La Comisión de Auditoría y su papel en la supervisión de riesgos

Las empresas son cada vez más conscientes de la importancia que tiene una adecuada gestión de los riesgos a los que se enfrentan, junto con una oportuna supervisión de los mismos. No es de extrañar que el tiempo destinado por la Comisión de Auditoría a este respecto haya aumentado sustancialmente en los últimos años.

Una revisión minuciosa de la efectividad del proceso de supervisión de riesgos por la Comisión de Auditoría merece un lugar destacado y específico en su agenda. Este es el tema que vamos abordar en este nuevo artículo de nuestra serie Comisión de Auditoría: cuestiones clave para una supervisión eficaz.

Revisar la efectividad de los sistemas de control interno y gestión de riesgos es un elemento esencial de las responsabilidades del consejo, pero la labor de revisión se suele delegar en la Comisión de Auditoría. El papel específico de la Comisión de Auditoría en el proceso de revisión dependerá de factores como el tamaño y la composición del consejo; la escala y la complejidad de las operaciones de la empresa y la naturaleza de los riesgos significativos a los que se enfrenta la misma.

El sistema de control interno y gestión de riesgos de la empresa debe diseñarse para gestionar de manera efectiva los riesgos que amenazan la consecución de sus objetivos. Con este fin, la empresa debe (1) identificar sus objetivos y evaluar los riesgos que amenazan su consecución, (2) diseñar controles internos y estrategias para gestionar/mitigar dichos riesgos y (3) supervisar los controles y estrategias para asegurar que funcionen de manera eficaz.

La Comisión de Auditoría debe revisar el proceso mediante el que se identifican los riesgos significativos de la empresa y velar por que el consejo este plenamente informado. Es importante verificar que el proceso de identificación de riesgos:

• posea una perspectiva suficientemente amplia; riesgos externos como por ejemplo los macroeconómicos, así como riesgos internos como controles débiles.
• sea dinámico; la importancia de considerar debidamente tanto los riesgos que no son detectados por el radar como los indicadores de alerta temprana.
• se adentre suficientemente en el futuro; incluyendo diversos escenarios de riesgo e hipótesis.

Al evaluar los procesos de riesgo de la empresa, la Comisión de Auditoría debe velar por que se preste la debida atención a los riesgos brutos subyacentes (antes de cualquier forma de control o mitigación), y no simplemente a los riesgos netos (después de haber aplicado los controles correspondientes). Por cada riesgo identificado debe realizarse un juicio de valor en lo que respecta a su posible impacto y la probabilidad de que se materialice, considerando tanto el impacto para la reputación como para las finanzas o las operaciones.

Para un desarrollo adecuado de esta labor de supervisión de las comisiones de auditoría se debe:

• Incluir la supervisión de riesgos en el orden del día de las reuniones de la comisión.
• Impulsar en la organización que en todas sus decisiones el riesgo sea un factor a considerar.
• Revaluar, al menos anualmente, el registro de riesgos.
• Utilizar controles internos para mantener los riesgos a los que se enfrenta la empresa dentro de los niveles de tolerancia definidos por el consejo, teniendo en cuenta la relación entre coste y beneficio.
• Identificar y entender los riesgos emergentes, manteniendo reuniones con los responsables de las diferentes unidades de negocio de la organización, reforzando la idea de que es a ellos a los que corresponde la gestión eficaz de los riesgos.

Hay algunos indicios y señales de alerta que nos permiten detectar que la información sobre riesgos es insuficiente y, por tanto, el sistema de control interno está en peligro.

Síntomas

• La información sobre riesgos se elabora, pero no se utiliza.
• Diversas funciones separadas emiten datos incoherentes e inconsistentes sobre riesgos.
• Los riesgos que constan en el registro no reflejan la realidad de los negocios de la compañía.
• La información sobre riesgos no se escala a la persona adecuada y en el momento adecuado.
• La “cantidad” prima sobre la “calidad”.

Señales de alerta

• Las estrategias, los planes, los presupuestos y los procesos no cambian cuando surgen nuevos riesgos.
• No existe un único proceso de riesgos aceptado y la dirección no puede ofrecer un punto de vista singular y unitario de los mismos.
• Las evaluaciones de riesgos apenas cambian.
• Falta de riesgos estratégicos o emergentes.
• Los riesgos se están materializando y no constaban en el registro de riesgos.
• Los informes sobre riesgos ocupan muchas páginas, y de hecho son registros de riesgos.
• Existe un escaso análisis de temas clave o interacciones entre riesgos.

Preguntas clave para la Comisión de Auditoría

• • ¿Puede articular la dirección una comprensión clara de los 5-10 principales riesgos en el seno de la compañía?
  • ¿Cuáles son los principales objetivos de negocio de la empresa? ¿Incluyen estos objetivos metas e indicadores de desempeño cuantificables?
  • ¿Cómo se vincula la estrategia de riesgos de la empresa con los principales objetivos de negocio?
  • ¿Tiene la dirección y otros responsables una comprensión clara del nivel de apetito al riesgo de la empresa? ¿Qué riesgos son aceptables?
  • ¿Qué fuentes de información se utilizan para definir los riesgos clave a los que se enfrenta la compañía? ¿Se están teniendo en cuenta las fuerzas internas y externas?
  • ¿Cómo se consolida y presenta la información sobre riesgos? ¿Proporciona esto una visibilidad uniforme de los principales riesgos en todos los ámbitos de la compañía?
  • ¿Son relevantes los criterios de evaluación del impacto y la probabilidad de los riesgos identificados y están en consonancia con las especificaciones de la compañía (por ejemplo, volumen de facturación, número de empleados, etc.)?
  • ¿Qué procesos se han implantado para identificar riesgos emergentes que afectan a objetivos y los cambios relacionados en la priorización de los riesgos?
  • ¿Tiene la empresa un enfoque proactivo para la mejora de procesos de gestión de riesgos?
  • ¿Se han identificado claramente, comprendido e integrado en procedimientos de evaluación de riesgos las interrelaciones entre riesgos?
  • ¿Cuenta la empresa con los profesionales en materia de riesgos apropiados y están integrados tanto en las funciones operativas como de aseguramiento?
  • ¿Se ha articulado claramente la política de gestión de riesgos y se ha comunicado a toda la compañía?

• • ¿Dispone la dirección de estrategias claras para gestionar los riesgos significativos que han sido identificados? ¿Qué tipo de garantías se obtiene de que los sistemas, políticas, procesos y controles de mitigación de riesgos están funcionando eficazmente?
  • ¿En qué medida se evalúan los costes de las estrategias y planes de acción en comparación con las ventajas y la mayor exposición a los riesgos?
  • ¿Apoyan la cultura, el código de conducta, las políticas de recursos humanos y los sistemas de incentivos sus objetivos y el sistema de gestión de riesgos y control interno?
  • ¿Tiene la compañía una visión única de los riesgos, un lenguaje común que impulsa acciones y decisiones eficaces en materia de gestión de riesgos?
  • ¿Se han definido claramente la autoridad, la responsabilidad y la rendición de cuentas de modo que se toman las decisiones y se realizan las acciones por las personas apropiadas? ¿Se coordinan apropiadamente las decisiones y acciones de diferentes partes de la compañía?
  • ¿Cuentan los empleados con los conocimientos, habilidades y herramientas para gestionar los riesgos de manera efectiva?
  • ¿Se han configurado indicadores formales de información y/o riesgos principales para supervisar los principales riesgos y las acciones mitigadoras? ¿Ofrece esta información una visibilidad coherente de los principales riesgos en el ámbito de la organización?
  • ¿Cómo se ajustan los procesos/controles para reflejar deficiencias operativas o riesgos nuevos o en proceso de cambio?
  • ¿Cómo influye la información de gestión de riesgos en la toma de decisiones clave? ¿Quién elabora esta información?