HOJA DE RUTA PARA AUDITAR LA GESTIÓN DE RIESGOS

miércoles, 14 de marzo de 2012

Por: Juan Alberto Villanueva Chan

Es ineludible que tarde o temprano realizaremos una auditoría a la gestión de riesgos en nuestras organizaciones. En esta nueva tarea, los auditores enfrentamos dos escenarios particulares: las observaciones que encontremos podrían recaer necesariamente en el Comité de Riesgos y; el enfoque de las revisiones serán básicamente de cumplimiento a la normatividad de riesgos en la organización.

Las técnicas para evidenciar el cumplimiento de la normatividad de riesgos recaen en la observación, indagación e inspección. Observamos el desempeño de las sesiones para identificar y evaluar riesgos con los responsables. Por ejemplo, se observa la existencia de reportes de las sesiones de identificación de riesgos y controles y sus correctivos. Se indaga con personas entendidas que nos provea información sobre cómo va el funcionamiento de la gestión de riesgos en sus procesos. Por ejemplo, indaguemos si hubo evaluaciones de riesgos de TI y la antigüedad de sus recomendaciones. Se inspeccionan registros o documentos que validen el cumplimiento de la normatividad y metodologías de la gestión de riesgos.  Por ejemplo, inspeccionamos el historial de las actas de sesiones y propuestas de mitigación de riesgos.

En adición, existen técnicas adicionales que pueden usarse y combinarse. Dichas técnicas son la evaluación de conocimientos, que combinando las técnicas de indagación e inspección, se puede revisar cómo se ha desarrollado los programas de capacitación y sensibilización de riesgos en toda la organización. Mediante estas técnicas el  auditor corrobora el contenido de un informe del área de riesgos con los miembros que participaron en las sesiones de trabajo. El propósito es validar la consistencia de la información en los reportes de riesgos. Comprobar que los aplicativos TI automatizados para la identificación y evaluación de riesgos almacenen la data según lo esperado.

Si bien existen pocas referencias para desarrollar un programa de auditoría a la gestión de riesgos, es posible tomar como guía la secuencia del ISO 31000, es decir primero identificar la existencia de principios, luego que estos principios fluyan por un marco de gestión de riesgos, es decir la instrumentación, para finalmente comprobar que se desarrolla el proceso de gestión de riesgos. Es importante advertir que existe cierta lógica en cumplir ciertos pasos previos para culminar con un plan de mitigación de riesgos según el ISO 31000 – Gestión de Riesgos.

A continuación se describe algunos puntos de atención que se debe tomar en cuenta en un programa de auditoría respetando el marco ISO 31000:

1. Principios:

• ¿Se encuentra incorporada la gestión de riesgos en todos los procesos de la entidad?
• ¿La gestión de riesgos es iterativa, dinámica y sensible al cambio?
• ¿La gestión de riesgos está adaptada al entorno del negocio?
• ¿La gestión de riesgos toma en cuenta factores humanos y culturales?
• ¿La gestión de riesgos facilita la mejora continua de la organización?
• ¿La gestión de riesgos forma parte de la toma de decisiones?

1. Marco:

• ¿Está definida y asignada la política de gestión de riesgos?
• ¿Existen indicadores para medir el funcionamiento de la gestión de riesgos?
• ¿Están alineados los objetivos de gestión de riesgos a los objetivos estratégicos de la organización?
• ¿Se tiene asegurado el cumplimiento regulatorio de gestión de riesgos?
• ¿Se tiene adecuadamente asignada la responsabilidad de la gestión de riesgos en la organización?
• ¿Se asignó recursos para el desarrollo de la gestión de riesgos?
• ¿Se cuenta con un plan de gestión de riesgos para su implementación?
• ¿El informe de riesgos señala la eficacia del marco de gestión de riesgos?

III. Proceso:

• ¿Se evidencia comunicación y consulta interna y externa con los stakeholders?
• ¿Se tiene establecido el contexto de la gestión de riesgos?
• ¿Se definió los factores y criterios de riesgos (naturaleza, causas y consecuencias, probabilidad, nivel de riesgo aceptable, etc)
• ¿Se evidencia el análisis de riesgos mediante consecuencias y probabilidad de impacto?
• ¿Se evidencia la evaluación de riesgos comparando el nivel de riesgo encontrado y la tolerancia al riesgo?
• ¿Se evidencia una selección de opciones de tratamiento al riesgo?
• ¿Se cuenta con planes de implementación de planes de tratamiento al riesgo?
• ¿Se cuenta con actividades de supervisión a todo el proceso de gestión de riesgos?
• ¿Existe un registro de toda la documentación del proceso de gestión de riesgos?

Blog:

Nahun Frett

Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios.