prevenir averías en el automóvil siguiendo los programas de mantenimiento e inspección, manteniendo el aire en los neumáticos y la gasolina en el tanque, y siguiendo todas las leyes de conducción. La reducción de riesgos tiene como objetivo reducir la gravedad de una pérdida particular que ya ha ocurrido, por ejemplo, garantizar que se reparen los daños a la propiedad del vehículo de otra persona rápidamente, pues el tiempo que está sin coche es limitado. El programa de control de riesgos implementado considerará las diversas estrategias ya implementadas, y puede introducir nuevas técnicas basadas en los hallazgos de la actividad de análisis.

Respecto del principio de la financiación de riesgos, es una forma de financiar las pérdidas que las técnicas de control de riesgos implementadas no lograron evitar. En el ejemplo, incluso con todo el mantenimiento adecuado en el automóvil, conducción segura, etc. un accidente aún puede ocurrir. Al tener un seguro de automóvil adecuado, la compañía de seguros genera fondos para pagar los daños al mismo.

Otro de los principios es la gestión de siniestros. Cuando ocurre una pérdida, se puede presentar un reclamo para recuperar los daños. En el ejemplo del automóvil, se puede presentar un reclamo ante la compañía de seguros del conductor culpable para recuperar el daño que ocurrió. Si el conductor culpable no estaba asegurado, puede ser necesario un curso de acción diferente para responsabilizar personalmente al conductor de pagar el daño.

Ahora bien, hay otros principios que, aunque menos obvios, vale la pena que los auditores tengan en cuenta en sus evaluaciones:

  • Establecer el alcance y el contexto de la estrategia

Una estrategia corporativa ganadora es aquella que puede explotar áreas en las que la organización sobresale de una manera relevante frente a sus competidores. Por lo tanto, la gestión de riesgos debe servir como guía cuando surja una nueva oportunidad o un riesgo significativo. Se debe diseñar un enfoque valioso de toma de decisiones a través de la gestión de riesgos para proporcionar información en caso que las suposiciones de la gerencia ejecutiva sobre los mercados, los clientes, la competencia, la tecnología, las regulaciones y otros factores externos sigan siendo válidos. El diálogo sobre la gestión de riesgos debe ser en el caso en el que se esperan cambios en estos factores ambientales externos y si pudieran alterar los fundamentos subyacentes a la estrategia empresarial. Esta es una capacidad de alerta temprana muy valiosa.

Para que la gestión de riesgos agregue valor, el enfoque debe estar en las áreas que se afectarán con la toma de decisiones. Los riesgos críticos representan las exposiciones que pueden amenazar la estrategia, el modelo de negocio y la viabilidad del negocio y, en consecuencia, deben merecer la mayor atención. La alta dirección también debe ser consciente de las tendencias emergentes desencadenadas por eventos imprevistos de diversa importancia, que van desde nuevos eventos catastróficos hasta riesgos existentes que se aceleran en su impacto.

Hay que tener en cuenta que las diferentes unidades de negocio pueden no estar utilizando el mismo lenguaje, por ello es complicado visualizar el contexto de riesgo real para la organización, puesto que puede haber malas interpretaciones. Es posible que esto lleve a que los riesgos se consideren en abstracto y no colectivamente, con vínculos entre ellos pasados por alto, lo que lleva a una empresa a no reconocer puntos débiles.

  • El tratamiento del riesgo no debe centrarse en lo obvio

Si bien hay riesgos evidentes, un ejercicio más útil para apoyar la toma de decisiones es buscar que el tratamiento de riesgos represente el escenario completo de los grandes supuestos estratégicos de los que depende la empresa. En lugar de reducir el tratamiento del riesgo a un único resultado más probable, hay que considerar grandes escenarios con diversas suposiciones futuras que permitan, en lo posible, identificar las principales fuerzas que impulsan el cambio externo y las incertidumbres clave. Los parámetros y límites de las incertidumbres se trazan y proporcionan un contexto basado en el riesgo para el tratamiento y la evaluación de las opciones estratégicas futuras.

A medida que los programas de gestión de riesgos continúan evolucionando hacia un modelo de riesgo empresarial, estos principios básicos aún se aplican. Integrar cada uno de los elementos anteriores en un proceso de toma de decisiones para gestionar la incertidumbre en la organización, permite que se agregue valor y se maximice la oportunidad de cumplir con la misión y la visión.

CP Iván Rodríguez

Auditor y consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado