La
última entrada de nuestro blog puso de relevancia cierta polémica en cuanto a
la relación existente entre la función de Auditoría Interna y la de Gestión de
Riesgos. Continuamos con cuestiones polémicas: ¿debería encontrarse Auditoría
Interna, como una de las funciones clave dentro de la organización, dentro del alcance
del Sistema de Gestión de Riesgos?
A lo
largo de los últimos años, en Control Solutions hemos colaborado en la implantación de modelos de
gestión de riesgos con varios clientes de diferentes sectores de actividad,
diferentes tamaños y diferentes formas de organizarse. Durante estas
colaboraciones hemos observado un hecho que nos llama poderosamente la
atención; el departamento de Auditoría Interna no reportaba situaciones que pudieran afectar negativamente a la
misión que le había sido encomendada por la organización, en consonancia con el Sistema de Gestión de Riesgos.
Según
la definición de la profesión que proporciona el propio Instituto de Auditores
Internos, "Auditoría Interna es una
actividad independiente y objetiva de aseguramiento y consulta concebida para
agregar valor y mejorar las operaciones de una organización. Ayuda a la
organización a cumplir sus objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de
riesgos, control y gobierno”[1].
¿Por qué, entonces, Auditoría Interna no se
encuentra sujeta, tradicionalmente, al Sistema de Gestión de Riesgos?
El argumento principal podría ser que al tratarse de una actividad independiente del negocio, el alcance del modelo de Gestión de Riesgos no debería cubrir a Auditoría Interna. Nada más alejado de nuestra opinión; la independencia del negocio no debe ser entendida como un eximente para un departamento tan importante como éste.
La misión de Auditoría Interna es clara: agregar valor y mejorar las operaciones de la organización, mediante la evaluación y mejora de la eficacia de los procesos de gestión de riesgos, control y gobierno. Se le atribuye, por tanto, una misión y unos objetivos ambiciosos que, hoy en día, no escapan de las garras de la incertidumbre, independientemente de que se trate de un área de negocio, de soporte o de aseguramiento y consulta.
El argumento principal podría ser que al tratarse de una actividad independiente del negocio, el alcance del modelo de Gestión de Riesgos no debería cubrir a Auditoría Interna. Nada más alejado de nuestra opinión; la independencia del negocio no debe ser entendida como un eximente para un departamento tan importante como éste.
La misión de Auditoría Interna es clara: agregar valor y mejorar las operaciones de la organización, mediante la evaluación y mejora de la eficacia de los procesos de gestión de riesgos, control y gobierno. Se le atribuye, por tanto, una misión y unos objetivos ambiciosos que, hoy en día, no escapan de las garras de la incertidumbre, independientemente de que se trate de un área de negocio, de soporte o de aseguramiento y consulta.
Por consiguiente, y en nuestra opinión, al igual que en el caso de cualquier otro área dentro de la organización, el modelo de Gestión de Riesgos está plenamente vigente
y tiene que hacerse extensivo a este departamento, desarrollando los procesos de identificación,
evaluación y reporte de aquellas situaciones de amenaza sobre sus
objetivos concretos (garantizar la protección de los activos, el cumplimiento de las leyes y regulaciones, la disponibilidad de información íntegra y fiable y la eficiencia en la utilización de los recursos), con el objeto de priorizar y actuar en consecuencia para proporcionar una respuesta adecuada.
Entendemos que las situaciones de riesgo asociadas a las funciones y actividades de Auditoría Interna no se encontrarán presentes en todas y cada una de las categorías del inventario de riesgos del Sistema de la organización (como por ejemplo riesgos de entorno, financieros, legales o algunos operacionales), pero sí que tendrán cabida en algunas de ellas (recursos humanos, gestión y seguridad de la información e incluso fraude), por lo que creemos que será necesario prestar una especial atención a las siguientes cuestiones:
Entendemos que las situaciones de riesgo asociadas a las funciones y actividades de Auditoría Interna no se encontrarán presentes en todas y cada una de las categorías del inventario de riesgos del Sistema de la organización (como por ejemplo riesgos de entorno, financieros, legales o algunos operacionales), pero sí que tendrán cabida en algunas de ellas (recursos humanos, gestión y seguridad de la información e incluso fraude), por lo que creemos que será necesario prestar una especial atención a las siguientes cuestiones:
- La naturaleza de los propios trabajos: en relación a posibles situaciones "comprometidas" al haber desarrollado Auditoría Interna papeles de aseguramiento y de consultoría.
- La disponibilidad de recursos: ya sean desde el punto de vista humano (número de efectivos, formación, conocimientos, aptitudes, etc), material (licencias, herramientas tecnológicas) o económico (suficiente dotación presupuestaria).
- La realización de los trabajos: en relación al modo de llevar a cabo los trabajos por parte de los profesionales (aptitud y competencia profesional) y su adscripción y respecto, por ejemplo, al Código de Ética de la Profesión.
- Los resultados de los trabajos: puesto que deben garantizar unos resultados con los mínimos estándares de calidad que sean útiles y suficientes para una correcta toma de decisiones.
- Las relaciones con el resto de la organización: teniendo en cuenta posibles conflictos o relaciones pobres con otras áreas de la organización, que puedan traducirse en impedimentos a la consecución de sus objetivos.
En definitiva, creemos que un Sistema de Gestión Integral de Riesgos correctamente implantado y desarrollado debe garantizar la aplicación de los procesos de identificación, evaluación, respuesta y reporte de riesgos a todas las áreas y departamentos de una organización (independientemente de que se traten de áreas operativas o de soporte), con el objetivo final de manejar aquellas situaciones de riesgo que afecten al proceso de toma de decisiones y a los objetivos de la organización en su conjunto.
____________________________________
No hay comentarios:
Publicar un comentario