Se conoce como “riesgo remanente” al riesgo residual luego que la dirección ha
ejecutado las acciones necesarias para mitigar los riesgos inherentes. Estas acciones están orientadas a reducir la probabilidad y/o el impacto de un evento adverso (Gustavo Ríos, 2003).
El responsable de AI puede considerar que la dirección está asumiendo un nivel de riesgo remanente elevado y que, según su opinión, dicho riesgo no es aceptable para la organización. Las normas previstas por el Instituto de Auditores Internos señalan que, en estas circunstancias, la autoridad máxima de AI dentro de la organización, debe discutir tal situación con la alta dirección.
Si la situación de riesgo residual planteada no se resuelve satisfactoriamente, las partes deberían informar la situación al Directorio para que éste resuelva (Norma № 2600 “Aceptación de los Riesgos por la Dirección”, IIA).
Antes las observaciones y recomendaciones de AI, la alta dirección como responsable de tomar las acciones en respuesta a la auditoría y orientadas a reducir el riesgo, podría asumir el riesgo de no corregir la situación planteada, por ejemplo por razones de costos u otras consideraciones. A los efectos de deslindar responsabilidades, la máxima autoridad de AI cuenta con la instancia de informar al Directorio o Consejo. Esta comunicación puede ser escrita, en la que se incluya una descripción clara del riesgo remanente asociado y los efectos medidos en términos de probabilidad e impacto (Consejo para la Práctica 2600-1 “Aceptación de los Riesgos por la Dirección”, IIA).
La crisis financiera de 2008-2009 combinado con niveles sin precedentes de la complejidad del negocio, el proceso de aceleración de la globalización y el aumento de requisitos reglamentarios, han presionado a las Juntas y la Dirección Ejecutiva a prestar mayor atención a la gestión de riesgos.
La gestión eficaz de los riesgos ya no se restringe a las áreas financieras y operativas, sino que debe incluir cualquier riesgo de orden estratégico, demográfico, ético o ambiental que amenaza la viabilidad de una organización (Margaret O´Reilly-Allen y Lawrence Mawn, 2011).
Cualquiera sea el tipo y tamaño, las organizaciones necesitan aprovechar su inversión en los controles financieros y de cumplimiento normativo para desarrollar nuevas estrategias considerando otros riesgos que puedan afectar las metas y objetivos estratégicos.
La mayoría de las organizaciones cuentan con algunas actividades básicas de gestión de
riesgo. Estas pueden incluir actividades tales como las Evaluaciones de Riesgo (“Risk
Assessments”) y Auditorías de Cumplimiento de AI (“Compliance Audits by Internal Audit”) o
Programas de Detección de Fraude (“Fraud Detection Programs”).
Las organizaciones pueden alcanzar un nivel de riesgo aceptable a través de la aplicación de ERM para alinear y mejorar las actividades existentes.
M. O´Reilly-Allen y L. Mawn en su artículo “Internal Audit: Be a Key Player in the Risk Management Process” describen cómo una organización puede implementar una ERM efectivo y cómo la AI puede optimizar su valor tomando un rol relevante en ERM.
Los auditores internos tienen la formación y experiencia para identificar y evaluar el riesgo, y tienen una visión amplia de su organización. Este grupo se encuentra en una posición ideal para desempeñar un papel clave en el proceso de ERM en la medida que puedan mantener su independencia y objetividad.
Para abordar estas cuestiones, el IIA publicó el documento “El Rol de Auditoría Interna en la Gestión de Riesgo” (2009), por el cual señala que el rol central de la AI con respecto a la gestión del riesgo institucional, es ofrecer una garantía objetiva al directorio sobre la eficacia de la gestión de riesgos de una organización.
El IIA hace hincapié en que el directorio y la gerencia son responsables de la gestión del riesgo, y la viabilidad del papel de consulta de la AI sobre ERM, está supeditada a que dicha actividad no ponga en peligro la independencia de la AI y su objetividad.
