5 MARCOS DE GESTIÓN DE RIESGOS QUE TODO AUDITOR DEBE CONOCER
Estándarviernes, 14 de junio de 2019
Iván Rodríguez
La gestión de riesgos empresariales (Enterprise Risk Management – ERM por sus siglas en inglés) es un campo globalmente aceptado y en crecimiento. Como resultado, organizaciones profesionales en diferentes partes del mundo han publicado varios marcos y declaraciones de riesgos, con diversos enfoques y contenidos constituyéndose en herramientas valiosas en el entorno empresarial, por lo que su conocimiento se hace necesario. Además de los marcos ampliamente conocidos, tales como COSO ERM, el estándar australiano 4360 e incluso Basilea II, existen otros marcos que es importante que un auditor conozca. Se presentan a continuación algunos de ellos[1].
- El Código Combinado y la Guía de Turnbull
- Informe King II
- Estándar de gestión de riesgos de la Federación de la Asociación Europea de Gestión de Riesgos (FERMA)
- Una perspectiva global de la evaluación de control interno sobre la información financiera (ICoFR) de IMA
- Standard & Poor’s y ERM
EL CÓDIGO COMBINADO Y LA ORIENTACIÓN DE TURNBULL
En el Reino Unido, el Financial Reporting Council publicó el Código Combinado sobre Gobierno Corporativo (el Código) en 2003. Aunque el Código no está específicamente etiquetado como un marco de ERM, tiene muchos aspectos similares y se menciona el “riesgo”. Más de 100 veces. El Código establece que el rol de la junta es proporcionar un marco de control efectivo para que el riesgo sea evaluado y administrado. También se requiere que la junta revise la efectividad de los controles, incluidos todos los controles sobre las áreas financiera, operativa y de cumplimiento, así como los sistemas de administración de riesgos.
En 2005, el Financial Reporting Council también publicó Control Interno – Guía Revisada para Directores, en el Código Combinado, que es una revisión del informe Turnbull publicado por primera vez en 1999. Esta guía asume que el directorio de una compañía utiliza un enfoque basado en el riesgo para control interno. La guía sugiere que, para evaluar los procesos de control y riesgo de una empresa, se deben revisar los siguientes elementos:
- Evaluación de riesgos;
- Controlar el entorno y controlar las actividades;
- Información y comunicación; y
- Vigilancia.
La guía ofrece ejemplos de preguntas que podrían utilizarse para evaluar la efectividad de los procesos de control y riesgo. Las preguntas relacionadas con la evaluación de riesgos se centran en la presencia de objetivos claros, la dirección efectiva en la evaluación de riesgos, los objetivos de desempeño medibles, la identificación y evaluación de todos los riesgos de forma continua y una comprensión clara de los riesgos aceptables.
INFORME KING II
El Informe King sobre Gobierno Corporativo para Sudáfrica (Informe King II) se publicó en 2002 para promover el gobierno corporativo. Este informe consta de cinco secciones:
- Consejo y directores;
- Gestión de riesgos;
- Auditoría interna;
- Informes integrados de sostenibilidad; y
- Contabilidad y Auditoría.
El Informe King II también incluye un apéndice sobre “gestión de riesgos y controles internos”.
Según este informe, el consejo es responsable del proceso de gestión de riesgos y su eficacia. La junta debe:
- Establecer políticas de estrategia de riesgo;
- Evaluar el proceso de riesgo;
- Evaluar las exposiciones a riesgos, tales como riesgos físicos y operativos, riesgos de recursos humanos, riesgos tecnológicos, continuidad de negocios y recuperación de desastres, riesgos de crédito y de mercado y riesgos de cumplimiento;
- Revisar el proceso de administración de riesgos y los riesgos importantes que enfrenta la compañía; y
- Ser responsable de las revelaciones de gestión de riesgos.
