Control Interno

La colaboración en la gestión del riesgo

Detalles
Categoría de nivel principal o raíz: Blog
Control Interno

 Por: CP Iván Rodríguez. Colaborador de Auditool.

Las organizaciones de diferentes sectores necesitan emplear un enfoque estratégico y proactivo al enfrentar las nuevas circunstancias para gestionar los riesgos y atender sus compromisos normativos de cumplimiento. Algunos de los temas que centran la atención actualmente son:

  • Riesgos derivados de los criterios ESG (ambientales, sociales y de gobierno corporativo), incluido el greenwashing[1]
  • Regulaciones de organismos gubernamentales en materia de asesoría de inversiones
  • Incremento en las regulaciones frente al lavado de dinero y financiación del terrorismo
  • Riesgos por el uso de criptomonedas
  • Nuevas modalidades de fraude, por ejemplo, tecnología deepfake y fraude de identidad sintética
  • Privacidad de datos, especialmente cuando las empresas se expanden a nuevas ubicaciones

Con el propósito de prepararse para estos desafíos en los próximos meses, la alta administración y las áreas de riesgo, cumplimiento y auditoría, además de capacitarse en estos temas, deben buscar esquemas eficientes de colaboración en las actividades de administración de controles internos. Los reguladores y supervisores suelen tener más consideración con aquellas entidades que, de manera voluntaria y oportuna, exponen y revelan sus debilidades e incumplimientos y que evidencian colaboración interna en temas de control, lo que se refleja en la gravedad de las calificaciones y multas.

En ese sentido, es esencial que los equipos de auditoría, riesgo y cumplimiento estén en permanente contacto con la administración de las organizaciones para identificar, evaluar, monitorear y resolver deficiencias conocidas dentro de su entorno de controles internos, así como para elaborar y difundir informes pertinentes y efectivos.

Una dificultad operativa que suele estar presente en las organizaciones es la comunicación y la generación de informes entre los niveles de administración y las unidades de negocio ubicadas en diferentes zonas horarias. En ocasiones, grandes organizaciones de servicios cuentan con unidades de negocio aisladas o de difícil acceso para los equipos de riesgo, donde puede ser difícil obtener un consenso sobre una política o práctica de la organización.

Adicionalmente, aunque las áreas de riesgo, cumplimiento, auditoría y gestión desempeñan diferentes roles en un programa de cumplimiento normativo, hay áreas naturales de cruce en sus responsabilidades, ya que cada una busca garantizar un programa efectivo de gestión de riesgos y control interno con las actividades que realizan.

Sin embargo, este cruce se vuelve contraproducente cuando no se controla, lo que lleva a actividades de aseguramiento duplicadas y/o menos eficientes, que se realizan en entornos aislados y a un mayor costo de cumplimiento. Algunos signos de este comportamiento incluyen:

  • Bibliotecas redundantes de riesgo y control utilizadas en todos los equipos.
  • Diferentes metodologías de clasificación de problemas y riesgos para evaluar el riesgo, lo que lleva a informes inconsistentes que no proporcionan una visión holística del entorno de riesgo.
  • Actividades de aseguramiento no coordinadas en las tres líneas, lo que lleva a la fatiga de las partes interesadas.
  • Poca visibilidad de los problemas identificados, lo que puede aumentar la gravedad de los problemas, así como dificultar la comprensión de todo el contexto que rodea a los mismos.
  • Falta de una plataforma integrada para centralizar la información y las actividades de riesgo y cumplimiento en toda la empresa.

De ahí la necesidad de lograr colaboración entre áreas en la gestión del riesgo, lo cual es fundamental para asegurar una gestión efectiva e integral de los riesgos en una organización. La gestión de riesgo (o de cualquier otra actividad) no se limita a un solo departamento o función, sino que implica a múltiples áreas dentro de una organización.

Existen diferentes rutas que las funciones de auditoría, gobernanza, riesgo y cumplimiento pueden tomar para comenzar a abordar los desafíos de colaboración. El primer paso para crear una alianza exitosa comienza con acuerdos de colaboración cruzada. Todas las partes involucradas deben estar de acuerdo y comprender que optimizar la colaboración es un imperativo comercial para, en última instancia, agregar más valor a la organización.

El acto de trabajar juntos para crear recursos compartidos, como una biblioteca de riesgos universal y una metodología de riesgo, involucra a los equipos de auditoría, gobernanza, riesgo y cumplimiento. Esto permite a la organización alinearse con las definiciones de riesgo compartidas y los criterios de clasificación de riesgos.

