En el otoño de 2014, el Centro para la Calidad en Auditoría (CAQ) y el Instituto de Auditores Internos (IIA) copatrocinaron tres mesas redondas en Houston, San Diego, y Kansas. Con la asistencia de auditores internos, externos y presidentes de los comités de auditoría, las mesas redondas proporcionaron a los diferentes grupos la oportunidad de hablar de sus funciones y responsabilidades, sus principales desafíos y las prácticas que lideraban.
Los comités de auditoría son el eje de los auditores internos y externos, y están por lo tanto posicionados para maximizar las funciones de cada grupo, donde hay responsabilidades compartidas. En este contexto, los participantes de la mesa tuvieron una conversación franca y sólida sobre sus funciones y responsabilidades, sus principales desafíos y las prácticas que lideraban. Describieron su interacción con los demás, y cómo sus relaciones podrían mejorarse. El objetivo era ayudar a las empresas a evaluar cómo las tres partes podrían aprovechar sus capacidades de manera más eficaz para mejorar la gestión de riesgos y el uso del trabajo de otros, en auditoría externa, en sus organizaciones. En el transcurso de los debates surgieron tres temas centrales:
- Aprovechar las relaciones de las partes interesadas para optimizar la Gestión de Riesgo Empresarial (GRE)
- Auditoría externa: retos para la relación laboral entre los auditores internos y externos
- La comunicación y la construcción de relaciones entre la auditoría externa e interna, y el comité de auditoría.
Este resumen presenta ideas que se agrupan en torno a estos tres temas principales. El conocimiento descrito en este documento puede ayudar a desarrollar prácticas importantes y servir como un trampolín para programas de desarrollo profesional.
1. Aprovechar las relaciones de las partes interesadas para optimizar la GRE
«Cada auditoría de estados financieros comienza con pensar en el riesgo... Gestión, auditoría interna y auditoría externa, todos empiezan en el mismo lugar, que es la comprensión del negocio y, luego, el riesgo en el negocio. La GRE es una gran manera de hacer esto. Es el lugar donde todo el mundo puede unirse y comenzar el proceso de pensar en el riesgo.»
Estas ideas, expresadas por un auditor externo en una mesa redonda, fueron repetidas continuamente por los demás asistentes ya que fomentan un acercamiento integral, de toda la entidad, al riesgo; en lugar de un enfoque aislado y transaccional. El aumento del nivel de interés en la adopción de Gestión del Riesgo Empresarial y desarrollo para manejar la incertidumbre en las operaciones de una empresa se ve reforzada por un entorno de riesgo caracterizado por:
- Amenazas de fraude provenientes del riesgo cibernético, agravadas por uso generalizado de dispositivos móviles y de la nube informática.
- Ampliación de las exigencias normativas por la aprobación de una nueva legislación y/o por la creación de reglamentación adicional para la legislación vigente.
- Globalización, aumentada y acelerada por medios de comunicación social.
- Continua evolución de nuevas relaciones de negocios, a menudo incluyendo un uso intensivo de terceras partes para las necesidades críticas de negocio.
Estas condiciones hacen que la implementación de la GRE sea más importante que nunca. Sin embargo, aunque el objetivo de la GRE, en sí, genera poca oposición de los participantes; sus comentarios sobre su adopción y ejecución reflejan una amplia gama de retos y logros. La mayoría de los asistentes eran optimistas sobre la GRE y los informes de progreso fueron mucho más numerosos que los de contratiempos. Pero, incluso en los casos en los cuales fueron exitosamente implementados, los desafíos continuaron; algunos participantes dijeron que tuvieron que repetir varias veces la GRE antes de conseguir que les quedara bien.
El estado de la GRE en una organización, naturalmente, afecta la forma en que las principales partes interesadas trabajan juntas, así como la frecuencia y la naturaleza de sus comunicaciones. La gestión de riesgos puede ser fuerte en muchos departamentos, grupos y lugares, pero todavía sigue siendo insuficiente a nivel de la entidad. Por lo tanto, mucho del esfuerzo se enfocará en aprovechar las fortalezas existentes en la gestión de riesgo y en integrarlas en una estructura de GRE. Como lo expresó un auditor interno:
«Nuestra compañía tiene muchas actividades aisladas de evaluación riesgos. La dirección observa esta situación y dice: ‘Tenemos gestión riesgo en toda la organización, no hay manera de que no estemos cubiertos’. Sin embargo, cuando se aborda la gestión del riesgo de esta forma, hay ciertos riesgos que se cubren en exceso y otros que se cubren de manera insuficiente. ¿Cómo se pueden agrupar dichos riesgos y los que faltan? ... No puede saberse hasta que se reúna todo en una GRE completa.»
