11 Principios Básicos Proceso Gestión Riesgos Norma ISO 31000
Por: Nahun Frett – MBA, CIA, CCSA, CRMA, CPA, CFE
Los auditores internos tienen que obtener evidencia suficiente y apropiada para determinar que los objetivos clave de los procesos de gestión de riesgos se hayan cumplido, con el fin de formarse una opinión sobre la adecuación de dichos procesos.
Un sistema efectivo de gestión de riegos permite entre otras cosas:
1. Aumentar la probabilidad de alcanzar objetivos;
2. Motivar una dirección proactiva;
3. Ser consciente de la necesidad de identificar y tratar el riesgo en todas partes de la organización;
4. Mejorar la identificación de oportunidades y amenazas;
5. Cumplir con exigencias legales y requerimientos de regulación y normas internacionales;
6. Mejorar la gobernabilidad;
7. Mejorar la confidencialidad y confianza en las partes interesadas.
8. Establecer una base confiable para la toma de decisiones y la planificación;
9. Mejorar controles;
10. Asignar con eficacia el uso de los recursos para el tratamiento de riesgo;
11. Mejorar la eficacia y eficiencia operacional;
12. Mejorar la prevención de pérdidas y manejo de incidentes;
13. Minimizar pérdidas;
14. Mejorar el conocimiento de la organización;
15. Mejorar la capacidad de recuperación de la organización.
¿Qué herramienta podemos emplear los auditores internos para determinar el grado de eficiencia y efectividad del sistema de gestión de riesgos?
La Norma ISO 31000 establece que todo proceso de gestión de riesgo debe:
Crear y proteger el valor
Contribuye a la consecución de objetivos así como a la mejora de aspectos tales como la seguridad y salud laboral, cumplimiento legal y normativo, protección ambiental, etc.
Estar incorporada en todos los procesos
No debe ser entendida como una actividad aislada sino como parte de las actividades y procesos principales de una organización.
Ser parte del proceso para la toma de decisiones:
La gestión del riesgo ayuda a la toma de decisiones evaluando la información sobre las distintas alternativas de acción.
Ser usada para tratar con la incertidumbre
La gestión de riesgo trata aquellos aspectos de la toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse.
Ser estructurada, sistemática, y oportuna
Contribuye a la eficiencia y consecuentemente, a la obtención de resultados fiables.
Basada en la mejor información disponible
Los inputs del proceso de gestión de riesgos están basados en fuentes de información como la experiencia, la observación, las previsiones y la opinión de expertos.
Adaptarse a su entorno:
Hecha a su medida, alineada con el contexto externo e interno de la organización y con su perfil de riesgo.
Considerar factores humanos y culturales
Reconoce la capacidad, percepción e intenciones de la gente, tanto externa como interna que pueda facilitar o dificultar la consecución de los objetivos de la organización.
Ser transparente, inclusiva, y relevante
La apropiada y oportuna participación de los grupos de interés y, en particular, de los responsables a todos los niveles, deben asegurar que la gestión del riesgo permanece relevante y actualizada.
Dinámica, sensible al cambio, e iterativa
La organización debe velar para que la gestión de riesgos detecte y responda a los cambios de la empresa. Conocer como ocurren los acontecimientos externos e internos, cambio del contexto, nuevos riesgos que surgen y otros que desaparecen.
Facilitar la mejora continua de la organización:
Las organizaciones deberían desarrollar e implementar estrategias para mejorar continuamente, tanto en la gestión del riesgo como en cualquier otro aspecto de la organización.
Del Autor: Nahun Frett, es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de www.auditool.org
Comentarios