Gestin de riesgo empresarial (GRE) y la funcin de la auditoria interna en la GRE

La gestin de riesgo empresarial es un enfoque de gobierno estructurado y coordinado que

abarca toda la empresa con el fin de identificar, cuantificar, responder y vigilar las
consecuencias de eventos potenciales. Implementada por la gerencia, la GRE es evaluada
por los auditores internos con respecto a su eficacia y eficiencia.
La prctica de manejar riesgos, que es un elemento clave del gobierno, ha recado
tradicionalmente en las unidades de negocio y/o en partes de esas unidades; y en menor
extensin, a travs de la organizacin. La gestin de riesgo empresarial (GRE) contempla
un enfoque ms amplio y maneja riesgos y oportunidades que afectan la creacin o
preservacin del valor de la organizacin.
La gestin de riesgo empresarial se define como un proceso, efectuado por el consejo de
direccin, gerencia y dems personal de una entidad; aplicado en un marco estratgico y a
travs de la empresa; diseado para identificar eventos potenciales que puedan afectar a la
entidad para manejar riesgos que estn dentro de lo aceptable con el fin de brindar
aseguramiento razonable respecto del logro de los objetivos de la entidad.
Todos en la organizacin cumplen un rol en el aseguramiento de una exitosa gestin de
riesgos para toda la empresa, pero la gerencia es la que tiene la responsabilidad principal
para identificar y manejar los riesgos, e implementar la GRE con un enfoque estructurado,
consistente y coordinado. El consejo directivo o su equivalente tienen la responsabilidad
general de vigilar los riesgos y obtener aseguramiento de que son manejados dentro de un
nivel aceptable. Los auditores internos, tanto en sus roles de aseguramiento como de
consulta, contribuyen a la gestin de riesgos de diversas formas. Cumplen un rol al evaluar
la eficacia de la GRE y al recomendar mejoras a la misma. Las Normas del IIA indican que
el alcance de auditora interna debe comprender la gestin de riesgos y los sistemas de
control.
Los diversos roles que los auditores internos tienen en la GRE y el nfasis que ponen en
ella dependen de la madurez del proceso de GRE en la organizacin. La proteccin que
debe establecerse antes de que los auditores internos lleven a cabo sus roles relacionados
con la GRE consiste en asegurar que toda la organizacin entienda completamente la
responsabilidad que tiene la gerencia en la gestin de riesgos.
El rol central de los auditores internos en la GRE consiste en proporcionar aseguramiento
objetivo al consejo directivo y a la alta direccin sobre la eficacia de las actividades de
GRE en cuanto a ayudar a asegurar que los riesgos de los negocios clave son manejados
apropiadamente y que el sistema de control interno opera eficazmente.
Los roles y actividades de aseguramiento principales de auditora interna relacionadas con
la GRE son:
Proporcionar aseguramiento sobre el diseo y eficacia de los procesos de gestin de
riesgos.
Proporcionar aseguramiento de que los riesgos sean evaluados correctamente.
Evaluar los procesos de gestin de riesgos.
Evaluar los informes sobre el estado de los principales riesgos y controles.
Revisar la gestin de los riesgos principales, incluyendo la eficacia de los controles
y otras respuestas a los mismos.
Otros roles y actividades de consultora legtimos de parte de la actividad de auditora
interna pueden ayudar a proteger la independencia y objetividad de los auditores internos
cuando vayan acompaados de las salvaguardas adecuadas.
Esto incluye:
Defender el establecimiento de la GRE dentro de la organizacin.
Desarrollar una estrategia de gestin de riesgos para ser aprobada por el consejo
directivo.
Facilitar la identificacin y evaluacin de riesgos.
Entrenar a la gerencia acerca de responder a los riesgos.
Coordinar las actividades de GRE.
Consolidar los informes sobre riesgos.
Mantener y desarrollar el marco de la GRE.
Los roles que los auditores internos NO deben cumplir son:
Establecer el nivel de riesgo aceptado.
Imponer procesos de gestin de riesgos.
Proporcionar aseguramiento al consejo directivo y a la gerencia
Tomar decisiones sobre respuestas a los riesgos. Esto es responsabilidad de la
gerencia.
Implementar respuestas a los riesgos en nombre de la gerencia.
Hacerse responsable de la gestin de riesgos.
La Gestin Integral de Riesgo, hace que la empresa genere valor en el mercado, es decir
crezca rentablemente, as la empresa asegura su sostenibilidad, crecimiento, consolidacin.
La gestin exitosa del riesgo logra un equilibrio entre:
Riesgo y Recompensa. El reto para los lderes en los negocios es tomar riesgos,
conociendo realmente a lo que se exponen. Una empresa
exitosa busca oportunidades de negocio rentables, que afiancen y aseguren la
potencializacin de las capacidades financieras y de gestin empresarial.
Arte y Ciencia. Ciencia, basada en la investigacin, definicin y utilizacin de
mtodos comprobados de gestin de riesgo, y arte, en la utilizacin de estos
mtodos por parte del talento humano, esto hace que se aumente la productividad,
dinamismo y apropiacin de las personas por el trabajo que desarrollan en la
empresa.
Personas y Procesos. La Gestin Integral de Riesgos se enfoca en aumentar la
productividad de las personas en los procesos, en facilitarles su trabajo y todo esto
se traduce para la organizacin en hacer ms con menos, al crear una cultura de
Gestin Integral de Riesgo en la empresa, la empresa no se expone a tener un xito
transitorio sino permanente.
Gestionar el riesgo es encontrar el equilibrio entre los costos y los beneficios para su
empresa

GESTIN DEL RIESGO
Incluye los procesos relacionados con la planificacin de la gestin de riesgos, la
identificacin y el anlisis de riesgos, las respuestas a los riesgos, y el seguimiento y
control de riesgos de un proyecto.
1. Planificacin de los riesgos
Es el proceso que permite decidir cmo llevar a cabo las actividades de gestin de riesgos.
Es importante para garantizar que el nivel, el tipo y la visibilidad de la gestin de riesgos
sean acordes con el riesgo y la importancia del proyecto para la organizacin.
En base a ello proporcionar los recursos y tiempo suficiente para la gestin y para
establecer una base acordada para evaluar los riesgos.
2. Identificacin de los riesgos
Determinar que riesgos pueden afectar al proyecto y documenta las caractersticas de los
mismos.
Es un proceso revisin continua porque se pueden descubrir nuevos riesgos a medida que el
proyecto de va desarrollando.
Recopilacin de informacin
Tormenta de ideas
Entrevistas
Identificacin de la causa
Anlisis de debilidades, amenazas, fortalezas y oportunidades (FODA)
TIPO CATEGORA SUB-CATEGORA EJEMPLO
Interno Del proyecto Genricos Retraso en la firma de documentos
Especficos Problemas del equipo del proyecto
Impredecibles No se puede predecir
Software G/E/I Cumplimiento fecha de pruebas
Negocio G/E/I Cambios en fecha de campaa
tcnicos G/E/I Upgrade de licencias
Externo entorno Genricos Limitacin de inversiones
Especficos Cambios regulatorios, tributarios
Impredecibles No se puede predecir

3. Anlisis cualitativo de los riesgos
Evala la prioridad de los riesgos identificados considerando lo siguiente:
Probabilidad de ocurrencia.
El impacto si ocurren.
El plazo.
La tolerancia al riesgo segn las restricciones del proyecto como costo, cronograma,
alcance y calidad.

4. Anlisis cuantitativo de los riesgos
Se realiza respecto a los riesgos priorizados en el proceso Anlisis Cualitativo de Riesgos
por tener un posible impacto significativo sobre las demandas concurrentes del proyecto.
Analiza el efecto de esos riesgos y les asigna una calificacin numrica.
5. Planificacin de la respuesta de los riesgos
Es el proceso de desarrollar opciones y determinar acciones para mejorar las oportunidades
y reducir las amenazas a los objetivos de proyecto.
Se realiza despus de los anlisis cualitativo y cuantitativo.
6. Seguimiento y control de los riesgos
Las respuestas a los riesgos planificadas se ejecutan durante el ciclo de vida del proyecto,
pero el trabajo de este debe ser supervisado continuamente para detectar riesgos nuevos o
que cambien.
La Gestin de los Riesgos del Proyecto debe ser un punto del orden del da en las reuniones
sobre el estado del equipo del proyecto.