Cerrar Menú
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingrese o regístrese acá para seguir este blog.

Seguir este blog

Auditool.org

Red Global de Conocimientos en Auditoría y Control Interno


Por: Nahun Frett. Colaborador de www.auditool.org 

Consulta: Mi empresa no tiene sistema de gestión de riesgos y no implementa las recomendaciones

Quisiera pedirte tu opinión de qué debemos hacer cuando te enfrentas a un directorio que no está de acuerdo a tu evaluación de riesgos. Como auditores muchas veces nos enfrentamos a directorios que son familia y que han formado su empresa con mucho esfuerzo, y a medida que van creciendo, lo hacen sin “formalizar” esta cultura de riesgo que ya a esa altura deberían tener.

Pregunta No. 1: Te consultan “como experto” pero tu evaluación al final no es considerada. ¿Qué hacer en ese caso?

Esta pregunta la debemos responder con dos preguntas:

¿Por qué existe un departamento de auditoría interna en su organización?

I. Para realizar tareas irrelevantes como la toma física de inventarios o realizar arqueos de caja.
II. Para descubrir fraudes e irregularidades.
III. Porque las empresas del sector que opera su organización tiene departamentos de auditoría interna.
IV. Su organización es una institución regulada, en la cual el ente regulador requiere que exista una función de auditoría interna.
V. Para mejorar y proteger el valor de la organización proporcionando aseguramiento, asesoría y análisis en base a riesgos.

Cómo es una empresa de familia, usted como Director de Auditoría Interna (DAI) debería obtener la respuesta a esta interrogante de los principales dueños de la organización, y luego realizar una ponderación profunda, si la respuesta no es algo similar a lo presentado en la opción número 5.

¿Por qué los líderes de su empresa no están de acuerdo con desarrollar una evaluación formal de los riesgos que podrían impactar a su organización?

Luego que conozca la razón de la resistencia, usted está en posición idónea para desarrollar una estrategia de mercadeo efectiva, la cual puede incluir:

I. Promover los beneficios y ventajas de la implementación de este sistema.
II. Colaborar en la identificación y evaluación de los principales riesgos.
III. Asesorar a la dirección en la respuesta a los riesgos identificados.
IV. Colaborar en la coordinación de la gestión de riesgos.
V. Apoyar en el proceso implantación y mantenimiento del marco de la gestión de riesgos y su política, como soporte para el Consejo de Administración y el Comité de Auditoría.

Adicionalmente, aunque su organización no tenga desarrollado un sistema de gestión de riesgos, auditoría interna en su organización debe:

I. Demostrar su comprensión de los procesos de gestión de riesgos de la organización y buscar oportunidades de mejora. En las conversaciones con la alta dirección y con el Consejo, el DAI podrá valorar el apetito al riesgo, la tolerancia al riesgo y la cultura de riesgo de la organización.

II. Estar alertar a la Dirección sobre nuevos riesgos, así como sobre riesgos que no han sido adecuadamente mitigados, y proporcionar recomendaciones y planes de acción para una adecuada respuesta a los riesgos (por ejemplo, aceptar, continuar, transferir, mitigar o evitar).

III. Realizar sus propias evaluaciones de riesgo. Normalmente se podrá deducir el apetito al riesgo de la organización de conversaciones con la Dirección y con el Consejo y también de las políticas de la organización y de las actas de las reuniones. Esto permitirá al DAI y a la actividad de Auditoría Interna alinear las respuestas a los riesgos que recomienden.

IV. Utilizar un marco de referencia sobre gestión de riesgos o sobre control interno ya existente (por ejemplo, el marco del Committee of Sponsoring Organizations of the Treadway Commissio –COSO– o la norma ISO 31000) para guiar su identificación de riesgos.

