Hace un tiempo grabé un video corto sobre la estructura organizativa de gestión de riesgos en una empresa no financiera. En el video discutí varias opciones para el lugar del gestor de riesgos en la estructura organizacional general. Dado que realmente no hay una única respuesta correcta, las pocas opciones comunes incluyen: reportar directamente al CEO, reportar al Consejo o al Comité de Auditoría, reportar al CFO o al Jefe de Auditoría Interna, y así sucesivamente. Probablemente ya tengas una preferencia personal. Con suerte, este artículo te ayudará a reconsiderarlo.

Realmente no importa…

La primera conclusión que hago en el video es que en realidad no importa dónde se siente el gerente de riesgos siempre y cuando se cumplan dos criterios importantes

• acceso directo a los tomadores de decisiones – los gestores de riesgos deben estar lo suficientemente cerca de los tomadores de decisiones para poder apoyar la integración de la gestión de riesgos en los procesos empresariales y la toma de decisiones, y ser capaces de reforzar la cultura de gestión de riesgos. Esto requiere cierto nivel de seniority para poder participar en la toma de decisiones y contactar a ejecutivos o miembros de la Junta cuando sea necesario.
• acceso a la información - Los gestores de riesgos necesitan acceso sin filtrar a diversas fuentes de información, incluyendo hallazgos de auditorías internas, datos de TI, datos de producción, información financiera y contable, datos de cumplimiento, y así sucesivamente. Esto requiere buenas relaciones con los propietarios clave de la información y canales de comunicación establecidos que permitan a los gestores de riesgos utilizar los datos corporativos para el análisis de riesgos a diario. El segundo criterio es el más importante en mi opinión.

Mientras se cumplan estos dos criterios, el gestor de riesgos podrá desempeñar su papel casi en cualquier lugar dentro de la estructura organizativa.

Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos

...pero ayuda sentarse con Auditoría Interna

Mi experiencia personal fue reportar al Jefe de Estrategia, Director Financiero, Director Ejecutivo, Presidente del Comité de Auditoría y Jefe de Auditoría Interna. Y aunque es único para cada organización y depende en gran medida de la relación personal con el supervisor/patrocinador, encontré que sentarse junto con Auditoría Interna tiene mucho sentido, porque:

• La auditoría interna no posee muchos riesgos, por lo que hay menos presión sobre los gestores de riesgos para retener información o excluir datos del análisis de riesgos. Lo opuesto podría ser informar a un director financiero. El departamento de finanzas origina y asume muchos riesgos. He encontrado empresas donde los gestores de riesgos que reportaban al director financiero eran presionados para excluir los riesgos financieros del análisis o se les impedía integrar el análisis de riesgos en los procesos comerciales financieros.
• la auditoría interna tiene canal de comunicación directa con la Junta y el Comité de AuditoríaEsto ayuda a integrar la gestión de riesgos en la toma de decisiones estratégicas.
• Acceso a datos financieros y operativos de la empresa. Los auditores internos generalmente tienen acceso completo a los datos y las instalaciones de la empresa, lo cual es invaluable al realizar análisis de riesgos oportunos y precisos.
• Acceso a los hallazgos de auditoría, incumplimientos, debilidades de control, etc. La auditoría interna es una mina de oro de datos que puede mejorar significativamente la calidad del análisis de riesgos. Tuve la gran suerte de poder comunicarme con auditores internos a diario. Su aportación me ayudó a mejorar drásticamente mi análisis de riesgos y, por lo tanto, a mejorar la calidad de la toma de decisiones en la empresa.
• La gestión de riesgos también puede mejorar la planificación de auditorías internas y los procedimientos de auditoría. La relación funciona en ambos sentidos.
• Expectativas éticas más altas para la auditoría interna.

Por supuesto, existen argumentos en contra de tener la gestión de riesgos y la auditoría interna en un mismo departamento. Estoy seguro de que has pensado en algunos justo ahora. La mayoría de ellos no son reales. Te animo a que escribas tus argumentos a favor y en contra en los comentarios a continuación y trataré de responder a cada uno.

La falta de independencia y el conflicto de intereses suelen citarse como la principal justificación para separar la gestión de riesgos y la auditoría interna. Me parece bastante ingenuo: primero, pensar seriamente que la auditoría interna es realmente independiente es un poco exagerado, y en segundo lugar, la falta de independencia, en particular con la gestión de riesgos, es literalmente el menor de los problemas del auditor interno. Resumiré mis pensamientos sobre las 3 líneas de defensa en el siguiente video

Por favor, comenta, comparte y dale me gusta.

– – – – – – – – – – – – – – – – – – – – –

RISK-ACADEMY ofrece capacitación y servicios de consultoría en toma de decisiones y gestión de riesgos. Nuestros programas de capacitación en gestión de riesgos corporativos están diseñados específicamente para promover la toma de decisiones basada en riesgos y la integración de la gestión de riesgos en los procesos empresariales. Los gestores de riesgos de todo el mundo nos llaman para ayudar a vender la idea de integrar el análisis de riesgos en la toma de decisiones y utilizar técnicas de análisis de riesgos cuantitativos. Consulta el curso más popular para tomadores de decisiones https://riskacademy.blog/product/risk-based-decision-making-executives/o nuestros programas dedicados para ayudar a los gerentes de riesgos a aprender los fundamentos del análisis de riesgo cuantitativo https://riskacademy.blog/product/risk-managers-training/También podemos ayudar a auditar la efectividad de la gestión de riesgos o desarrollar una hoja de ruta para la integración de la gestión de riesgos en la toma de decisiones. https://riskacademy.blog/product/g31000-risk-management-maturity-assessment/