Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Grupo No. 3
Introducción i
i
LA AUDITOR A INTERNA Y LAADMINISTRACIÓN DEL
RIESGOEMPRESARIAL E.R.M.
Escrito basado en la Declaración de Posición del IIA
1. Introducción
El gobierno corporativo, en todas las áreas de una administración total, se ha vuelto importante y
sobretodo las relacionadas con la administración o gestión de riesgos, debido a que las empresas a
raíz de todos los inconvenientes de ilícitos, fraudes, irregularidades, errores voluntarios o
involuntarios vistos a través de los problemas de orden operativo, financiero, contable y logístico
en muchas organizaciones del orden financieras, manufacturera, de servicios, cooperativas y
tecnológicas, situaciones que ha despertado el mundo anglosajón, latino, socialistas, etc., llevando
a muchas instituciones del orden técnico dirigente como gubernamentales a formular
recomendaciones y exigencias de cambios en todas las empresas públicas y privadas por la
necesidad imperiosa de identificar los riesgos que se enfrentan tanto económicos, sociales, éticos,
ambientales, tecnológicos y en general operativos, para enfrentarlos y tratar de llevarlos a niveles
de manejo convenientes.
Uno de los procedimientos que se ha implementado en las empresas públicas y privadas ha sido la
formulación de mapas de riesgo o marcos de gestión de riesgos, reconociéndose las ventajas que
han representado para muchas empresas dentro del concepto administrativo de beneficios netos
dentro de la comparación de la relación costo vs. beneficio.
Dentro de las funciones a ejercer en las auditorías tanto interna como externa han tenido que
especializarse en los temas de la Administración de Riesgo Empresarial E.R.M., siendo apoyadas
por la IFAC3 dentro de los estándares emitidos de auditoría, de servicios de aseguramiento y de
servicios relacionados, en los de control de calidad y dentro de pronunciamientos específicos, y
1
específicamente en la Auditoría Interna por el IIA Instituto Internacional de Auditoría Interna. La
auditoría interna, en los roles de aseguramiento y de consultoría, contribuye a la gestión de riesgo
de formas variadas. En el 2002, el Instituto de Auditores Internos de RU e Irlanda publicó una
declaración de posición sobre el Rol de la Auditoría Interna en la Gestión de Riesgo, para proveer
una guía a sus miembros sobre los roles que están permitidos y las salvaguardas necesarias para
proteger la objetividad e independencia de la auditoría interna.
La gente realiza actividades de gestión de riesgo para identificar, evaluar, manejar y controlar toda
clase de eventos o situaciones. Estos pueden abarcar proyectos sencillos o tipos de riesgos
estrechamente definidos. Por ejemplo, riesgos de mercado, amenazas y oportunidades que enfrenta
la organización como un todo.
2
Todos en la organización juegan un rol en el aseguramiento de éxito de la gestión de riesgo pero la
responsabilidad principal de la identificación y manejo de éstos recae sobre la junta directiva o la
alta gerencia.
El ERM puede realizar una enorme contribución ayudando a la organización a gestionar los riesgos
para poder alcanzar sus objetivos.
3
• Capacidad de tomar mayor riesgo por mayores recompensas, y
4
que la gestión de riesgo y el marco de control interno están operando efectivamente.
La auditoría interna puede proveer servicios de aseguramiento que mejoren procesos de gobierno,
gestión de riesgos y control en la organización. El alcance de la consultoría de auditoría interna en
ERM depende de otros recursos, internos o externos, disponibles para la junta y de la madurez del
riesgo de la organización y su posibilidad de variar en el tiempo. La experiencia del auditor interno
en consideraciones de riesgos, en entendimiento de la conexión entre riesgo y gobierno y en
facilitación demuestra que está bien calificado para actuar como defensor y hasta como gerente del
proyecto de ERM, especialmente en la etapa inicial de su introducción.
5
Rol de Consultoría En relación con el ERM, mientras más se incluya la auditoría interna en la
gestión de riesgos, mayores serán las salvaguardas que deben requerirse para asegurar objetividad
e independencia de su parte. Los roles de consultoría dentro de una auditoría interna que se pueden
prestar, podrían:
• Poner a disponibilidad de la gerencia herramientas y técnicas usadas por auditoría interna para
analizar riesgos y controles.
• Apoyando a la gerencia en su trabajo a través de identificar mejores vías para mitigar un riesgo.
El factor clave en la decisión sobre si los servicios de consultoría son compatibles con el rol de
aseguramiento es el de determinar si el auditor interno está asumiendo alguna responsabilidad
gerencial.