Cultivando GRE: líderes de riesgo, facilitadores, y administradores
Un tema recurrente de las mesas redondas fue el papel clave del “líder de riesgo” ―una persona o grupo que reconoce la necesidad de una GRE sólida y que está decidido a sacarla adelante en la organización. Partiendo de su chispa, la llama de la GRE puede ser alimentada y mantenida por otros en la compañía, que pueden asumir diferentes funciones en el transcurso de la introducción, el desarrollo y la administración de la GRE.
Jefes ejecutivos
Los CEOs son “los máximos responsables y deben asumir que la gestión de riesgo les corresponde” . Algunos asistentes citaron ejemplos en los que el director general era el líder de riesgo también. Hubo un fuerte consenso en que, bien sea que el CEO lleve la carga o preste su apoyo, ganarse el compromiso del jefe ejecutivo es necesario para lograr una GRE robusta. Ese compromiso no siempre es fácil de obtener; como un auditor interno señaló:
«La razón por la cual la implementación de GRE puede tomar tanto tiempo, a veces varios años, es que puede ser difícil para algunos en el alto equipo directivo ver su valor real en relación con el esfuerzo y el coste... A algunos directores generales, hay que decirles exactamente cuál va a ser la inversión y lo que van a obtener de ella.»
Con esta preocupación en mente, el progreso de la GRE debe medirse y evaluarse para motivar al personal y para asegurarse de que está cumpliendo con las metas establecidas. Un participante amplió su reflexión sobre este objetivo: “Cuando se establecen metas de desempeño para los empleados, que miden el progreso en relación a algo, se hace un mundo de diferencia... Si se compensa a alguien de esta manera, usted se sorprenderá de la cantidad de atención que le prestan, porque se dan cuenta de que es una función importante del trabajo.”
Junta Directiva
La Comisión de Valores de EE.UU. (SEC) exige que se informe sobre el papel de la junta en el proceso de gestión de riesgos de la compañía. La junta debe informar si la supervisión del riesgo es una responsabilidad de toda la junta o si está asignada a uno de sus comités (por ejemplo, el comité de auditoría o el comité de riesgos). La junta puede ser la promotora inicial de la GRE dado su papel central en la gerencia corporativa y, también, debido a que se compone de miembros que a menudo tienen una fuerte exposición a la gestión de riesgos. Un auditor interno comentó:
«Empecé con la compañía hace un par de años... y no tenía una GRE. La junta pensó que auditoría interna era el mejor lugar para empezar, ya que teníamos las habilidades para la GRE. Actualmente, nosotros [auditoría interna] supervisamos el proceso y lo facilitamos; pero, la dirección se ocupa de la identificación y mitigación de riesgos.»
Comités de Junta
Los asistentes describieron diversas funciones y niveles de la participación del comité de auditoría en la GRE; por lo general, dependiendo de los antecedentes y la experiencia de los miembros del comité de auditoría. Algunos comités de auditoría fueron los primeros líderes de riesgo de la GRE y ahora tienen la gran la responsabilidad de mantenerla fuerte. Pero como se indicó antes, en otras organizaciones, especialmente en las más pequeñas, tanto la inspiración como el empuje para la aplicación de GRE provenían de otras fuentes.
En las organizaciones más grandes, un comité de riesgos puede haberse creado por sí mismo o haberse desprendido del comité de auditoría. Aunque esta estructura se requiere en la actualidad para los grandes bancos en virtud de la Ley de Reforma de Wall Street Dodd-Frank y el Estatuto de Protección de los Consumidores, y ha sido implementada en muchas empresas; tener los dos comités puede generar conflictos con respecto a la división de responsabilidades para la supervisión del riesgo, incluidos los de GRE:
«Hace aproximadamente un año y medio extrajimos un comité de riesgo del comité de auditoría, y ahora le corresponde al comité de riesgo recibir los informes sobre GRE. Todavía atravesamos problemas de desarrollo y estamos tratando de averiguar qué se debe informar a cada comité. Ciertamente, si hay un problema, como algunos otros aquí han señalado, este vuelve al comité de auditoría para un riguroso seguimiento con el objeto de aplicar medidas correctivas.»
En la práctica, y debido al interés de la SEC en el papel del consejo en el proceso de gestión de riesgos, se planteó la pregunta de si la GRE, dada su importancia, se debe asignar a toda la junta directiva en lugar de a uno de sus comités. Un participante señaló que, también en este caso, las líneas de responsabilidad no siempre pueden determinarse con claridad:
«Dónde se aborda la GRE tiende a depender de los recursos. A menudo, la junta se dirige al comité de auditoría y le pregunta: ‘¿Qué están haciendo con la GRE?’ y el comité de auditoría le responde: ‘Bueno, no es esa una responsabilidad de la junta?’ Y entonces la junta dice: ‘¿Por qué no lo asumen ustedes, comité de auditoría?’»
Una forma de hacer más explícita la responsabilidad sobre GRE es a través de los estatutos de la organización y de los comités. Un participante señaló que la GRE tiene que competir por un lugar en los estatutos del Comité, donde la atención se centra a menudo en la auditoría interna y externa.
Jefes ejecutivos de finanzas
En términos de riesgo, la principal preocupación de los CFOs son los informes financieros; hasta el punto en que ven la GRE como un elemento clave para asegurar la integridad de la información financiera. Es probable que los CFOs lideren el proceso de GRE ―sobre todo si no ven el liderazgo en otras partes de la organización.
Auditoría interna
La auditoría interna es a menudo el grupo con el mayor nivel de experiencia en evaluación de riesgos. Además, los auditores internos tienen un amplio conocimiento de las políticas, procesos y procedimientos de la organización. Sin embargo, los auditores internos fueron prudentes al señalar que el papel principal de la auditoría interna es proporcionar garantías sobre la eficacia de la gestión de riesgo ―no identificar, priorizar y gestionar el riesgo. Un director ejecutivo de auditoría de una gran compañía dijo:
«Yo impulso el proceso [GRE], pero también lo hace nuestro vicepresidente senior de estrategia... Nos equilibramos mutuamente y presentamos nuestro plan de GRE para la organización como algo muy holístico, no sólo como un asunto de auditoría... Parece funcionar bastante bien. Nosotros asignamos riesgos de vuelta a la dirección y cada riesgo identificado es asumido por un directivo de gran importancia, quien está obligado a informar sobre el mismo regularmente.»
Algunas empresas tendrán un proceso de evaluación de GRE independiente del proceso de evaluación del riesgo de auditoría interna. Otras compañías llevarán a cabo las evaluaciones de riesgo de GRE y la auditoría interna al mismo tiempo; y, luego, auditoría interna desarrollará su propio plan de auditoría. Coordinar la GRE con los planes de auditoría interna es importante para su implementación exitosa. Como punto relevante, se señaló que la adopción de GRE puede mejorar la auditoría interna:
«Hemos implementado la GRE cuando el proceso de auditoría interna no tenía una gran vitalidad, energía o credibilidad. Cambiamos la dirección y el enfoque a uno impulsado por la GRE, y la gente decía: ‘Esa fue una auditoría interesante... ¿Cómo encontraste eso?’ Así que el cambio en el proceso de auditoría interna impulsado por la GRE convenció a la dirección y, también, al comité de auditoría.»
Auditores externos
Las opiniones variaron significativamente entre los participantes en el rol de auditoría externa en la GRE. Ciertos auditores internos observaron que los auditores externos consideraban una sólida evaluación del riesgo y del proceso de monitoreo como la clave del control a nivel de la entidad. Algunos de los auditores externos coincidieron con esta perspectiva. Los participantes observaron que el auditor externo puede desempeñar un papel esencial al intercambiar puntos de vista con el comité de auditoría; porque su amplia exposición a los procesos de numerosas organizaciones los posiciona como expertos para discutir la GRE con conocimiento de causa. Un auditor interno comentó:
«Creo que es beneficioso que los auditores externos compartan perspectivas con el comité de auditoría en cuanto a cuál es su responsabilidad con la GRE y cómo se diferencia de la evaluación de riesgo, que auditoría interna realiza como parte de su plan anual. Que los auditores externos vengan y digan, ‘Esto es lo que vemos como práctica principal y en esto se diferencia’, puede ser de suma utilidad.»
Pero otros auditores internos y presidentes de comités de auditoría dijeron que sus auditores externos jugaban un pequeño papel, o ninguno, en el apoyo a la GRE. Un participante dijo que su auditor externo permanecía enfocado en los aspectos financieros de la auditoría, de una manera no necesariamente complementaria a la GRE.
Continuará…
Y luego Agregar a la pantalla de inicio.