Durante mi experiencia profesional he notado que el tema de riesgo es algo que muchas veces los colaboradores lo perciben como terreno desconocido y una tarea adicional a las actividades de los procesos que ejecutan diariamente, y que es responsabilidad de la Dirección de Riesgo, Unidades de Planificación o Control Interno, por lo que nosotros como Auditores Internos tenemos una gran oportunidad para contribuir con la cultura de riesgo organizacional.
Adicionalmente, he notado que en el proceso de identificación de riesgos existen oportunidades de mejora, pues muchas veces las organizaciones, tanto del Sector Público como Privado, no tienen mapeados los riesgos que impactan el cumplimiento de los objetivos estratégicos.
Para respaldar lo anterior, existen estudios que permiten dimensionar el problema:
- La OCDE señala que las instituciones no tienen claro que es riesgo, no generan alertas tempranas a la Alta Administración, y/o identifican los riesgos micro y no los macro o estratégicos.
- Adicionalmente, un estudio realizado por Harvard[1] señala que las funciones de riego y cumplimiento tradicionalmente están enfocadas en otras categorías de riesgo, aún cuando los riesgos estratégicos han demostrado ser el número uno en la “destrucción de valor”.
Dicho estudio señala que en la década del 2000 al 2010 las pérdidas significativas en valor de mercado ocasionados por cada tipo de riesgos fueron en un 86% por materialización de los riesgos estratégicos, 9% operacional, 3% legal y cumplimiento, y 2% por reportes financieros.
Lo sorprendente del estudio es cuando analizamos la proporción del tiempo invertido en gestionar cada tipo de riesgo, pues un 6% se dedica al estratégico, 42% al operacional, 13% al legal y cumplimiento y un 39% al reporte financiero.
Estoy seguro que esos porcentajes están muy cerca de la realidad que vivimos en Costa Rica, pues el día a día nos ciega para darle la importancia que requieren a la gestión de los riesgos estratégicos, aspecto que representa una gran oportunidad para la profesión de Auditoría Interna en aras de asesorar al negocio.
Esta tendencia a no enfocar los esfuerzos a gestionar los riesgos estratégicos conlleva un enorme desafío, pues provoca que la organización no pueda percibir oportunamente las disrupciones en su verdadera forma y perspectiva.
Esta situación obliga, según palabras de Lesedi Lesetedi, Federación Africana del Instituto de Auditores Internos, a que cómo máximo, un DEA perceptivo debería ver las oportunidades y los riesgos que genera una fuerza disruptiva y ayudar al consejo de administración a comprender las consecuencias de las decisiones estratégicas que tome el consejo de administración sobre esa fuerza.
Dicho lo anterior, la Auditoría Interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos; para ello, el DAI y toda la actividad de la Auditoría Interna deben tener conversaciones con la alta dirección y el Consejo para valorar el apetito y tolerancia al riesgo, así como a la cultura de riesgo de la organización.
En la práctica, en nuestros planes de trabajo debemos incluir pruebas que nos permita analizar y evaluar la gestión estratégica organizacional, el plan de negocio y las políticas, de forma tal, que nos permita identificar si los riesgos significativos están siendo identificados y evaluados adecuadamente, incluyendo los riesgos emergentes.
Adicionalmente, las pruebas que hagamos deben analizar la trazabilidad de la información, a fin de brindar una seguridad razonable que los informes de riesgos llegan a los que deben gestionarlo.
Para la evaluación sobre el proceso de gestión de riesgos la actividad de Auditoría Interna puede hacer las siguientes preguntas que darían un panorama de la situación actual de la organización:
- ¿Existe un proceso para identificar riesgos emergentes?
- ¿Se han definido el apetito y la tolerancia al riesgo?
- ¿Se han identificado los riesgos claves y los principales indicadores de riesgo?
- ¿Cómo se están vigilando?
- ¿Se han tenido en cuenta los riesgos estratégicos?
La información que obtengamos nos permitirá enfocar nuestros esfuerzos de auditoría a las áreas del negocio que requieran mejorar el proceso de valoración de riesgos, y que nuestras partes interesadas nos perciban como asesores estratégicos de la organización, pues esto permite aumentar la probabilidad de alcanzar los objetivos estratégicos; fomenta la gestión proactiva; crea conciencia de la necesidad de identificar y tratar los riesgos en toda la organización; cumplir con los requisitos legales y reglamentarios pertinentes y con las normas; minimiza las pérdidas y es base confiable para la toma de decisiones.
Es por ello que la gestión de riesgo permite mejorar el Gobierno Corporativo y el Control Interno, la confianza de las partes interesadas, la eficiencia y eficacia de las operaciones, el aprendizaje y la flexibilidad organizacional.
Finalmente, una sólida cultura de gestión riesgo permeada en toda la organización, permite convertir a todos los colaboradores en gestores de riesgo por convicción.
Es por ello, que si tuviera que escoger entre modelos de riesgos sofisticado o una cultura de riesgo, si dudar escogería esta última, por lo que mis esfuerzos de auditoría los enfocaría en contribuir
[1] Source: Reducing Risk Managmente’s Organizational Drag. CEB, 2015 and “How To Live With Risks”, Harvard Business Review, July-August 2015.