V. Mantenerse actualizada en lo referente a exposiciones a riesgos potenciales y oportunidades relacionadas con éstos, la actividad de Auditoría Interna puede también investigar sobre nuevos desarrollos y tendencias relacionadas con el sector de la organización, y también sobre procesos que puedan ser empleados para supervisar, evaluar y responder a los referidos riesgos y oportunidades.

Pregunta No. 2 – ¿Tomar palco y ver cómo nos golpeará la materialización del riesgo y terminar cuantificando su impacto? Quiérase o no, nuestra opinión muchas veces queda solo para el registro de que “nosotros lo dijimos, pero no nos tomaron en cuenta”.

Los auditores internos pueden desarrollar de forma independientes análisis de deficiencias para determinar si los riesgos significativos están siendo identificados y evaluados adecuadamente. De esta forma, la actividad de Auditoría Interna estará posicionada para evaluar el proceso de evaluación de riesgos de la Dirección.

Al revisar el proceso de gestión de riesgos, es importante que los auditores internos identifiquen y debatan sobre los riesgos y la correspondiente respuesta que haya sido elegida. Por ejemplo, la Dirección puede elegir aceptar un riesgo, y el DAI necesitará determinar si la decisión es apropiada de acuerdo con el apetito al riesgo de la organización o la estrategia de gestión de riesgos.

Si el DAI concluye que la Dirección ha aceptado un nivel de riesgos que puede ser inaceptable para la organización, el DAI debe comentar este asunto con la alta dirección y puede necesitar comunicar el tema al Consejo, de acuerdo con la Norma 2600 – Comunicación de la Aceptación de los Riesgos. En los casos en los que la Dirección elige emplear una estrategia de mitigación en respuesta a los riesgos identificados, la actividad de Auditoría Interna puede evaluar, si es necesario si las acciones correctivas son adecuadas y se han tomado en el momento oportuno. Esto se puede lograr revisando el diseño del control y probando los controles y supervisando los procedimientos.

Para finalizar, si sus recomendaciones no son implementadas, usted debe aplicar el esquema presentado en la Norma 2600 –Comunicación de la aceptación de los riesgos

Cuando el director ejecutivo de auditoría concluya que la dirección ha aceptado un nivel de riesgo que pueda ser inaceptable para la organización, debe tratar este asunto con la alta dirección. Si el director ejecutivo de auditoria determina que el asunto no ha sido resuelto, el director ejecutivo de auditoría debe comunicar esta situación al Consejo.

Interpretación: La identificación del riesgo aceptado por la dirección puede observarse a través de un trabajo de aseguramiento o consultoría, a través del seguimiento del progreso sobre las acciones tomadas por la dirección como resultado de anteriores trabajos, o a través de otros medios. El director ejecutivo de auditoria no tiene la responsabilidad de resolver el riesgo.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

 

Nahun Frett

Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de Auditool

Santo Domingo, República Dominicana

(Visited 206 times, 1 visits today)

Etiquetas

PERFIL
Profile image

Auditool.org, es una red de conocimientos especializada en temas de auditoría y control interno, creada para permitir la transferencia de conocimiento de buenas prácticas a profesionales que laboran en estas áreas.

    Siga a este bloguero en sus redes sociales:

Más posts de este Blog

Ver más

Lo más leído en Blogs

1

Lo bueno: Su decisión por reivindicar a los pobres. Su ánimo por(...)

2

Continuando con nuestro estudio del análisis fundamental, seguimos con el tema de(...)

3

El postre es para mí el momento más esperado de un almuerzo(...)

0 Comentarios
Ingrese aquí para que pueda comentar este post
Reglamento de comentarios

PORTAFOLIO no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto por comentario.
Acepto
¿Encontró un error?

Para PORTAFOLIO las observaciones sobre su contenido son importantes. Permítanos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de nuestra compañía.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Su calificación ha sido registrada.
Su participación ya fue registrada.
Haga su reporte
Cerrar
Debe escribir su reporte.
Su reporte ha sido enviado con éxito.
Debe ser un usuario registrado para poder reportar este comentario. Cerrar