Por lo mencionado, señala la publicación, existen considerables oportunidades para la
AI de ampliar su ámbito tradicional y agregar valor al programa de ERM tales como:
- Funciones Auditoría Interna: de garantía. Incluye asegurar el proceso de gestión de riesgo
y que los riesgos sean correctamente valuados, evaluar los procesos de gestión de riesgos y la información sobre los principales riesgos, y revisar la gestión de los riesgos clave (incluidos los controles de prueba).
- Funciones Auditoría Interna: de consultoría (con salvaguardas). Incluye facilitar la
identificación y evaluación de riesgos, operar como facilitador-guía en respuesta a los riesgos, coordinar las actividades de ERM, consolidar la información sobre el riesgo, liderar el establecimiento de ERM y desarrollar la estrategia de gestión de riesgos para su aprobación por el Directorio
En este proceso existe responsabilidades de la organización que no debe cumplir
Auditoría Interna, tales como: fijar el apetito de riesgo, imponer el proceso de gestión de riesgos,
proporcionar garantías de gestión del riesgo, tomar decisiones en respuestas al riesgo, implementar de las respuestas al riesgo y asumir la responsabilidad de la gestión de riesgos.
Para gestionar con éxito los riesgos, el directorio y la gerencia del nivel superior deben fomentar un ambiente interno que establezca las bases para las actividades de gestión del riesgo institucional y supervisar el desarrollo e implementación de ERM. Deben respaldar a quien lidera la dirección del ERM. Este vínculo se relaciona con la filosofía del ente de cómo percibe el riesgo, su apetito de riesgo, los valores éticos y la integridad, y el entorno en el que opera.
La auditoría interna puede contribuir a impulsar la introducción de ERM en la organización y trabajar en estrecha colaboración con el grupo, con las salvedades expuestas en las normas profesionales. La implementación con éxito de los programas de ERM está supeditada a si la gestión del riesgo es vista como un tema clave del negocio y como tal, se incorpora en la planificación estratégica de la organización. La auditoría interna puede ayudar en el proceso de comunicación, facilitando talleres de ERM para crear conciencia sobre sus beneficios y promover una filosofía de riesgo en la organización.
Un programa de ERM bien diseñado necesita un marco conceptual que proporcione una visión general de los principios de gestión de riesgos de una organización. El marco debe documentar las políticas de gestión del riesgo, las actitudes hacia el riesgo, el apetito de riesgo, los tipos y niveles de riesgo aceptables, las responsabilidades de la gestión de riesgos, notificación y seguimiento de los horarios y la forma de comunicación dentro de la organización.
Hay varios modelos disponibles, algunos ampliamente utilizados y fácilmente adaptables a las necesidades específicas de una organización, como por ejemplo ERM COSO (2004). Este marco reconoce las “Practical Approaches for Getting Started” (2009), y las “International Standards Organization (ISO) Risk Management – Principles and Guidelines” (2009). Describe
ocho componentes interrelacionados: 1.Ambiente de control (COSO inicial); 2.Establecimiento de objetivos (COSO con ERM); 3.Identificación de eventos (COSO con ERM); 4.Valoración de Riesgos (COSO con ERM); 5. Respuesta al riesgo (COSO con ERM); 6.Actividades de control (COSO inicial); 7. Información y comunicación (COSO inicial) y 8. Monitoreo o seguimiento (COSO inicial).
COSO (2004) es ampliamente utilizado debido a que la Securities and Exchange
Commission (en adelante SEC) hace referencia como un marco que se puede utilizar para reportar sobre el control interno de las operaciones financieras. El modelo ISO 31000 es el primer estándar global para la gestión de riesgos, compatible con COSO (2004), y está destinado a ser aplicado a una amplia gama de actividades, decisiones, y operaciones.
La auditoría interna puede avanzar en trabajar con distintos grupos de riesgo de la organización para desarrollar y promover un lenguaje común de gestión de riesgos.
