Auditoría Interna

En torno a la auditoría de la gestión de riesgos

Detalles
Categoría de nivel principal o raíz: Blog
Auditoría Interna

Al observar hace algunos años como se adopta la gestión de riesgos en una organización, comparto lo señalado en algunas encuestas que señalan que no existe un modelo único de gestión de riesgos para una entidad. Cada cual define su propia gestión de riesgos luego de algunos intentos y de lograr el grado de madurez de su cultura organizacional.

Quienes hemos experimentado la progresiva implementación de la gestión de riesgos, indudablemente entendemos que existe una correlación directa respecto a su adopción: tamaño vs  la  especialización de sus actividades. Por consiguiente, ésta evoluciona con el ciclo del negocio.

Una cultura de gestión de riesgos (según el ISO 31000) requiere de la existencia de la siguiente plataforma:

  • Estrategia respecto al riesgo: Su incorporación en la gestión estratégica y definir el apetito al riesgo
  • Ambiente organizacional: Sensibilización permanente y medidas de control de desempeño
  • Infraestructura de riesgos: Políticas, organización, sistemas
  • Proceso de riesgos: Cumplir el establecimiento del contexto, identificación, evaluación, análisis, mitigación del riesgo, control y monitoreo

A propósito del ISO 31000, es  un documento práctico que ayuda a las organizaciones a desarrollar su propio enfoque de gestión de riesgos. No es un estándar para optar una certificación, son sugerencias para compararse con las mejores prácticas.

La gestión de riesgos se refiere a la arquitectura:

  • Principios para la gestión de riesgos
  • Estructura de soporte o marco de gestión de riesgos
  • Proceso de gestión de riesgos

El manejo de riesgos trata de la aplicación de aquella arquitectura a una entidad en particular.

Para auditar la gestión de riesgos se debe comprobar que exista documentación que permita conocer que la gestión de riesgos se conduce apropiadamente, proveer evidencia que se  identifica y analizan los riesgos y que se divulgue abiertamente la base de incidentes para conocimiento de toda la organización.

Se debe conocer quienes son los responsables y los niveles de aprobación para la implementación de la gestión de riesgos, así como recibir facilidades para el permanente monitoreo y revisión. Verificar en detalle de las frecuentes revisiones de la gestión de riesgos como un todo, su monitoreo y adopción de medidas correctivas.

Entre los principales documentos a revisar se tiene: Política de gestión de riesgos, registros de amenazas y evaluación de riesgos, programa de tratamiento de los riesgos y plan de acción para mitigar riesgos, entre otros.

Un programa de riesgos debe permitir conocer ¿Quién tiene la responsabilidad de la implementación del plan? ¿Qué recursos se van a emplear? ¿Qué presupuesto se asignó? ¿Cuál es el cronograma de implementación?  ¿Cuáles son los detalles del mecanismo y frecuencia de la revisión del cumplimiento del plan de tratamiento de los riesgos?

Usualmente, los factores que dificultan o demoran la implementación de la gestión de riesgos se deben a:

  • Enfoque de gestión de riesgos diseñado en forma deficiente
  • Dificultad para lograr la sensibilización de la cultura de riesgos en todos los niveles
  • Recursos humanos y técnicos deficientes para implementar la gestión de riesgos
  • Incapacidad de mantener y sostener impulso del proyecto de gestión de riesgos
  • Dificultad para entender que la gestión de riesgos es integral y su supervisión resulta ineficaz

Finalmente, el auditor no debe perder de vista que la gestión de riesgos debe ser parte de la toma de decisiones de todos los procesos de la organización, limitado por los resultados de su análisis de impacto y probabilidad de ocurrencia, así como del nivel de tolerancia.

Por: Juan Alberto Villanueva Chang

Publicado en el Blog de Nahun Frett -http://nahunfrett.blogspot.com/

 Nahun Frett

Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de Auditool

Santo Domingo, República Dominicana

Escribir un comentario

Enviar
Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado