Por: CP Iván Rodríguez. Colaborador de Auditool
Un tema que actualmente está llamando la atención de la administración de las organizaciones y de los auditores es el de aseguramiento combinado. La idea de que la colaboración es fundamental para el aseguramiento es la base del aseguramiento combinado. Este aseguramiento, también conocido como aseguramiento de riesgos integrado, implica combinar los esfuerzos de gestión de riesgos en las tres líneas y sus proveedores de aseguramiento externo, para permitir un ambiente de control efectivo y reportes de riesgos uniformes a los ejecutivos y al directorio.
Aunque la mayoría de los líderes de gobernanza, riesgo y cumplimiento (GRC) están de acuerdo en que la garantía combinada es un enfoque eficiente para la gestión de riesgos, no siempre resulta tan sencillo integrar de manera eficaz el modelo. Dicho enfoque presenta varios desafíos que deben ser atendidos para lograr una buena implementación. A continuación, algunos de ellos:
1. Dificultad para obtener aceptación:
Una percepción errónea y bastante común es pensar que la garantía combinada requiere reorganizar y determinar las funciones básicas de las tres líneas y su estructura de presentación de informes. Por ello, es importante comunicar a las partes interesadas que la adopción de un modelo de garantía combinada no es una actividad mutuamente excluyente, sino un esfuerzo para coordinar esfuerzos y compartir conocimientos que, en última instancia, permitirán agregar valor a la organización.
Para evitar caer en esa percepción, las partes interesadas deben tener claro que la garantía combinada no cambia la declaración de la misión, la estructura de informes o las capacidades de cada función individual. Cada función del negocio sigue siendo distinta y continúa ejecutando su papel único como parte de un esfuerzo totalmente integrado para reducir el riesgo dentro de la organización.
2. Falta de liderazgo claro:
Las organizaciones con múltiples áreas que gestionan de riesgos pueden tener dificultades para identificar y acordar el equipo o individuo adecuado para liderar sus esfuerzos combinados de aseguramiento. No hay una fórmula absoluta pues cada negocio está organizado de manera diferente dependiendo de su tamaño, industria y años de operación. Ahora bien, sin un liderazgo adecuado que pueda abogar por el apoyo de la Junta y la administración y el respaldo del Comité de Auditoría, los esfuerzos combinados de aseguramiento pueden perder fuerza rápidamente.
Frente a este panorama, la auditoría puede iniciar la combinación de esfuerzos de aseguramiento con otras partes de riesgo. De acuerdo con el Instituto de Auditores Internos (IIA), en su norma sobre desempeño 2050 se establece que:
"El director ejecutivo de auditoría debe compartir información, coordinar actividades y considerar confiar en el trabajo de otros proveedores de servicios de consultoría y aseguramiento internos y externos para garantizar una cobertura adecuada y minimizar la duplicación de esfuerzos".
La auditoría tiene una comprensión profunda de los procesos y controles de la organización, así como una línea directa con la alta dirección. Además, como la línea de aseguramiento independiente en el negocio, la auditoría puede operar al nivel de detalle antes de formarse opiniones sobre los controles. Por tanto, puede ser el área que naturalmente lidere este esfuerzo.
3. Fallas en la comprensión integral de los riesgos:
Esto puede ocurrir en las organizaciones, con los riesgos clave a pesar del extenso trabajo de gestión de riesgos realizado por múltiples áreas. Se evidencia en informes que reflejan situaciones contradictorias sobre unidades de negocio o áreas específicas. Por ejemplo, un informe de auditoría sobre ciberseguridad en una unidad de negocio en particular puede resultar satisfactorio, mientras que un informe de salud y seguridad sobre la misma unidad de negocio puede incluir varios problemas de alto riesgo. Las consecuencias negativas de la mala visibilidad del riesgo incluyen: brechas en la cobertura, fallas de control significativas y eventos de riesgo inesperados, a pesar del tiempo y los recursos significativos invertidos en aseguramiento.
Ahora bien, la mala visibilidad y los informes desalineados a menudo son el resultado de varios modos de categorización y terminología de riesgos. Es conveniente entonces, al iniciar un esfuerzo de aseguramiento combinado, hacer un balance de las brechas en la organización mediante la creación de un mapa de aseguramiento o un documento equivalente, que ayude a identificar cualquier brecha o superposición en los procesos de gestión de riesgos del negocio. Esto permite dar a las partes interesadas la tranquilidad de que los riesgos se están gestionando e informando y se están cumpliendo las obligaciones legales y normativas.
4. Dificultad para desarrollar un marco común de controles:
El diseño de un marco de controles común para su uso en todas las funciones es la base para la generación unificada de informes de problemas. Sin embargo, el mapeo de múltiples requisitos a través de diferentes marcos, al tiempo que integra varios criterios de clasificación de riesgos y definiciones de riesgo en una sola taxonomía de riesgos, es posiblemente el obstáculo más complejo en la garantía combinada.
Para esto, las partes interesadas en la garantía deben elaborar estrategias al más alto nivel. Organizar sus objetivos de aseguramiento combinados en grupos comunes a los que se pueda hacer referencia fácilmente y, a partir de ahí, priorizar la manera de abordarlos en función de la opinión de la mayoría. Visualizar los objetivos de aseguramiento combinados de esta manera puede ayudar a establecer conexiones entre los objetivos por áreas, lo que puede ayudar a las partes interesadas a intercambiar ideas sobre soluciones, que puedan abordar de manera eficiente, múltiples objetivos a la vez.
5. Ineficiencias de los sistemas descentralizados:
Al intentar unir las funciones comerciales aisladas bajo el objetivo de la garantía combinada por primera vez, un obstáculo importante es dar sentido a los riesgos dispares y controlar los datos exportados desde múltiples sistemas. Las partes interesadas de la garantía, que trabajan en entornos descentralizados, pasan una cantidad significativa de su tiempo conciliando problemas de control de versiones y limpiando datos.
Para abordar esta situación, hay que utilizar la tecnología para impulsar la garantía combinada. Es una oportunidad para resolver múltiples problemas trabajando juntos. Hay que usar el esfuerzo de aseguramiento combinado para ayudar a las partes interesadas a organizar sus registros mediante la migración de sus datos de riesgo a un sistema centralizado de registro. Esto ayudará a aliviar los problemas de descentralización y sirve para racionalizar varios objetivos principales de la garantía combinada, tales como:
- Establecer una taxonomía de riesgos.
- Establecimiento de un sistema de ranking de riesgo
- Creación de un marco común de controles.
- Mapeo de controles a objetivos estratégicos.
- Mapeo de controles a requerimientos y riesgos.
- Centralización de datos de problemas en un único registro de problemas.
- Estandarización de informes.
Teniendo en cuenta las ventajas que surgen de este enfoque integrado, es conveniente que los auditores profundicen en este tema y procuren su implementación en las organizaciones a las cuales prestan sus servicios.
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia