Ingresa o regístrate acá para seguir este blog.

Por: Iván Rodríguez. Colaborador de Auditool

Actualmente se aprecia un auge de los sistemas de gestión de riesgos al interior de las empresas. Se constituyen principalmente en una herramienta para ayudar a la administración y la junta a enfrentar proactivamente los riesgos emergentes.

Para un auditor debe ser importante la actitud general de la administración frente a la gestión del riesgo y la inversión que se haga sobre este tema. El comportamiento frente al riesgo en general, tendrá una incidencia en cómo se asuman los riesgos propios asociados con la información financiera y sus reportes.

Es así como la falta de aceptación, a nivel ejecutivo, de la importancia de gestionar los riesgos de toda la empresa puede indicar una falta de compromiso con la gestión de los riesgos más estrechamente relacionados con los informes financieros.

Por el contrario, algunos auditores entienden que el enfoque más amplio de la administración para gestionar los riesgos de toda la empresa puede ser interesante, pero no relevante para las auditorías de los estados financieros. Por ejemplo, riesgos como los movimientos de la competencia, la innovación disruptiva, los cambios en la demografía de los clientes, las preocupaciones sobre el talento o el impacto de los eventos geopolíticos, pueden parecer procesos externos a la contabilidad y a los controles internos del proceso de información financiera.

Esta última posición pudiera ser equivocada. El débil compromiso de la administración para abordar los riesgos en general puede ser también un indicador del enfoque de la administración en los riesgos de la información financiera. Por lo tanto, el enfoque de la gestión de riesgos en toda la empresa de una organización puede proporcionar a los auditores información valiosa en el proceso de auditoría.

Para un auditor es importante aprender sobre el enfoque empresarial de la gestión de riesgo, quién participa, los tipos de riesgos comerciales identificados y priorizados por la administración como parte de ese proceso; también es importante entender cómo la alta administración así como la junta o consejo supervisan la respuesta de la entidad a las preocupaciones de mayor riesgo, pues su manera de proceder puede proporcionar información valiosa para que el auditor planee de mejor manera sus auditorías. Este entendimiento puede revelar ideas sobre riesgos comerciales clave y el sistema de control interno en conjunto.

De acuerdo con Mark S. Beasley (CPA y PhD, director de la Iniciativa ERM en la Universidad Estatal de Carolina del Norte en Raleigh), en un reciente artículo, publicado en “The Journal of Acountancy”, se plantean algunas consideraciones que debe tener en cuenta el auditor, al respecto[1]:

¿QUIÉN LIDERA EL PROCESO DE GESTIÓN DEL RIESGO?

Es importante que una empresa tenga una persona responsable de liderar el tema de gestionar los riesgos. Sin una persona o grupo de individuos explícitamente enfocados en diseñar e implementar un proceso de gestión de riesgos para ser aplicado en toda la empresa, el enfoque de una entidad para la supervisión de riesgos sería insuficiente para monitorear efectivamente el volumen y la complejidad de los riesgos. Por lo tanto, evaluar si la organización ha seleccionado un líder del proceso de gestión de riesgos puede ser una de las primeras consideraciones que los auditores deban hacer.

Algunas organizaciones han designado personas para que se desempeñen como jefes de operaciones (CRO – Chief Risk Officers, por sus siglas en inglés), o en puestos con responsabilidades equivalentes, para facilitar el lanzamiento y la coordinación de los procesos permanentes de identificación y presentación de informes de riesgos. También se están creando comités de riesgo a nivel de gestión que consisten en una serie de líderes de unidades de negocios clave de la entidad que se reúnen regularmente para discutir los problemas de riesgo en curso

Las consultas que efectúen los auditores a las personas que ocupen estos puestos de liderazgo, pueden proporcionar información sobre la solidez de los procesos de evaluación de riesgos de la administración y una comprensión más profunda de algunos de los riesgos más importantes en el horizonte para la entidad. Así mismo, las consultas pueden proporcionar información importante sobre el diseño del proceso de gestión de riesgos de la entidad y el nivel de compromiso del ejecutivo con ese proceso.

