rol de la auditoría interna en la administración de riesgos
DESCRIPTION
A individual translation from the book: Internal Auditing's Role in Risk Management. Institute of Internal Auditors.TRANSCRIPT
Rol de la Auditoría Interna en la Administración de Riesgos
Traducción: Gary Garita J. CPA 6746. Colegio de Contadores Públicos de
Costa Rica. (Fines educativos únicamente) [email protected]
¿Qué se le pide hacer a la Auditoría?En agosto de 2009, una red de información de Auditoría Global (GAIN) realizó una encuesta flash con 321 encuestados, los cuales identificaron lo siguiente cuando se le preguntó acerca de las directrices emanadas de los comités de auditoría (CAE):
Proporcionar una opinión sobre cualquier área o programa individual relacionada con la gestión de riesgos.
41%
Proporcionar una opinión sobre los procesos de gestión sobre todo tipo de riesgo de la organización.
23%
Realizar auditorías específicas de cualquiera de los componentes de la gestión de riesgos.
28%
Emitir sugerencias sobre la mejora de los procesos de gestión de riesgos en la organización.
45%
Pregunta de la encuesta:¿Hasta qué punto está de acuerdo o en desacuerdo en que hay una necesidad emergente del Comité de Auditoría (CAE) para tener un mejor conocimiento de los procesos de gestión de riesgos?
Totalmente de acuerdo: 37% De acuerdo: 38%
Neutral: 5% Desacuerdo:1%
Totalmente en desacuerdo:19%
Perspectiva del Mundo RealLos auditores internos entienden los conceptos de gestión de riesgos y la propuesta de valor, mejor que la mayoría de los empleados. Por lo tanto, los CAE deberían ser más proactivos en la educación de los comités de gestión y de la auditoría misma, sobre el valor de la gestión eficaz de los riesgos y las funciones que los auditores internos pueden tomar para ayudar a mejorar ese valor.
Las encuestas indican consistentemente que la gestión de riesgos es la clave y el tema emergente en la agenda del Comité de Auditoría.
Perspectiva del Mundo RealLa mayoría de las actividades de auditoría interna utilizan un modelo basado en el riesgo al desarrollar su plan de auditoría que considera las opiniones y peticiones de gestión. Si bien este enfoque es típicamente aceptado, puede retrasarse en la identificación de áreas de riesgo emergentes e importantes.
Si el comité de auditoría y la administración no tienen una sólida comprensión de los conceptos de gestión de riesgos, no pueden identificar y solicitar proyectos adecuados que se refieran a zonas de riesgo emergentes.
Roles realizados actualmente por la Auditoría
1. Facilita la identificación y evaluación de los riesgos clave 65%
2. Participa en la identificación de los riesgos emergentes 62%
3. Proporciona un aseguramiento a través de informes escritos, sobre la gestión de los principales riesgos
49%
4. Dirige una administración en la respuesta a los riesgos 43%
5. Proporciona un aseguramiento a través de los informes de auditoría por escrito que los riesgos están correctamente identificados y evaluados
38%
6. Proporciona informes de consultoría para mejorar o implementar el proceso de gestión de riesgos
29%
7.Proporciona una garantía a través de los informes de auditoría, por escrito, sobre el proceso de gestión de riesgos
28%
8. El informe consolidado sobre los riesgos 17%
9.Participa en la creación del apetito de riesgo de la organización
11%
10. Desarrolla las políticas de la organización de sus procesos de gestión de riesgos
8%
11. Implementa las respuestas al riesgo en vez de la administración
4%
12. Toma decisiones sobre las respuestas al riesgo 3%
• Brindar aseguramiento sobre el proceso de administración de riesgo
• Brindar aseguramiento de que el riesgo está correctamente evaluado
• Evaluar al proceso de Riesgo• Evaluar el reporte de los riesgos clave del
negocio• Revisar la administración de los riesgos claves
del negocio
Se debe hacer
• Facilitar la identificación y evaluación de los riesgos
• Dirigir la administración en respuesta a los riesgos
• Coordinar las actividades de ERM• Consolidar la reportería en riesgos• Mantener y desarrollar el esquema o mapa de
riesgos• Liderar el establecimiento de la ERM• Desarrollar la estrategia de ERM para la
aprobación de las Juntas Directivas
Se puede hacer
• Definir el apetito por el riesgo• Implementar el proceso de administración de los
riesgos• Administrar el aseguramiento de los riesgos• Tomar deciones en respuesta a los riesgos• Implementar la respuesta a los riesgos en medio
de la administración• Contabilización del Riesgo
No se debe hacer
Si bien hay buenas razones por las que el último grupo de funciones no deben ser realizadas por auditores internos, puede haber momentos adecuados para hacerlo de todos modos. Si la organización tiene una necesidad importante en relación con la gestión de riesgos, y nadie más tiene la experiencia para satisfacer esa necesidad, puede ser mejor que un auditor interno se llena ese papel más que nadie en absoluto
Perspectiva del Mundo Real
Los Comités de Auditoría deben buscar oportunidades para llevar a cabo la mayor cantidad de servicios de consultoría como sea posible y comunicarse oficialmente los resultados de los servicios de consultoría.
Muchas de las actividades de auditoría interna tienen las habilidades para llevar a cabo estas actividades. Salvaguardias adecuadas, que normalmente aseguran que la responsabilidad, la responsabilidad y la autoridad de descanso con la dirección, no de la actividad de auditoría interna, no son tan difíciles de poner en su lugar. Sin embargo, es importante asegurarse de que estas medidas de seguridad son bien conocidos por el comité de auditoría y la administración.
Perspectiva del Mundo Real
Estudios realizados durante la última década han demostrado que las quiebras de empresas o reducciones significativas en el valor de mercado a menudo son causados por fallos de riesgos estratégicos. Por lo tanto, los CAE deben considerar si los riesgos estratégicos "pueden" y "deben" ser auditados. Es decir, primero es importante identificar si existe un procedimiento de aseguramiento o consultoría que ayuden a evaluar y asesorar sobre la adecuación del diseño y la efectividad operativa de los procedimientos de gestión de riesgos estratégicos.
Si es así, los CAE deben luego evaluar si la auditoría proporcionará una garantía adecuada pertinente o asesoramiento. Sólo porque algo "puede" ser auditado no significa que "debe" ser auditado. Sin embargo, los CAE van a encontrar que hay muchos riesgos estratégicos para los que pueden proporcionar valiosa garantía o asesoramiento.
Perspectiva del Mundo Real
La administración del Riesgo ha sido una importante parte de los Estándares y capacitación por más de una década. Entonces:
¿Porqué no virtualmente los auditores internos tienen todos los conocimientos y experiencia en este tema?
Retos para el Auditor Interno
Percepción de que el tema de riesgo está por debajo de los objetivos de Auditoría
34%
Poco apoyo de la administración 32%
Poca coordinación o claridad de los roles con otras unidades de riesgo
29%
Poco conocimiento dentro de la Auditoría Interna sobre las técnicas y prácticas en el manejo del riesgo
29%
Necesidad de entrenamiento 28%Necesidad de conocimientos cuantitativos 24%
Presupuesto insuficiente 19%Necesidad de herramientas tecnológicas 18%Pocas guías profesionales claras y orientación práctica 17%
Necesidad de asesoría externa 13%Poco apoyo del Comité de Auditoría 12%Otros 11%
Retos para el Auditor Interno
La mayoría de las actividades de auditoría interna tratan de "ir por libre" en la prestación de servicios de gestión de riesgo, pero esto puede ser un enfoque peligroso.
Muchos aspectos de la gestión de riesgos son todavía relativamente nuevos y están en evolución. Asignación de un recurso con poco entrenamiento en proyectos de gestión de riesgos puede servir sólo para limitar las futuras oportunidades de agregar valor en las actividades de gestión de riesgos. Sin embargo, es una buena práctica utilizar una combinación de los recursos de auditoría y de terceros internos, u otros empleados con los conocimientos adecuados. Este enfoque aumenta la probabilidad de que la Administración verá el valor de estos proyectos - y también es una manera excelente para que los auditores internos actuales puedan conseguir la formación en el puesto de trabajo de los verdaderos expertos.