ESTÁNDAR DE GESTIÓN DE RIESGOS POR LA FEDERACIÓN DE LA ASOCIACIÓN EUROPEA DE GESTIÓN DE RIESGOS (FERMA)
Un consorcio de organizaciones estadounidenses, incluido el Instituto de Gestión de Riesgos, la Asociación de Seguros y Gestores de Riesgos, y el Foro Nacional para la Gestión de Riesgos en el Sector Público, publicaron un Estándar de Gestión de Riesgos (RMS) en 2004. El RMS representa las mejores prácticas que las empresas pueden comparar. No es un documento extenso, pero proporciona un proceso de administración de riesgos, que incluye:
- Vinculación con los objetivos estratégicos de la organización;
- Evaluación de riesgos, que el RMS desglosa en análisis de riesgos, identificación de riesgos, descripción de riesgos, estimación de riesgos y evaluación de riesgos.
- Informe de riesgos;
- Decisión;
- Tratamiento de riesgos;
- Informe de riesgo residual; y
- Vigilancia.
IMA – UNA PERSPECTIVA GLOBAL SOBRE LA EVALUACIÓN DEL CONTROL INTERNO SOBRE INFORMES FINANCIEROS
IMA desarrolló un marco basado en el riesgo para ayudar a la gestión de la empresa en un cumplimiento rentable de los requisitos SOX 404 titulado “Una perspectiva global sobre la evaluación del control interno sobre la información financiera” (ICoFR); incluye autoevaluaciones por parte de los CFO y los propietarios de procesos de los negocios.
El marco, se basa en los avances en las disciplinas de gestión de calidad y riesgo global durante muchos años. Los requisitos de SOX 404 han resultado en que las empresas más pequeñas que cotizan en bolsa se den de baja o amenacen con la exclusión de su cotización; corporaciones más grandes deben emplear personal a tiempo completo y consultores costosos para atender sus programas de cumplimiento.
ICoFR se basa en gran medida en los avances en la gestión global de riesgos, incluida la forma de considerar los riesgos una vez que se ha establecido un contexto de seguridad con los objetivos comerciales adecuados. El contexto de aseguramiento, en lo que se relaciona con SOX 404, son estados financieros exentos de fallas, con un sistema efectivo de controles internos. Sin embargo, el marco basado en el riesgo funciona igual de bien con otros contextos / aplicaciones empresariales, como la planificación de la continuidad del negocio, la gestión de operaciones y la optimización de costos.
El marco de la ICoFR también se basa en los principios tradicionales de la Gestión de la Calidad Total (TQM). Por ejemplo, una vez que se ha establecido el contexto de aseguramiento y se selecciona la cartera de control inicial para abordar las amenazas al logro de los objetivos, el riesgo residual que queda es cuantificable (por ejemplo, mediante el análisis de las tasas de error histórico) y se prueba contra los límites preestablecidos. Esto ayuda a determinar si el riesgo es aceptable o no.
STANDARD & POOR’S Y ERM
Standard & Poor´s (S&P) ha comenzado a incorporar la práctica de ERM de una compañía en la calificación de S&P de la compañía. Actualmente, S&P aplica esta calificación tanto a las instituciones financieras como a las aseguradoras. Su marco para evaluar ERM en los bancos incluye una revisión de las políticas, la infraestructura y la metodología de ERM. Las políticas deben abordar la cultura del riesgo, el apetito y la estrategia; control y seguimiento; y revelación y conocimiento. La infraestructura de ERM cubre tecnología de riesgo, operaciones y capacitación de riesgo. La metodología se refiere a la asignación de capital, la verificación de modelos y los métodos de valoración.
El marco para evaluar a las aseguradoras incluye una evaluación de la cultura de gestión de riesgos, controles de riesgos, gestión de riesgos emergentes, modelos de capital y riesgo y gestión de riesgos estratégicos. S&P califica a una aseguradora como débil, adecuada, fuerte o excelente. Una calificación adecuada significaría que una aseguradora tiene sistemas de control de riesgos en pleno funcionamiento para todos los riesgos importantes.
No hay comentarios.:
Publicar un comentario