Por: CP Iván Rodríguez. Colaborador de Auditool.
El gobierno del Reino Unido ha desarrollado diferentes guías y documentos para gestionar riesgos en diferentes ámbitos. Una de las guías más empleadas y conocidas es la denominada "Orange Book" o "Libro Naranja" cuyo enfoque versátil permite su aplicación tanto en el sector público como en el privado, y facilita su adaptación a diferentes contextos y tipos de organizaciones. Basado en el Libro Naranja, el gobierno del Reino Unido emitió una guía del apetito de riesgo [1] para organizaciones del sector público, cuyo propósito es brindar orientaciones sobre la determinación, desarrollo y aplicación del apetito por el riesgo como un elemento clave en la auditoría, la toma de decisiones informadas y el buen gobierno corporativo.
Es pertinente recordar que el apetito de riesgo en auditoría se refiere al nivel de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos estratégicos, operativos y financieros, teniendo en cuenta su capacidad para gestionarlo. Este concepto es clave en la planificación y ejecución de auditorías, toda vez que influye en la manera de identificar, evaluar y priorizar los riesgos en los procesos de control y supervisión. Otros elementos clave del apetito de riesgo en auditoría que vale la pena repasar son:
Riesgos inherentes y residuales:
Los riesgos inherentes son aquellos que existen antes de implementar controles, en tanto que los riesgos residuales son los que permanecen después de aplicar los controles.
Evaluación de la probabilidad e impacto:
La probabilidad se refiere a la posibilidad de que ocurra un evento de riesgo. El apetito de riesgo tiende a ser menor frente a eventos con alta probabilidad si estos tienen consecuencias negativas significativas. Por su parte, el impacto se refiere a la gravedad de las consecuencias si el riesgo ocurre. Por ello, riesgos con un impacto significativo (tales como pérdidas económicas, daño reputacional o interrupciones operativas graves) suelen ser menos tolerables dentro del apetito de riesgo.
Áreas de alta criticidad:
Hay sectores tales como logística, control de activos, finanzas y relaciones con clientes/proveedores. Es importante definir el nivel de riesgo aceptable de manera cuidadosa para evitar interrupciones significativas.
Monitoreo continuo:
Debe tenerse en cuenta que el apetito de riesgo puede cambiar debido a factores externos, entre los que se cuentan la competencia o la obsolescencia tecnológica, y a factores internos, tales como nuevas estrategias o estructuras de negocio.
Retomando la guía orientadora del apetito de riesgo, cuya lectura es aconsejable para los auditores en virtud de su contenido, en su texto se destacan los siguientes temas:
- La definición de apetito por el riesgo, que corresponde a la representación de los niveles de riesgo (óptimos y tolerables) que una organización está dispuesta a asumir en la búsqueda de sus objetivos y que se diferencia de la "tolerancia al riesgo", que indica el grado máximo de riesgo aceptable.
- La importancia del apetito por el riesgo, puesto que facilita la toma de decisiones informadas y consistentes, reduce la incertidumbre y contribuye a mejorar el enfoque en áreas críticas, optimizando recursos y desempeño.
- La determinación del apetito por el riesgo implica considerar el entorno, la cultura y las capacidades de la organización; establecer declaraciones claras para las áreas de riesgo principales y detallar niveles óptimos y tolerables, así como incluir a las partes interesadas en el proceso y realizar revisiones periódicas para adaptarse a los cambios que surjan.
- En la aplicación del apetito por el riesgo, se debe integrar el riesgo como parte esencial de la gobernanza y toma de decisiones estratégicas, lo cual ayuda a evaluar el impacto de decisiones fuera del apetito establecido, requiriendo justificación y seguimiento cuando es necesario.
- La revisión y monitoreo de las evaluaciones de riesgos individuales y agregadas deben efectuarse regularmente, lo que permite garantizar la alineación con los niveles de apetito definidos. Deben documentarse las decisiones tomadas fuera del apetito.
La guía incluye escalas de apetito (que van desde "opuesto" hasta "ansioso"), así como ejemplos de declaraciones organizacionales, abordando diferentes tipos de riesgos: financieros, reputacionales, operativos, tecnológicos, etc, que son útiles como referencia. A continuación, unos ejemplos ilustrativos:
a. Riesgo financiero:
Postura cautelosa: aceptar solo riesgos financieros mínimos en operaciones diarias, evitando decisiones que impliquen reformular el presupuesto de la organización.
Decisión: invertir en una nueva tecnología con bajo riesgo residual para mejorar la eficiencia sin comprometer la estabilidad financiera.
b. Riesgo reputacional:
Postura cautelosa: priorizar opciones de menor impacto negativo para evitar daños reputacionales significativos.
Decisión: elegir un socio comercial con antecedentes sólidos para minimizar riesgos en la percepción pública.
c. Riesgo operativo:
Postura abierta: promover la innovación en procesos internos si el beneficio esperado supera los riesgos calculados.
Decisión: implementar un nuevo software logístico que, si bien conlleva incertidumbre inicial, mejora la eficacia a largo plazo.
d. Riesgo tecnológico:
Postura ansiosa: apostar por nuevas tecnologías disruptivas para obtener ventajas competitivas.
Decisión: adoptar inteligencia artificial en análisis de datos financieros, aceptando un mayor nivel de incertidumbre por los beneficios esperados.
Visto lo anterior, es conveniente que los auditores, en su proceso de capacitación y actualización profesional, consulten diversos documentos técnicos, guías y pronunciamientos que pueden ilustrar y refrescar temas y conceptos que contribuyen a fortalecer las habilidades al ejercer el trabajo de auditoría, en beneficio de las organizaciones, clientes y de su propio rigor académico para ser más competentes.
[1] Disponible en: Risk Appetite Guidance Note
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.