Una vez abordadas las cuestiones de política de gestión de riesgos, la junta directiva y la alta gerencia deben identificar rigurosamente eventos potenciales (oportunidades a canalizar o riesgos a mitigar) que puedan afectar la capacidad de la organización para ejecutar la estrategia.
Deben considerar fuentes externas, como factores económicos, ambientales, políticos, demográficos y tecnológicos, así como fuentes internas tales como los relacionados con los procesos de negocio, infraestructura, capital humano, tecnología de la información y riesgos legales.
A continuación, el directorio y la gerencia necesitan establecer un apetito de riesgo, es decir el nivel de riesgo que la organización está dispuesta a aceptar en el cumplimiento de sus objetivos. El apetito de riesgo se puede establecer en relación con la organización como un todo, una unidad de negocios, una línea de negocio, un proceso de negocio, un área geográfica, o una combinación de éstos.
La gerencia debe desarrollar un proceso para evaluar y medir los riesgos previamente identificados en términos de impacto (medido como alto, medio y bajo) y probabilidad de
ocurrencia (estimada como poco probable, posible o probable). Hay dos enfoques utilizados para este proceso: los métodos cualitativos, que incluyen la evaluación comparativa frente a otros en la industria y los cuantitativos con aplicación de modelos probabilísticos. Algunos consideran que la evaluación del riesgo es más un arte que una ciencia.
La auditoría interna también puede añadir un valor significativo al proporcionar una evaluación objetiva de los programas de ERM en relación con objetivos estratégicos de la organización y de la gestión de los procesos utilizados por el riesgo de identificación, evaluación y formulación de recomendaciones para la mejora.
Una vez que la identificación de riesgos y los procesos de evaluación están completos, la administración debe decidir sobre las respuestas al riesgo que se alinean con la organización y el apetito por el riesgo, y elaborar planes para hacer frente a las deficiencias en las respuestas a situaciones de riesgo. Típicas opciones de respuesta de riesgo incluyen los siguientes:
• Aceptar el riesgo y monitorizarlo regularmente.
• Reducir el riesgo realizando cambios en los procesos o controles.
• Transferir el riesgo utilizando seguros, coberturas, o outsourcing.
• Evitar el riesgo mediante la venta, eliminación del proceso o detención de la acción que lo causa
Los controles seleccionados en respuesta a los riesgos dependerán del apetito de riesgo de la organización, del resultado del análisis del nivel de riesgo mitigado y del costo asociado al proceso de mitigación.
La auditoría interna con los programas de ERM tiene la posibilidad de ampliar su función tradicional mediante la evaluación de la eficacia de los sistemas y procesos críticos de gestión de riesgos, y recomendando mejoras en el ambiente de control.
En un programa de ERM es importante que funcione correctamente el monitoreo (continuo o en evaluación separada) del proceso de gestión de riesgos para poder mantener la confianza de su capacidad de proporcionar información sobre los riesgos relevantes.
El alcance y la frecuencia de la evaluación independiente de los componentes, dependerá de la evaluación de la eficacia de las actividades de gestión de riesgos. Las actividades de seguimiento y revisión deben ser realizadas por los propietarios de riesgo, la gerencia y la junta directiva.
Dado que la auditoría interna es típicamente parte de la supervisión general de los sistemas de control, se puede ampliar esta función a proporcionar periódicamente una revisión independiente y objetiva de los procesos de gestión de riesgos.
Por último la Dirección y la Alta Gerencia requieren información relevante y oportuna sobre los riesgos clave, lo que implica contar con información eficaz y una comunicación transparente de los resultados de la gestión de riesgos.
Un sistema eficaz de notificación debe proporcionar información que resuma cada riesgo que se identificó, los controles asociados para mitigarlo, una medida de desempeño o expresión que indica cómo el objetivo se está cumpliendo, las acciones correctivas que se tomaron e identificar temas para acciones de gestión. La auditoría interna puede personalizar sus informes para satisfacer las necesidades de una organización.