Recomendaciones para el éxito en la gestión de riesgos y control interno

Gestión de riesgos  y control interno

Un sistema de gestión de riesgos  y control interno se define como: 

El conjunto de procedimientos, estructuras organizacionales  y actividades encaminadas a asegurar, a través de un adecuado proceso de identificación, evaluación y tratamiento de riesgos, una correcta gestión empresarial, alineada con los objetivos estratégicos. 

Este sistema se integra en las estructuras más generales de organización y gobierno corporativo y tiene debidamente en cuenta los modelos de referencia y las mejores prácticas existentes a nivel internacional. Asimismo, contribuye a asegurar:

• La protección de los activos de la empresa.
• La eficiencia y efectividad de las operaciones de los procesos comerciales.
• La confiabilidad de la información financiera.
• El cumplimiento normativo y de los procedimientos internos.

Los lineamientos y directrices de este sistema se refieren a los principios previstos en el estándar internacional Enterprise Risk Management (ERM), desarrollado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (Informe COSO).

Etapas de la implementación 

La implementación del sistema de gestión de riesgos y control interno se constituye de diferentes etapas: 

• Como punto de partida se encuentran el apetito al riesgo, tolerancia y los límites.
• Posteriormente están la identificación y evaluación de los riesgos.
• Seguido de la gestión del riesgo y los controles; esto últimos derivan hacia la comunicación y elaboración de informes sobre los resultados del proceso. 

Apetito al riesgo, tolerancia y límites

Puesto que la gestión de riesgos está vinculada directamente con la consecución de los objetivos estratégicos del negocio, en los que hay una planificación de los recursos de capital humanos y tecnológicos, es fundamental conocer estos objetivos.

Los objetivos estratégicos, así como las políticas y los procedimientos de la empresa, son planteados por la alta dirección y recogidos en manuales elaborados que condicionan el apetito al riesgo de la organización.

Identificación y evaluación de los riesgos 

Para una óptima identificación, evaluación y gestión de riesgos e incertidumbres a los que está expuesta una compañía en el cumplimiento de sus objetivos, es preciso establecer una función de gestión de riesgos a fin de desarrollar un modelo interno para el tratamiento de estos.

Asimismo, se debe monitorear periódicamente el desempeño y actualización del mismo proceso. Por otra parte, la relevancia y consecuente clasificación del riesgo en categorías y niveles, se determina con base a parámetros de probabilidad de ocurrencia e impacto.

Cabe mencionar que los parámetros no deben ser únicamente referentes a lo financiero, sino que también se deben expresar en términos de cuota de mercado, ventaja competitiva y reputación.

Categorías de riesgos

• Riesgo residual. Es aquel que permanece después de haber ejecutado los controles  a esos riesgos.
• Riesgo secundario. Es el riesgo que aparece en el momento en el que una empresa implanta una determinada respuesta o control  a un riesgo; como consecuencia de esas acciones.

Niveles de riesgo

• Nivel de riesgo bajo. No requiere evaluación ni implementación de controles.
• Nivel de riesgo medio. Requiere de la evaluación y monitoreo de controles clave.
• Nivel de riesgo alto. Se deben evaluar todos los controles e implementar planes de remediación, de acuerdo al análisis del riesgo. 

La evaluación por su parte, se realiza tanto de forma inherente -es decir, sin ninguna acción de mitigación- como de forma residual, teniendo así en cuenta las acciones implementadas para reducir la probabilidad de ocurrencia del evento de riesgo y/o limitar su impacto perjudicial; el escenario de riesgos se debe revisar y actualizar anualmente.

Sin embargo, la identificación y la eficacia de las acciones de mitigación indicadas por la dirección durante el proceso de evaluación, deben estar sujetas a la auditoría de la función de auditoría interna. 

Controles internos

Los objetivos que se propone un sistema de control interno, se pueden describir de forma general de la siguiente manera:

• Asegurar la realización de las actividades corporativas de un modo eficaz y eficiente.
• Garantizar la confiabilidad y la integridad de los registros contables u otra información sensible, así como la salvaguarda de los activos de la empresa.
• Asegurar el cumplimiento de la normativa externa e interna de la empresa.

En este mismo sentido, los elementos fundamentales del sistema de control establecido que deben someterse a supervisión y actualización continuas, son los siguientes:

• Separación de los roles y de las funciones en el desarrollo de las operaciones consideradas como críticas.
• Seguimiento de las operaciones.
• Gestión de procesos de toma de decisiones sobre la base de criterios lo más objetivos posible.

Los resultados del proceso de gestión y control de riesgos se recogen y procesan ​​por el área de gestión de riesgos para su divulgación al Comité de Control y Riesgo, la Junta de Auditores y al Consejo de Administración.

Toda vez que, con el fin de alinear el riesgo residual dentro de un determinado rango de riesgo considerado aceptable, la función de gestión de riesgos planifica e implementa las acciones de respuesta al riesgo en colaboración con todos los responsables, mediante el mapeo de las acciones mitigadoras diseñadas.

La clave para la implementación exitosa

Como ya hemos mencionado, un sistema de gestión de riesgos y control interno se compone de diferentes etapas, que a su vez implican cada una, una serie de acciones y procedimientos que involucran a diversas áreas, responsables y personal.

Por lo que la implementación de este sistema demanda el uso de soluciones tecnológicas robustas y ágiles que permitan llevar a cabo este proceso de forma integral, eficiente y con resultados confiables para la toma decisiones de la alta dirección o personal a cargo.

En ORCA somos especialistas en la gestión y tratamientos de riesgos organizacionales, y podemos ayudar en el control de los procesos críticos; si quieres saber más sobre cómo prevenir y mitigar posibles amenazas que desestabilicen tu negocio, ¡descarga nuestra guía gratuita! y comienza a fortalecer tu sistema de gestión de riesgos y control interno.