En el caso de ERM, la auditoría interna puede proveer servicios de consultoría mientras no tenga
rol actualmente en la gestión de riesgos – esa es una responsabilidad de la gerencia – y mientras la
alta dirección endose y apoye el ERM. Nosotros recomendamos, que cada vez que auditoría interna
actúe apoyando al equipo gerencial en el establecimiento y mejora de los procesos de gestión de
6
riesgo, su plan de trabajo debe incluir una estrategia clara y un tiempo asignado para transferir la
responsabilidad de estas actividades a los miembros del equipo gerencial. Salvaguardas La
auditoría interna puede ampliar su participación en el ERM bajo ciertas condiciones de
independencia, aclarando que la responsabilidad de los riesgos es de la gerencia, que debe ser
adecuadamente documentada, que la función será la de dar consejos y de motivación, pero eso si
la de dar aseguramiento objetivo. Las principales condiciones podrían ser: • Debe estar claro que
la gerencia mantiene la responsabilidad de la gestión de riesgo. • La naturaleza de la
responsabilidad de auditoría interna debe ser documentada en los estatutos de la auditoría y
aprobado por el comité de auditoría. • Auditoría Interna no debe gestionar ningún riesgo a favor de
la gerencia. • Auditoría Interna debe proveer consejo, motivar y soportar decisiones realizadas por
la dirección, en vez de tomar decisiones de riesgo por ellos mismos. • Auditoría Interna tampoco
puede brindar aseguramiento objetivo en ninguna parte del marco de ERM de la cual es
responsable. Tal aseguramiento debe ser provisto por otra parte sustancialmente calificada. •
Cualquier trabajo más allá de las actividades de aseguramiento debe reconocerse como de es una
asignación de consultoría y la implementación de normas relativas a tales asignaciones deben
seguirse. Destrezas y cuerpo de conocimientos Los auditores internos y gerentes de riesgo
comparten algunos conocimientos, destrezas y valores. Ambos, por ejemplo, conocen sobre
requerimientos de gobierno corporativo, poseen destrezas de manejo de proyectos, analíticas y de
facilitación y tienen valores de crear un balance saludable de riesgo en vez de tomar riesgos
extremos o comportamiento evasivo. Sin embargo, los gerentes de riesgo como solamente brindan
servicio a la dirección de la organización y no tienen que proveer aseguramiento independiente y
objetivo al comité de auditoría. Tampoco debe el auditor interno que busque ampliar su rol en el
ERM, subestimar el conocimiento especializado de los gerentes de riesgo (tales como transferencia
de riesgo, calificación de riesgos y técnicas de modelos), las cuales están fuera del cuerpo de
conocimientos de la mayoría de auditores internos. Ningún auditor interno que no pueda demostrar
las destrezas y conocimientos apropiados debe realizar trabajos en el área de gestión de riesgo. Aún
más, la cabeza de auditoría interna no debe proveer servicios de consultoría en esta área si las
7
destrezas y conocimientos dentro de la función de auditoría interna no se encuentran disponibles y
no se pueden obtener de otra parte.
8
el rol básico con relación al E.R.M. de la auditoría interna? • ¿Cuáles son los roles principales de
la auditoría interna respecto al I.R.M.? • ¿Cuáles son los roles legítimos de auditoría interna
realizados como salvaguarda de los riesgos? • ¿Cuáles son los roles que la auditoría interna no debe
realizar? • ¿Con relación al E.R.M. cómo puede proveer sus servicios de aseguramiento y de
consultoría?
¿Por qué la declaración del IIA determinó que el auditor interno podría ser gerente del proyecto de
administración de riesgos o E.R.M. y hasta su principal defensor? • ¿Cuando se incremente la
madurez del riesgo, cómo podría participar la auditoría interna? • ¿Cuáles podrían ser los roles de
consultoría que podría prestar en el E.R.M., la auditoría interna? • ¿Son compatibles los servicios
de consultoría con el rol de aseguramiento que preste la auditoría interna? • ¿Cuáles son las
principales condiciones como salvaguardas en la participación de la auditoría interna dentro de su
rol de aseguramiento referida al E.R.M.? • ¿Qué destrezas y cuerpo de conocimientos debe poseer
la auditoría interna referida al E.R.M.? • Puede el jefe de auditoría interna proveer servicios de
consultoría a la vez? • Indique las conclusiones principales relacionadas con la participación de la
auditoría interna dentro del E.R.M.? Cuestionamientos: 1. ¿Por qué se dice que entre más se incluya
la auditoría interna en la gestión de riesgos, mayores serán las salvaguardas que deben requerirse
para asegurar objetivad e independencia de su parte? 2. ¿Por qué se considera que la auditoría
interna podría ser el gerente o principal defensor del proyecto de administración de riesgos dentro
de una Organización? 3. ¿Por qué se interrelaciona el Gobierno Corporativo con la Administración
del Riesgo o Gestión del Riesgo? 4. ¿Por qué se dice que la administración del riesgo o gestión del
riesgo es un proceso? 5. ¿Qué otros beneficios de los indicados en el presente capítulo, se podrían
lograr al aplicar un proceso del E.R.M. dentro de una organización? 6. ¿Se asegura que el principal
responsable del E.R.M. es la junta directiva, por qué se determina así? 7. ¿Discuta los roles
principales de la auditoría interna respecto al E.R.M. y determine si son aplicables para cualquier
auditoría interna? 8. ¿Están de acuerdo con los roles legítimos de auditoría interna realizados como
salvaguarda? 9. ¿Qué otros roles no debería realizar la auditoría interna referida al E.R.M.? 10. ¿En
9
qué casos los servicios de consultoría no son compatibles con el rol de aseguramiento dentro de la
auditoría interna?
10
11