La gestión de riesgo empresarial es un enfoque de gobierno estructurado y coordinado que abarca toda la empresa con el fin de identificar, cuantificar, responder y vigilar las consecuencias de eventos potenciales. Implementada por la gerencia, la GRE es evaluada por los auditores internos con respecto a su eficacia y eficiencia.
La práctica de manejar riesgos, que es un elemento clave del gobierno, ha recaído tradicionalmente en las unidades de negocio y/o en partes de esas unidades; y en menor extensión, a través de la organización. La gestión de riesgo empresarial (GRE) contempla un enfoque más amplio y maneja riesgos y oportunidades que afectan la creación o preservación del valor de la organización.
La gestión de riesgo empresarial se define como un proceso, efectuado por el consejo de dirección, gerencia y demás personal de una entidad; aplicado en un marco estratégico y a través de la empresa; diseñado para identificar eventos potenciales que puedan afectar a la entidad para manejar riesgos que estén dentro de lo aceptable con el fin de brindar aseguramiento razonable respecto del logro de los objetivos de la entidad.
Todos en la organización cumplen un rol en el aseguramiento de una exitosa gestión de riesgos para toda la empresa, pero la gerencia es la que tiene la responsabilidad principal para identificar y manejar los riesgos, e implementar la GRE con un enfoque estructurado, consistente y coordinado. El consejo directivo o su equivalente tiene la responsabilidad general de vigilar los riesgos y obtener aseguramiento de que son manejados dentro de un nivel aceptable. Los auditores internos, tanto en sus roles de aseguramiento como de consulta, contribuyen a la gestión de riesgos de diversas formas. Cumplen un rol al evaluar la eficacia de la GRE y al recomendar mejoras a la misma. Las Normas del IIA indican que el alcance de auditoría interna debe comprender la gestión de riesgos y los sistemas de control.
Los diversos roles que los auditores internos tienen en la GRE y el énfasis que ponen en ella dependen de la madurez del proceso de GRE en la organización. La protección que debe establecerse antes de que los auditores internos lleven a cabo sus roles relacionados con la GRE consiste en asegurar que toda la organización entienda completamente la responsabilidad que tiene la gerencia en la gestión de riesgos.
El rol central de los auditores internos en la GRE consiste en proporcionar aseguramiento objetivo al consejo directivo y a la alta dirección sobre la eficacia de las actividades de GRE en cuanto a ayudar a asegurar que los riesgos de los negocios clave son manejados apropiadamente y que el sistema de control interno opera eficazmente.
Los roles y actividades de aseguramiento principales de auditoría interna relacionados con la GRE son:
- Proporcionar aseguramiento sobre el diseño y eficacia de los procesos de gestión de riesgos.
- Proporcionar aseguramiento de que los riesgos sean evaluados correctamente.
- Evaluar los procesos de gestión de riesgos.
- Evaluar los informes sobre el estado de los principales riesgos y controles.
- Revisar la gestión de los riesgos principales, incluyendo la eficacia de los controles y otras respuestas a los mismos.
Otros roles y actividades de consultoría legítimos de parte de la actividad de auditoría interna pueden ayudar a proteger la independencia y objetividad de los auditores internos cuando vayan acompañados de las salvaguardas adecuadas.
Esto incluye:
- Defender el establecimiento de la GRE dentro de la organización.
- Desarrollar una estrategia de gestión de riesgos para ser aprobada por el consejo directivo.
- Facilitar la identificación y evaluación de riesgos.
- Entrenar a la gerencia acerca de responder a los riesgos.
- Coordinar las actividades de GRE.
- Consolidar los informes sobre riesgos.
- Mantener y desarrollar el marco de la GRE.
Los roles que los auditores internos NO deben cumplir son:
- Establecer el nivel de riesgo aceptado.
- Imponer procesos de gestión de riesgos.
- Proporcionar aseguramiento al consejo directivo y a la gerencia
- Tomar decisiones sobre respuestas a los riesgos. Esto es responsabilidad de la gerencia.
- Implementar respuestas a los riesgos en nombre de la gerencia.
- Hacerse responsable de la gestión de riesgos.
Referencias: Resumen Ejecutivo del Enfoque Integral de GRE, emitido por COSO; septiembre de 2004.
Documento de posición, emitido por el IIA – El Rol de Auditoría Interna en la Gestión de Riesgo para Toda la Empresa; septiembre de 2004.
Instituto de Auditores Internos del Reino Unido: «Declaración de Posición sobre la Auditoría Interna Basada en Riesgos».