Gestin de riesgo empresarial (GRE) y la funcin de la auditoria interna en la GRE
La gestin de riesgo empresarial es un enfoque de gobierno estructurado y coordinado que
abarca toda la empresa con el fin de identificar, cuantificar, responder y vigilar las consecuencias de eventos potenciales. Implementada por la gerencia, la GRE es evaluada por los auditores internos con respecto a su eficacia y eficiencia. La prctica de manejar riesgos, que es un elemento clave del gobierno, ha recado tradicionalmente en las unidades de negocio y/o en partes de esas unidades; y en menor extensin, a travs de la organizacin. La gestin de riesgo empresarial (GRE) contempla un enfoque ms amplio y maneja riesgos y oportunidades que afectan la creacin o preservacin del valor de la organizacin. La gestin de riesgo empresarial se define como un proceso, efectuado por el consejo de direccin, gerencia y dems personal de una entidad; aplicado en un marco estratgico y a travs de la empresa; diseado para identificar eventos potenciales que puedan afectar a la entidad para manejar riesgos que estn dentro de lo aceptable con el fin de brindar aseguramiento razonable respecto del logro de los objetivos de la entidad. Todos en la organizacin cumplen un rol en el aseguramiento de una exitosa gestin de riesgos para toda la empresa, pero la gerencia es la que tiene la responsabilidad principal para identificar y manejar los riesgos, e implementar la GRE con un enfoque estructurado, consistente y coordinado. El consejo directivo o su equivalente tienen la responsabilidad general de vigilar los riesgos y obtener aseguramiento de que son manejados dentro de un nivel aceptable. Los auditores internos, tanto en sus roles de aseguramiento como de consulta, contribuyen a la gestin de riesgos de diversas formas. Cumplen un rol al evaluar la eficacia de la GRE y al recomendar mejoras a la misma. Las Normas del IIA indican que el alcance de auditora interna debe comprender la gestin de riesgos y los sistemas de control. Los diversos roles que los auditores internos tienen en la GRE y el nfasis que ponen en ella dependen de la madurez del proceso de GRE en la organizacin. La proteccin que debe establecerse antes de que los auditores internos lleven a cabo sus roles relacionados con la GRE consiste en asegurar que toda la organizacin entienda completamente la responsabilidad que tiene la gerencia en la gestin de riesgos. El rol central de los auditores internos en la GRE consiste en proporcionar aseguramiento objetivo al consejo directivo y a la alta direccin sobre la eficacia de las actividades de GRE en cuanto a ayudar a asegurar que los riesgos de los negocios clave son manejados apropiadamente y que el sistema de control interno opera eficazmente. Los roles y actividades de aseguramiento principales de auditora interna relacionadas con la GRE son: Proporcionar aseguramiento sobre el diseo y eficacia de los procesos de gestin de riesgos. Proporcionar aseguramiento de que los riesgos sean evaluados correctamente. Evaluar los procesos de gestin de riesgos. Evaluar los informes sobre el estado de los principales riesgos y controles. Revisar la gestin de los riesgos principales, incluyendo la eficacia de los controles y otras respuestas a los mismos. Otros roles y actividades de consultora legtimos de parte de la actividad de auditora interna pueden ayudar a proteger la independencia y objetividad de los auditores internos cuando vayan acompaados de las salvaguardas adecuadas. Esto incluye: Defender el establecimiento de la GRE dentro de la organizacin. Desarrollar una estrategia de gestin de riesgos para ser aprobada por el consejo directivo. Facilitar la identificacin y evaluacin de riesgos. Entrenar a la gerencia acerca de responder a los riesgos. Coordinar las actividades de GRE. Consolidar los informes sobre riesgos. Mantener y desarrollar el marco de la GRE. Los roles que los auditores internos NO deben cumplir son: Establecer el nivel de riesgo aceptado. Imponer procesos de gestin de riesgos. Proporcionar aseguramiento al consejo directivo y a la gerencia Tomar decisiones sobre