Una revisión de las actas de las reuniones de los comités de riesgo a nivel gerencial y las discusiones con los miembros del comité de riesgos pueden proporcionar perspectivas enriquecedoras que ayudan a fortalecer la comprensión del negocio y la industria y los riesgos asociados. También aporta al conocimiento del control de riesgos de la entidad.

¿CUÁL ES EL PROCESO DE IDENTIFICACIÓN DE RIESGO?

De acuerdo con el marco de control interno COSO, uno de sus componentes es el de evaluación de riesgos. Las organizaciones identifican los riesgos para gestionarlos y facilitar el logro de sus objetivos. Por tanto, debe haber algún tipo de enfoque estructurado utilizado para involucrar a la gerencia en la identificación y evaluación de riesgos.

Comprender el proceso utilizado por la administración para identificar riesgos en toda la empresa es fundamental para la evaluación del auditor. En algunas organizaciones, el proceso de identificación de riesgos está bien definido y los miembros clave de la administración participan periódicamente en actividades para ayudar a identificar los riesgos futuros.

Los auditores pueden querer prestar especial atención a las organizaciones que carecen de un enfoque claro y estructurado para involucrar regularmente a la administración en la consideración de los riesgos. Un enfoque débil o inexistente para la identificación del riesgo puede llevar a los auditores a cuestionar si existe un «tono en la parte superior» suficiente con respecto a la gestión del riesgo.

La información sobre las técnicas utilizadas para involucrar a la gerencia en un proceso de identificación de riesgos, quién está involucrado en el proceso entre la administración y con qué frecuencia ocurre, puede ofrecer información importante sobre la viabilidad del proceso de evaluación de riesgos de la administración.

¿QUÉ TIPO DE INFORMACIÓN DE RIESGO SE REPORTA?

El objetivo de involucrar a la administración en las tareas de identificación de riesgos es ayudar a los líderes de la organización a identificar los riesgos más importantes que puedan afectar el logro de los objetivos. Comprender los riesgos generados por ese proceso ayuda a los auditores a comprender la naturaleza y el alcance de los riesgos que más preocupan a la gerencia.

Algunos de los riesgos identificados por parte de la administración, no estarán directamente relacionados con riesgos de errores en los estados financieros; no obstante, la evaluación de los principales riesgos probablemente permita conocer a los auditores sobre factores internos y externos importantes que podrían afectar el modelo de negocios de la entidad o el éxito de su plan estratégico. Esa información puede, a su vez, identificar las posibles presiones sobre la administración que, en última instancia, podrían aumentar el riesgo de error material, incluido el riesgo de fraude.

Las organizaciones generalmente informan entre cinco (5) y veinte (20) riesgos clave anualmente a la junta directiva. Generalmente, esa información se presenta a la junta directiva completa o a uno de sus comités, a menudo el comité de auditoría. Varias entidades están creando documentos estandarizados de «perfil de riesgo» en los materiales de lectura previos a la junta. Esos perfiles a menudo incluyen una visión general de la preocupación por el riesgo, su probabilidad de ocurrencia e impacto para la organización, cómo la organización responde a cada riesgo y la adecuación de cada respuesta de la administración a los riesgos, y la administración de métricas está usando para monitorear cada riesgo a través del tiempo.

La información de los procesos de evaluación de riesgos de la administración, incluidos los perfiles de riesgo u otros informes de riesgos, puede ser particularmente útil como aporte para las discusiones de «lluvia de ideas» entre el equipo de trabajo sobre los riesgos de errores materiales, incluidos los riesgos de fraude.

¿CUÁN EFECTIVA ES LA SUPERVISIÓN DEL CONSEJO DE LA EVALUACIÓN DE RIESGOS?

Si bien la junta directiva es en última instancia responsable de la supervisión de los principales riesgos, a menudo asigna la responsabilidad de comprender y aprobar el proceso de gestión de riesgos de la administración al comité de auditoría. Esto suele ocurrir en ciertas entidades y bajo ciertas legislaciones particularmente.

Las juntas directivas suelen asignar cada uno de los riesgos principales a las agendas de futuras reuniones de la junta para su posterior gestión. Los auditores pueden beneficiarse de la comprensión de cómo la junta asigna la responsabilidad de supervisar los procesos de gestión de riesgos de la administración y cómo esos comités evalúan su efectividad de esos procesos.

Tanto las actas del comité como las discusiones del auditor con los presidentes de los comités u otros miembros, pueden ser especialmente informativas sobre la solidez del entorno de control general de la entidad y los procesos de evaluación de riesgos. La revisión de esta información puede indicar la eficacia (o la falta de ella) del proceso de gobierno en general.

¿QUÉ TAN EFECTIVO ES EL MANEJO DE RIESGOS DE GESTIÓN?

Como práctica, algunas organizaciones están designando a diferentes miembros de la gerencia en toda la empresa para que cumplan el papel de «propietarios de riesgos» para cada uno de los diez o veinte principales riesgos presentados a la junta. Los propietarios del riesgo son responsables de realizar un análisis exhaustivo de su riesgo asignado para comprender los factores que originan el riesgo y evaluar la idoneidad de la respuesta de la entidad a cada riesgo para evitar que ocurra o para minimizar su impacto.

Normalmente, los propietarios de los riesgos son los responsables de actualizar a la alta gerencia y a la junta sobre el estado actual y esperado de su riesgo asignado. Comprender si la administración ha establecido responsabilidades para la gestión de los riesgos clave, y como lo ha hecho, proporcionará una señal sobre la solidez de su enfoque y atención a la supervisión de los riesgos. Si nadie se considera responsable de los principales riesgos, ¿qué tan efectivas son las respuestas a los riesgos?

A medida que las entidades fortalecen sus procesos generales de gestión de riesgos en toda la empresa, muchos mejoran sus sistemas de informes, para incluir algunas métricas que ayudan a la administración a monitorear los cambios en las exposiciones de riesgos emergentes. Estas métricas se conocen generalmente como indicadores clave de riesgo (KRI), que pueden basarse en factores internos o externos asociados con cada riesgo emergente.

La presencia de KRI en los tableros de gestión puede ayudar a los auditores en la planificación o procedimientos analíticos, además de los conocimientos que pueden proporcionar como parte de los procedimientos analíticos realizados en las etapas finales de la auditoría. Los KRI a menudo se basan en información no financiera y, por lo tanto, pueden brindar oportunidades adicionales para que el auditor desarrolle expectativas sobre los saldos o tendencias de los estados financieros a lo largo del tiempo.

INSPECCIONES AGREGADAS

El panorama de riesgos en rápida evolución está poniendo de relieve el papel de la evaluación de riesgos en lo que respecta a los controles internos. Si bien es probable que el proceso de gestión para identificar y evaluar riesgos vaya más allá de los riesgos de errores materiales en los estados financieros, la consideración del auditor de una serie de aspectos de esos procesos puede ayudarlo a evaluar los riesgos de la auditoría. El tiempo invertido en comprender y evaluar el proceso general del cliente para gestionar los riesgos que afectan a la empresa puede conducir a una apropiada comprensión de la eficacia de la gestión y la supervisión del riesgo que ejerce la junta.

Los sistemas de gestión de riesgos de toda la empresa se han expandido enormemente en los últimos años, principalmente como una herramienta para ayudar a la administración y la junta a abordar los riesgos emergentes. En lugar de tratar el sistema de gestión de riesgos de toda la empresa como algo más allá del ámbito del auditor, los auditores de los estados financieros pueden considerar cómo la información del proceso de gestión del riesgo podría mejorar sus procesos de auditoría.

Se presentan a continuación algunos factores a tener en cuenta por parte del auditor en su evaluación:

Líder o propietario de riesgo:

  • ¿Ha seleccionado la organización un líder dedicado para supervisar el diseño y la implementación de un proceso de gestión de riesgos en toda la empresa?
  • ¿En qué parte de la organización reside este individuo y a quién informa este puesto en la organización?
  • ¿Tiene la persona acceso a la junta directiva?
  • ¿Cuál es el alcance de las responsabilidades de gestión de riesgos de esta persona?
  • ¿Hay un comité de riesgos a nivel de gestión? De ser así, ¿quiénes son sus miembros? ¿Cuáles son las responsabilidades del comité y con qué frecuencia se reúnen? ¿El comité mantiene las minutas de las reuniones que pueden ser revisadas?
  • ¿Qué tipo de relación, si existe, tiene el líder de riesgos y / o el comité de riesgos con otras personas involucradas en el proceso de gestión de riesgos? ¿En qué medida comparten información con otras personas a cargo de los informes financieros?
  • ¿Qué puntos de vista tienen estos líderes sobre los riesgos para los estados financieros y la divulgación?

Procesos de gestión de riesgos

  • ¿Qué proceso usa la administración para identificar los riesgos?
  • Si se pidiera a diferentes miembros de la gerencia que describan sus procesos para identificar, evaluar y gestionar riesgos a nivel de empresa, ¿qué tan consistentes serían sus respuestas?
  • ¿Existen acciones y procesos identificables y explícitos en torno a la gestión de riesgos de toda la organización de la organización, o el enfoque es principalmente no estructurado?
  • ¿Qué procesos se utilizan para involucrar a la administración en una tarea explícita de identificación de riesgos? ¿Con qué frecuencia la organización involucra a la gerencia en ese proceso? ¿Quién entre el equipo de gestión está involucrado?
  • ¿Cómo concluye la administración que tiene un sistema efectivo de control interno si no existe un proceso identificable utilizado por la administración para identificar, evaluar y monitorear sus principales riesgos?
  • ¿Cuál es la naturaleza de la información de riesgo reportada a la alta gerencia y al consejo?
  • ¿Qué tipos de riesgos genera el proceso de supervisión de riesgos en toda la empresa de la administración? ¿Qué riesgos se reportan a la alta dirección y al consejo de administración?
  • ¿Cómo documenta y reporta la gerencia los detalles a la junta directiva sobre las exposiciones de alto riesgo que enfrenta la organización?
  • ¿Cómo podría esa información ser útil para la consideración del auditor de los riesgos a los informes financieros?

Junta Directiva o Consejo:

  • ¿En qué medida algunas de las exposiciones de riesgo más importantes de la entidad identificadas por la administración y discutidas con la junta pueden tener un impacto en los informes y divulgaciones de los estados financieros?
  • ¿Qué tan efectiva es la supervisión de la junta del proceso de evaluación de riesgos?
  • ¿Cuál es el papel de la junta en la supervisión de riesgos? ¿Ha reconocido el consejo su responsabilidad de supervisión de riesgos en su carta orgánica? ¿Podría la junta articular el proceso de la administración para supervisar los riesgos de toda la empresa?
  • ¿Ha delegado la junta la supervisión del riesgo a uno de sus comités? De ser así, ¿qué tareas específicas se delegan al comité? ¿El comité asume la responsabilidad de revisar y aprobar el proceso de evaluación de riesgos de la administración? ¿El comité es responsable de revisar los principales riesgos que surgen del proceso de evaluación de riesgos, o es responsabilidad de la junta directiva?

Informes

  • ¿En qué medida los informes para el consejo de administración incluyen información sobre los principales riesgos y las respuestas de la administración a esos riesgos? ¿Qué tan efectivo es el sistema de información de la administración para monitorear los riesgos principales?
  • ¿Ha asignado la administración «propiedad» de la gestión de ciertos riesgos a personas específicas que forman parte del equipo de gestión? ¿Qué tipos de responsabilidades existen para garantizar que la organización responda efectivamente a sus exposiciones de riesgo más críticas?
  • ¿Cómo la alta gerencia y la junta ganan confianza de que las respuestas a los principales riesgos se implementan y son efectivas? ¿Qué papel tiene la auditoría interna en la evaluación de la efectividad de las respuestas de alto riesgo?
  • ¿Qué tipos de métricas se incluyen en los informes de información de la administración para ayudarlos a estar atentos a las nuevas tendencias de riesgo? ¿La administración tiene un sistema efectivo para reconocer los cambios en las condiciones de riesgo? ¿Cómo podrían esos indicadores proporcionar información útil para ayudar a los auditores a desarrollar expectativas al realizar procedimientos analíticos en la auditoría?

 

[1] https://www.journalofaccountancy.com/issues/2018/sep/risk-oversight-can-inform-audits.html

 

C.P. Iván Rodríguez –            

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá D.C, Colombia

Compartir post