Claves de la nueva guía de COSO: hacia una mayor agilidad en la gestión de riesgos y auditoría interna

La buena noticia para aquellos que llevamos implementando varios marcos previos, como el de COSO ERM– Integrating with Strategy and Performance de 2017 y el COSO Internal Control 2013, es que esta nueva guía es complementaria y está alineada con estos marcos, lo que supone un paso más para avanzar.

Aunque, en principio, esta filosofía parece que es la que ya venimos oyendo desde hace años en los foros de auditoría, control interno y riesgos, COSO pretende desarrollar con esta guía algunos aspectos prácticos para intentar aterrizar en cierta medida este complejo trinomio entre velocidad-riesgo- agilidad.

En este sentido, se distinguen una serie de claves contenidas en este documento sobre las que poder avanzar a través de acciones tangibles.

La agilidad, una prioridad cada vez mayor para los órganos de dirección y gobierno

La agilidad se ha convertido en un must en el entorno empresarial que el que vivimos, propenso a repetidos impactos asociados con eventos como la pandemia y otros factores geopolíticos como la invasión rusa de Ucrania.

Las organizaciones que pueden reaccionar rápidamente antes estos riesgos y aprovechar las oportunidades pueden superar a sus competidores en estas condiciones. Esto ha hecho que el desarrollo de la agilidad sea una prioridad cada vez mayor para los órganos de dirección y gobierno.

Al respecto, resulta de utilidad adoptar un enfoque práctico en este sentido, esto es, que las comisiones de auditoría adopten un enfoque de gobernanza adaptativo. Por ejemplo, que incorporen en sus agendas aspectos relacionados con la gestión dinámica de riesgos. Esto exigirá a que las funciones de riesgos tengan que presentarles sus metodologías para implementar conexiones estratégicas “ágiles”, cuestionamiento de los modelos comerciales heredados, revisión de las principales evaluaciones de riesgos de forma más periódica, utilizando datos externos, y evaluación de posibles escenarios que determinen cuándo la estrategia y el modelo de negocio podrían estar en riesgo.

Igualmente, es fundamental incorporar las principales cuestiones de la metodología “Agile” aplicable a la gestión de riesgos y auditoría interna en el plan de formación o sesiones monográficas a estos órganos de gobierno y alta dirección, y descendiendo a todos los niveles de la organización para que vaya calando en la cultura y en la mentalidad de riesgo dinámica.

Las prácticas de gestión de riesgos deben alinearse con el enfoque ágil de la organización

Una de las premisas para la alta dirección y órganos de gobierno de las organizaciones en relación con la agilidad de los cambios es que no vale solo con moverse rápido, sino tener un sentido de dirección.

Es imperativo que las prácticas de ERM estén alineadas con el enfoque ágil de la organización para ayudarlas a cumplir sus objetivos y lograr un mayor valor a medida que persiguen su misión y estrategias en un mundo que cambia rápidamente. El marco COSO ERM proporciona algunas claves para pensar en cómo y dónde se debe considerar el riesgo a medida que las empresas se vuelven más ágiles. Entre estas claves se destaca:

• Evaluar periódicamente el entorno y la capacidad del enfoque estratégico para tener éxito en ese entorno.
• Asumir riesgos, pero nunca a ciegas.
• Tener en cuenta la velocidad del cambio, los riesgos y la disrupción en nuevos modelos de negocio.
• Ser consciente de que la agilidad puede mitigar algunos riesgos, pero también puede introducir nuevos riesgos.
• Recopilar y comprender del “ruido” del mercado y cómo afecta al modelo de negocio y operaciones, así como la construcción de un sistema de alerta temprana.
• Realizar evaluaciones periódicas de ERM, así como el propósito, la misión y su alineación con el entorno actual, el enfoque estratégico y las unidades de negocio.

Para poder llevar a cabo estas tareas y a la vez dar cumplimiento a los requerimientos anteriores de los órganos de gobierno, puede ser beneficioso utilizar soluciones como el Dynamic Risk Assessment (DRA), que pueden ayudar a evolucionar los tradicionales modelos de gestión de riesgos incrementando la conectividad dinámica de los mismos y presentando informes relevantes que permitan una mejor toma de decisiones y hacer seguimiento de los riesgos en tiempo real.

Las prácticas de auditoría interna también deben alinearse con el enfoque ágil de la organización

La guía facilita, además, algunas pautas de cómo la función de auditoría interna y otras partes de una organización pueden resultar más flexibles y adaptables con la gestión de riesgos. Por ejemplo, pasando de un plan de 12 meses a uno revisable con mayor frecuencia alineado a la frecuencia de revisión del mapa de riesgos ágil.

Otra práctica que destaca la guía consiste en que auditoría interna mantenga reuniones con los directivos de la empresa con mayor frecuencia para adoptar un enfoque proactivo y poniendo foco en los problemas que la empresa intentaba resolver o áreas de preocupación, en lugar de seguir un enfoque tradicional, aportando valor.

En definitiva, la velocidad de los cambios en el entorno empresarial hace que la gestión de riesgos tenga que adaptarse a la nueva realidad marcada por eventos disruptivos y riesgos emergentes. En este contexto, las funciones de gestión de riesgos y auditoría interna son fundamentales para aplicar metodologías “Agile”, liderando con el ejemplo, con un enfoque proactivo y alineado con las prácticas ya implementadas en este sentido en la organización.  Este ejercicio puede realizarse poco a poco, implementando soluciones como Dynamic Risk Assessment para evolucionar el mapa de riesgos tradicional y formaciones que vayan calando en la cultura hasta conseguir ir abordando con mayor extensión este tipo de prácticas ágiles. Incluso realizar un diagnóstico de la función de riesgos/auditoría interna para evaluar el grado de madurez respecto de la implantación de prácticas “Agile”. Esto, sin duda, redundará en una mayor competitividad y una mejora del riesgo empresarial.