POR QUÉ LOS AUDITORES INTERNOS Y ESPECIALISTAS EN RIESGOS NO DEBEN SEGUIR ESTA GUÍA IIA?

Estándar

Tim Leech

Objective Centric Risk Management Pioneer & Thought Leader

6 horas • The Institute of Internal Auditors (Official Global Group)

Why Internal Auditors and Risk Specialists SHOULD NOT Follow this IIA Guidance

In April I posted to alert the world that the IIA issued new guidance on how to assess the effectiveness of RM. It attracted the highest number of views/likes of any post I have ever made on the IIA official site and, perhaps, broke all prior records. (http://bit.ly/2URKZAV)

My advice now: DO NOT USE THIS GUIDANCE. It is still based on old assumptions/thinking that ERM/RM should be risk centric, not objective centric. It does not say ERM/RM should start by deciding which strategic/value creation objectives and value preservation objectives are important enough to dedicate time/money/resources/focus to warrant a formal risk assessment.

COSO ERM 2017 says ERM should start with strategy and objectives. ISO 31000 2018 defines risk as “the effect of uncertainty on the achievement of objectives”. Evidence is increasing that supports the view that risk centric ERM frameworks are increasingly failing. (http://bit.ly/2QDVHKD) At the same time, evidence continues to build that “risk based” internal auditing is not resulting in happier customers. Stop “putting the cart before the horse”. (http://bit.ly/2Xk1vM4)

Look at the business case for objective centric ERM/assurance. (http://bit.ly/2QWxuPq) hashtag#OCRCM

Traducción automática

Por qué los auditores internos y especialistas en riesgos no deben seguir esta guía IIA

En abril publiqué para alertar al mundo que el AII emitió nuevas orientaciones sobre cómo evaluar la efectividad de RM. Atrajo el mayor número de visualizaciones/gustos de cualquier puesto que he hecho en el sitio oficial de IIA y, tal vez, rompió todos los registros anteriores. ( http://bit.ly/2URKZAV)

Mi consejo ahora: no USE esta guía. Todavía se basa en viejas suposiciones/pensamiento que ERM/RM debe estar centrado en el riesgo, no centrado en objetivos. No dice que ERM/RM debería comenzar por decidir qué objetivos estratégicos/de creación de valor y objetivos de preservación de valor son lo suficientemente importantes como para dedicar tiempo/dinero/recursos/enfoque para justificar una evaluación formal del riesgo.

COSO ERM 2017 dice que ERM debe comenzar con la estrategia y los objetivos. La norma ISO 31000 2018 define el riesgo como “el efecto de la incertidumbre en la consecución de los objetivos”. La evidencia está aumentando que respalda la visión de que los marcos de ERM centrados en el riesgo están fallando cada vez más. ( http://bit.ly/2QDVHKD) Al mismo tiempo, la evidencia continúa en la construcción de que la auditoría interna “basada en el riesgo” no resulta en clientes más satisfechos. Deja de “poner el carrito delante del caballo”. ( http://bit.ly/2Xk1vM4)

Mire el caso de negocio para el ERM/Assurance centrado en objetivos. ( http://bit.ly/2QWxuPq) #OCRCM