La gestión de riesgos es un proceso continuo y en constante desarrollo, el cual debe llevarse a cabo dentro de la estrategia de la empresa.
El auditor interno debe generar valor para la organización. Ayuda a mejorar la eficacia de los procesos de riesgos, control y gobierno corporativo.
Zulima López, salary partner de auditoría y revisoría fiscal en Russell Bedford GCT Colombia, afirma que así como hoy muchas empresas cuentan con un área de gestión de riesgos o control interno, otras no. Es ahí donde el auditor interno juega un rol importante. Esta contadora pública certificada en Normas Internacionales de Auditoría por el ACCA explica:
El riesgo se puede definir como la combinación de la probabilidad de un suceso y sus consecuencias. Constituye una oportunidad para conseguir beneficios o enfrentar amenazas. Al hablar de gestión de riesgos se está haciendo referencia a un tema esencial dentro de la gestión estratégica de cualquier empresa.
Dice que la gestión de riesgos es un proceso continuo y en constante desarrollo, el cual debe llevarse a cabo dentro de la estrategia de la empresa.
El tratamiento de los riesgos busca obtener un beneficio sostenido para cada área y en el conjunto de todas las actividades que realiza una organización. Se debe añadir el máximo valor sostenible a todas las actividades de la empresa, da un plus y una ventaja frente al mercado y al entorno en el cual se desempeña.
En la gestión de riesgos se deben tratar metódicamente todos los riesgos que rodeen a las actividades pasadas, presentes y futuras.
Esta debe ser una estrategia integrada en la cultura de la empresa con una política eficaz y un programa dirigidos por la alta dirección.
Hay que convertir la estrategia en objetivos tácticos y operacionales. Se deben asignar las responsabilidades en toda la empresa, siendo cada colaborador responsable de la gestión de riesgos.
López explica que diversos organismos al interior de la organización hacen parte y se deben vincular en la gestión de riesgos. Uno de ellos es el consejo de administración, el cual tiene la responsabilidad de determinar la dirección estratégica de la empresa y de crear el entorno y las estructuras necesarias para que la gestión de riesgos opere de forma eficaz.
Por otra parte, [pq]la gerencia debe garantizar que al interior de la organización exista un adecuado sistema de control interno[/p], que este funcione de manera efectiva y que todas las actividades de control estén bien documentadas, implementadas y sean efectivas.
La dirección financiera, el área de calidad y el área de cumplimiento también deben estar involucradas en la gestión de riesgos.
Estas deben facilitar la implementación de las actividades de control establecidas; actualizar y documentar las políticas, roles y responsabilidades de las diferentes áreas; alterar en cuanto a cambios de regulaciones y a nuevos escenarios de riesgos para la entidad; alertar riesgos financieros y de errores a la organización.
López dice que el auditor interno debe generar valor para la organización. Este ayuda a cumplir sus objetivos aportando un enfoque sistémico y disciplinado para evaluar y mejorar la eficacia de los procesos de riesgos, control y gobierno corporativo.
El papel de la auditoría interna puede variar de una empresa a otra. En la práctica, este papel puede incluir todas o alguna de las siguientes tareas:
Algunos roles que la auditoría interna no debe hacer, desde el punto de vista de López, son establecer el apetito de riesgo, imponer procesos de gestión de riesgo, manejar el aseguramiento sobre los riesgos, tomar decisiones en respuesta a los riesgos, implementar respuestas a riesgos a favor de la administración y tener responsabilidad de la gestión de riesgos.
Hay que tener en cuenta que la auditoría interna, de cara al sistema de gestión de riesgos, es un órgano consultor independiente y objetivo, no impone riesgos.
Como conclusión, López afirma que los auditores internos desempeñan un rol clave al evaluar la efectividad de la gestión de riesgos, así como en la recomendación de aspectos susceptibles de mejora.