respuestas a los riesgos. Esto es responsabilidad de la gerencia. Implementar respuestas a los riesgos en nombre de la gerencia. Hacerse responsable de la gestin de riesgos. La Gestin Integral de Riesgo, hace que la empresa genere valor en el mercado, es decir crezca rentablemente, as la empresa asegura su sostenibilidad, crecimiento, consolidacin. La gestin exitosa del riesgo logra un equilibrio entre: Riesgo y Recompensa. El reto para los lderes en los negocios es tomar riesgos, conociendo realmente a lo que se exponen. Una empresa exitosa busca oportunidades de negocio rentables, que afiancen y aseguren la potencializacin de las capacidades financieras y de gestin empresarial. Arte y Ciencia. Ciencia, basada en la investigacin, definicin y utilizacin de mtodos comprobados de gestin de riesgo, y arte, en la utilizacin de estos mtodos por parte del talento humano, esto hace que se aumente la productividad, dinamismo y apropiacin de las personas por el trabajo que desarrollan en la empresa. Personas y Procesos. La Gestin Integral de Riesgos se enfoca en aumentar la productividad de las personas en los procesos, en facilitarles su trabajo y todo esto se traduce para la organizacin en hacer ms con menos, al crear una cultura de Gestin Integral de Riesgo en la empresa, la empresa no se expone a tener un xito transitorio sino permanente. Gestionar el riesgo es encontrar el equilibrio entre los costos y los beneficios para su empresa
GESTIN DEL RIESGO Incluye los procesos relacionados con la planificacin de la gestin de riesgos, la identificacin y el anlisis de riesgos, las respuestas a los riesgos, y el seguimiento y control de riesgos de un proyecto. 1. Planificacin de los riesgos Es el proceso que permite decidir cmo llevar a cabo las actividades de gestin de riesgos. Es importante para garantizar que el nivel, el tipo y la visibilidad de la gestin de riesgos sean acordes con el riesgo y la importancia del proyecto para la organizacin. En base a ello proporcionar los recursos y tiempo suficiente para la gestin y para establecer una base acordada para evaluar los riesgos. 2. Identificacin de los riesgos Determinar que riesgos pueden afectar al proyecto y documenta las caractersticas de los mismos. Es un proceso revisin continua porque se pueden descubrir nuevos riesgos a medida que el proyecto de va desarrollando. Recopilacin de informacin Tormenta de ideas Entrevistas Identificacin de la causa Anlisis de debilidades, amenazas, fortalezas y oportunidades (FODA) TIPO CATEGORA SUB-CATEGORA EJEMPLO Interno Del proyecto Genricos Retraso en la firma de documentos Especficos Problemas del equipo del proyecto Impredecibles No se puede predecir Software G/E/I Cumplimiento fecha de pruebas Negocio G/E/I Cambios en fecha de campaa tcnicos G/E/I Upgrade de licencias Externo entorno Genricos Limitacin de inversiones Especficos Cambios regulatorios, tributarios Impredecibles No se puede predecir
3. Anlisis cualitativo de los riesgos Evala la prioridad de los riesgos identificados considerando lo siguiente: Probabilidad de ocurrencia. El impacto si ocurren. El plazo. La tolerancia al riesgo segn las restricciones del proyecto como costo, cronograma, alcance y calidad.
4. Anlisis cuantitativo de los riesgos Se realiza respecto a los riesgos priorizados en el proceso Anlisis Cualitativo de Riesgos por tener un posible impacto significativo sobre las demandas concurrentes del proyecto. Analiza el efecto de esos riesgos y les asigna una calificacin numrica. 5. Planificacin de la respuesta de los riesgos Es el proceso de desarrollar opciones y determinar acciones para mejorar las oportunidades y reducir las amenazas a los objetivos de proyecto. Se realiza despus de los anlisis cualitativo y cuantitativo. 6. Seguimiento y control de los riesgos Las respuestas a los riesgos planificadas se ejecutan durante el ciclo de vida del proyecto, pero el trabajo de este debe ser supervisado continuamente para detectar riesgos nuevos o que cambien. La Gestin de los Riesgos del Proyecto debe ser un punto del orden del da en las reuniones sobre el estado del equipo del proyecto.