En este caso, el resultado final es una biblioteca de controles universal que simplifica el entorno, reduce la duplicación y la superposición en los esfuerzos de cumplimiento, también ayuda a la organización a administrar el riesgo de manera más efectiva.

A continuación, se presentan algunas formas en las que la colaboración entre áreas puede mejorar la gestión del riesgo:

  • Identificación de riesgos: diferentes áreas de una organización tienen conocimientos y perspectivas únicas sobre las operaciones y actividades que realizan. Al colaborar, estas áreas pueden compartir información y conocimientos para identificar de manera más completa los riesgos potenciales en todos los aspectos del negocio.
  • Evaluación de riesgos: una vez que los riesgos se han identificado, diferentes áreas pueden colaborar para evaluar y cuantificar el impacto y la probabilidad de cada riesgo. Al combinar el conocimiento técnico y la experiencia de múltiples áreas, se pueden obtener evaluaciones más precisas y completas de los riesgos.
  • Mitigación de riesgos: las acciones para mitigar los riesgos a menudo implican actividades que abarcan diferentes áreas. Por ejemplo, implementar controles internos, mejorar la seguridad de la tecnología de la información o establecer planes de contingencia pueden requerir la colaboración de múltiples departamentos, como el departamento de TI, el departamento legal y el departamento operativo. Trabajar juntos facilita una implementación más efectiva de las medidas de mitigación.
  • Monitoreo y seguimiento: la colaboración entre áreas es esencial en el monitoreo continuo de los riesgos y el seguimiento de las medidas de control implementadas. Cada área puede ser responsable de monitorear ciertos aspectos de los riesgos y proporcionar informes periódicos. La colaboración en este proceso garantiza una visión global y actualizada de la situación de riesgo en toda la organización.
  • Comunicación y concientización: la gestión efectiva del riesgo requiere una comunicación clara y una concientización adecuada en todos los niveles de la organización. Las áreas deben colaborar para difundir información relevante sobre los riesgos identificados, las medidas de mitigación y las mejores prácticas en la gestión del riesgo. Esto ayuda a fomentar una cultura de gestión del riesgo en toda la organización.

En este marco de actuación, ciertas actividades específicas pueden ayudar a hacer más operativa la colaboración entre los equipos de riesgo, cumplimiento y auditoría. Por ejemplo:

  • Crear un mapa de aseguramiento para resaltar las brechas y superposiciones en las actividades de aseguramiento.
  • Desarrollar una estrategia de aseguramiento única para agilizar los procesos de gestión de riesgos en las tres líneas.
  • Definir una taxonomía o clasificación de riesgo común, que considere definiciones y criterios al respecto.
  • Establecer un único catálogo de riesgos y controles para estandarizar la información, reducir la confusión y eliminar los datos redundantes.
  • Establecer una metodología de evaluación de problemas y riesgos para racionalizar la presentación de informes y análisis.

La gestión colaborativa de riesgos puede optimizarse y acelerarse aún más mediante el uso de la tecnología. La migración de riesgos y controles a una base de datos centralizada ayuda a eliminar la confusión de registros duplicados y taxonomías utilizadas en todos los equipos, logrando una colaboración sincronizada, mayor eficiencia y una visión mejorada de los esfuerzos de cumplimiento.

Existen en el mercado soluciones tecnológicas, algunas basadas en la nube, que pueden integrarse con las fuentes de datos existentes y, de esta manera, ayudan a relacionar datos y resultados, lo que permite a las tres líneas ofrecer más valor de manera sincronizada.

En síntesis, la colaboración entre áreas en la gestión del riesgo permite una comprensión más completa de los riesgos, evaluaciones más precisas, implementación efectiva de medidas de mitigación, monitoreo continuo y una cultura de gestión del riesgo en toda la organización. Es importante fomentar y facilitar esta colaboración para una gestión eficiente y efectiva de los riesgos.

 

[1] El término greenwashing, acrónimo inglés formado por green (‘verde’) y whitewashing (‘encubrimiento’ o ‘lavado de imagen’), hace referencia a la estrategia publicitaria desarrollada por algunas empresas u organizaciones mediante la que se presentan como entidades respetuosas con el medioambiente con el fin de ocultar ciertas prácticas nocivas para la naturaleza que ellos mismos llevan a cabo.

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia. 

Escribir un comentario

Enviar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado