Evaluar la Adecuación de los Procesos de Gestión de Riesgos Norma principalmente relacionada: 2120 – Gestión de Riesgos La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos. Interpretación: Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la evaluación que efectúa el auditor interno de que: Los objetivos de la organización apoyan a la misión de la organización y están alineados con la misma, Los riesgos significativos están identificados y evaluados, Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con la aceptación de riesgos por parte de la organización, y Se capta información sobre riesgos relevantes, permitiendo al personal, la dirección y el Consejo cumplir con sus responsabilidades, y se comunica dicha información oportunamente a través de la organización. La actividad de Auditoría Interna reúne la información necesaria para soportar esta evaluación mediante múltiples trabajos de auditoría. El resultado de estos trabajos, observado de forma conjunta, proporciona un entendimiento de los procesos de gestión de riesgos de la organización y su eficacia. Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas, evaluaciones por separado, o ambas. Consejo para la Práctica 2120-1 1. La gestión de riesgos es una responsabilidad clave de la alta dirección y el consejo de administración. Para cumplir sus objetivos de negocio, la dirección asegura que existen y funcionan sólidos procesos de gestión de riesgos. Los consejos de administración cumplen una función de supervisión para determinar que existan apropiados procesos de gestión de riesgos y que estos procesos sean adecuados y eficaces. En este rol, pueden dirigir a los auditores internos a que los ayuden mediante el examen, evaluación, informe y recomendación de mejoras sobre la adecuación y eficacia de los procesos de gestión de riesgos de la dirección. 2. La dirección y el consejo de administración son los responsables de los procesos de gestión de riesgos y control de su organización. Sin embargo, los auditores internos que actúan en un rol de consultores pueden asistir a la organización en la identificación, evaluación, e implantación de metodologías de gestión de riesgos y controles dirigidos a aquellos riesgos. En las situaciones en que la organización no posee un proceso formal de gestión de riesgos, el director ejecutivo de auditoría (DEA) comenta formalmente con la dirección y el comité de auditoría sus obligaciones para entender, gestionar y vigilar los riesgos dentro de la organización y la necesidad de que los mismos se aseguren de que haya procesos operando dentro del negocio, aunque sea informalmente, que brinden el nivel apropiado de visibilidad a los riesgos principales y cómo están siendo gestionados y vigilados. 3. El DEA ha de obtener un entendimiento de las expectativas que tenga la alta dirección y el consejo de administración respecto de la actividad de auditoría interna en el proceso de gestión de riesgos de la organización. Este entendimiento será luego codificado en los estatutos de la actividad de auditoría interna y del consejo de administración. El rol que cumple la actividad de auditoría interna en el proceso de gestión de riesgos de una organización pude cambiar con el tiempo y puede comprender lo siguiente: 4. Ningún rol. Auditar el proceso de gestión de riesgos como parte del plan de auditoría. Apoyar e implicarse de forma activa y continua en el proceso de gestión de riesgos, tal como la participación en comités de supervisión, actividades de vigilancia e informes de situación. Administrar y coordinar el proceso de gestión de riesgos. En última instancia, determinar el rol de auditoría interna en el proceso de gestión de riesgos es una responsabilidad de la alta dirección y el consejo de administración. Su visión del rol de auditoría interna estará probablemente determinada por factores tales como la cultura de la organización, la aptitud del personal de auditoría interna, y las condiciones locales y costumbres del país. Sin embargo, abordar la responsabilidad de la dirección respecto del proceso de gestión de riesgos y la amenaza potencial a la independencia de la actividad de auditoría interna requiere un amplio debate y la aprobación del consejo de administración. 6. Las técnicas utilizadas por las diversas organizaciones para sus prácticas de gestión de riesgos pueden varias significativamente. Dependiendo del tamaño y complejidad de las actividades de negocios de la organización, los procesos de gestión de riesgos pueden ser: 5. Formales o informales, Cuantitativos o subjetivos, Insertados en las unidades de negocios o centralizados a nivel corporativo. 7. La organización diseña procesos basados en su cultura, estilo de dirección y objetivos de negocio. Por ejemplo, el uso de derivados u otros sofisticados productos del mercado de capitales por una organización podría requerir el uso de herramientas cuantitativas de gestión de riesgos. Organizaciones más pequeñas, menos complejas, podrían utilizar un comité informal de riesgos para debatir el perfil de riesgos de la organización y para realizar acciones periódicas. El auditor interno determina si la metodología elegida es suficientemente integral y apropiada para la naturaleza de las actividades de la organización. Los auditores internos tienen que obtener evidencia suficiente y apropiada para determinar que los objetivos clave de los procesos de gestión de riesgos se hayan cumplido, con el fin de formarse una opinión sobre la adecuación de dichos procesos. Al obtener esta evidencia, el auditor interno podría tener en cuenta los siguientes procedimientos de auditoría: Investigar y revisar desarrollos, tendencias e información actualizada del sector económico correspondiente a los negocios de la organización, y otras fuentes apropiadas de información, con el fin de determinar los riesgos y exposiciones que puedan afectar a la organización y los procedimientos de control relacionados que se utilizan para afrontar, vigilar y reevaluar aquellos riesgos. Revisar las políticas corporativas, las minutas del consejo de administración y del comité de auditoría, con el fin de determinar las estrategias de negocio de la organización, su filosofía y metodología de gestión de riesgos, su inclinación al riesgo, y su aceptación de riesgos. Revisar informes previos de evaluación de riesgos emitidos por la dirección, los auditores internos, auditores externos y otras fuentes. Entrevistar a la gerencia de línea y ejecutiva con el fin de determinar los objetivos de las unidades de negocio, los riesgos relacionados, y las actividades de mitigación de riesgos y vigilancia de controles de parte de la dirección. Asimilar información con el fin de evaluar independientemente la eficacia de la mitigación de riesgos, vigilancia, y comunicación de riesgos y actividades de control asociadas. Evaluar la adecuación de las líneas de reporte para las actividades de vigilancia del riesgo. Revisar la adecuación y oportunidad de la información sobre los resultados de la gestión de riesgos. Revisar la integridad del análisis de gestión de riesgos y las acciones tomadas por parte de la dirección para remediar los problemas identificados en los procesos de gestión de riesgos, y sugerir mejoras. Determinar la eficacia de los procesos de autoevaluación de la dirección mediante observaciones, pruebas directas del control y los procedimientos de vigilancia, pruebas de la información utilizada en actividades de vigilancia y otras técnicas apropiadas. Revisar los problemas relacionados con el riesgo que puedan indicar debilidad en las prácticas de gestión de riesgos y, si corresponde, comentarlos con la alta dirección y el consejo de administración. Si el auditor considera que la dirección ha aceptado un nivel de riesgos que es inconsistente con la estrategia y política de gestión de riesgos de la organización, o que es inaceptable para la organización, debe consultar la Norma 2600: Aceptación de los Riesgos por la Dirección, y demás guías relacionadas.