Perspectiva del Mundo Real
La esencia misma de la gestión eficaz de los riesgos es la de romper los silos y se centran en la gestión eficaz de riesgos en toda la organización. Mientras que los CAE a menudo sienten que su función es lo único que es verdaderamente independiente y lo suficientemente objetivo de proporcionar estos servicios, con frecuencia existen otras funciones que proporcionan algún tipo de asesoramiento o garantías sobre la gestión de riesgos. Los CAE deben buscar estas funciones de colaboración y sinergias tanto como sea posible.
Perspectiva del Mundo Real
Recomendaciones para los CAE en relación con el riesgo:
• Ser el catalizador de la vinculación entre la Gerencia y la Junta Directiva con las estrategias de la compañía y las discusiones de Riesgo- ayudarles a "conectar los puntos".
• Ser el catalizador para la integración de los procesos de evaluación de riesgos en todas las funciones de riesgo.
• Realizar las actividades de evaluación de riesgos empresariales más continuo y menos episódica.
Retos…
• Ayudar a la Junta Directiva acumplir con sus nuevas responsabilidades de supervisión, tales como el mantenimiento de la vigilancia de los riesgos y la adecuación del sistema de remuneración de los ejecutivos.
• Ser un catalizador para establecer o recuperar la gestión de riesgos corporativos.
Aspectos requeridos para el Auditor:Conocimiento del NegocioConocimiento sobre el proceso de administración
de RiesgoEntendimiento de los acuerdos de COSOBuenas habilidades de comunicación y facilidad
para negociarHabilidades de análisisConocer sobre la actividad de Auditoría y contar
con experienciaEspecialización en áreas diferentes de la financieraConocer sobre Finanzas, controles y Riesgos.
Los CAE están en una posición para hacer frente a la mayor parte de los retos que se muestran. Por lo general tienen la autoridad y la autonomía para tomar decisiones que eliminen efectivamente o reducir a un nivel insignificante, los obstáculos para el cultivo de auditores calificados y con experiencia. Sin embargo, los auditores internos individuales también tienen la responsabilidad de tomar la iniciativa en la expansión de sus propias habilidades.
El éxito en una carrera requiere con frecuencia de los individuos para "recrearse" mediante la adición de capacidades y experiencia nueva y diferente. Los auditores internos deben aprovechar las oportunidades para desarrollar las habilidades que se indican en la lista
Perspectiva del Mundo Real
Paul Sobel is Vice President/Chief Audit Executive for Georgia-Pacific, LLC, a privately owned consumer products and building materials company based in Atlanta, GA. He previously served as the Chief Audit Executive (CAE) for three public companies: Mirant Corporation, an energy company based in Atlanta, GA.; Aquila, Inc., an energy company based in Kansas City, MO.; and Harcourt General’s publishing operations based in Orlando, FL. His responsibilities included leading the global internal audit efforts at these companies, as well as consulting on each company’s ERM, compliance and internal controls programs. He has also served as International Audit Manager for PepsiCo, Senior Manager in Arthur Andersen’s Business Risk Consulting practice, and Experienced Manager in Arthur Andersen’s Financial Statement Assurance practice.Paul addresses the topics of governance, ERM, and internal auditing at his speaking engagements. A published author and writer, he has authored Auditor’s Risk Management Guide: Integrating Auditing and ERM and was co-author of The IIARF textbook Internal Auditing: Assurance and Consulting Services. Paul has published articles in Internal Auditor magazine and Management Accounting Quarterly.
Avid supporter of the internal auditing profession, Paul has volunteered countless hours to The IIA and The IIARF. Currently he serves on The IIA’s Board of Directors as Vice Chair of Professional Development. In the past he has served as President of The IIARF, Senior Vice-Chair on the North American Board, and in other volunteer positions. He served as Program Chair for The IIA’s 2010 International Conference (Atlanta, GA). He is The IIA’s representative on the Pathways Commission, which is studying the future of accounting education in the United States, and recently finished a two-year term on the Standing Advisory Group of the PCAOB.
La edición completa de este libro puede obtenerse en la página del Institute of Internal Auditors.