En los últimos diez años se ha vuelto casi dogmático que gestión de riesgos La eficacia debe ser revelada a nivel de la Junta Directiva. Parece ser igualmente aceptado que la Junta Directiva en su totalidad es responsable de gestión de riesgos supervisión, quien, sin embargo, puede y a menudo delega esta responsabilidad de supervisión al Comité de Auditoría. Esto es, de hecho, tan común que muchas organizaciones han ampliado el mandato del Comité de Auditoría para incluir gestión de riesgos y los renombró como Comité de Auditoría y Riesgo.
Algunos reguladores, como Rusia, incluso legislaron la idea de que gestión de riesgos supervisión así como otros gestión de riesgos Los asuntos son responsabilidad del Comité de Auditoría.
Según la FRC, el comité de auditoría debe revisar la información relacionada presentada junto a los estados financieros, incluyendo el informe estratégico, y las declaraciones de gobierno corporativo relativas a la auditoría y a gestión de riesgos.
El comité de auditoría debe asegurarse de que el plan de auditoría interna esté alineado con los riesgos clave del negocio. El comité de auditoría debe prestar especial atención a las áreas en las que el trabajo de las funciones de riesgo, cumplimiento, finanzas, auditoría interna y auditoría externa puedan estar alineadas o superpuestas y supervisar estas relaciones para garantizar que estén coordinadas y operando de manera efectiva para evitar duplicaciones. (FRC)
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Estoy seguro de que IIA Global proporciona orientación similar para los comités de auditoría sobre gestión de riesgos. Aunque no estaba en la primera página de resultados de Google, así que no cuenta ))) Avísame si lo encontraste. No me sorprendería que IIA nuevamente no entendiera completamente el tema de auditoría y riesgo.
De todos modos, esto parece tanto lógico como práctico. Siempre que los auditores internos presenten un plan de auditoría, debe basarse en riesgos (RM2). La agenda del Comité de Auditoría debe basarse en riesgosRM2). El Comité de Auditoría debería recibir un informe sobre el gestión de riesgos efectividad (aunque tengo visiones muy diferentes de cómo debería verse este informe y de la metodología para su elaboración en comparación con lo convencional RM1 pensando). El Comité de Auditoría puede solicitar informes ad-hoc sobre riesgos de cumplimiento específicos de vez en cuandoRM1).
Muy a menudo, sin embargo, veo otros. gestión de riesgos Asuntos relegados al Comité de Auditoría, incluyendo gestión de riesgos estrategia y otros gestión de riesgos actividades. Escribe en los comentarios si has observado algo similar, donde el Comité de Auditoría se convierte en el lugar para todos los asuntos de riesgo.
Y eso va totalmente en contra de todo el propósito de gestión de riesgos. Si gestión de riesgos es un decisión herramienta para hacer (debajo de RM2 seguro que sí), luego discutir riesgos, metas, objetivos, indicadores de rendimiento o rendimiento real separado de los riesgos es una locura. El riesgo no es un elemento aislado que deba ser gestionado (salvo unos pocos riesgos de cumplimiento, pero solo porque los reguladores perdieron el hilo y ahora todos tenemos que fingir que los riesgos de cumplimiento deben ser gestionados y no un motor del negocio). decisión haciendo), el riesgo es el otro lado de la moneda del rendimiento.
El rendimiento empresarial es bidimensional: recompensa y riesgo. ¿cuánto ganamos y cuánto nos costó o podría habernos costado (cuánto riesgo asumimos para generar los ingresos)?
Separar la conversación sobre riesgos de la planificación, presupuestación y rendimiento debe detenerse lo antes posible.
La supervisión debe mantenerse en el Comité de Auditoría, pero todos los demás asuntos relacionados con riesgos, incluidos los riesgos asociados con estrategias, planes de negocio, presupuestos, decisiones de inversión, proyectos de cambio interno, pandemias y similares, deberían volver al Pleno del Consejo o al menos al Comité de Estrategia. Los riesgos deben ser cuantificados y sus efectos discutidos en el momento de tomar decisiones, no más tarde cuando se reúna el Comité de Auditoría. Parece que tenemos un lugar para RM1 en la Junta pero ningún lugar para RM2.
Hice un par de encuestas, tanto en Rusia como a nivel mundial, y me sorprendió descubrir que el 60% de los gestores de riesgos no veían ningún problema con esto. Supongo que es fácil cuando estás RM1.
Pregúntate esto, si esta práctica actual funcionara, ¿por qué todavía tenemos estrategias deterministas, planes de negocio y decisiones de inversión? ¿Por qué la dirección presenta un único escenario, a veces tres escenarios si tenemos suerte, en lugar de mostrar de forma transparente la volatilidad asociada a supuestos clave y la probabilidad de alcanzar los objetivos para cada uno? decisión?
¿Qué piensas?
guías y plantillas de RISK-ACADEMY
La guía de RISK-ACADEMY sobre la gestión de riesgos en proyectos gubernamentales
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
Totalmente de acuerdo en que los asuntos relacionados con riesgos deben ser discutidos directamente a nivel de la Junta. Probablemente, la primera mitad de la reunión debería centrarse en discutir todos los riesgos asociados con las decisiones estratégicas/de inversión y el presupuesto antes de la aprobación. Aquí es donde todos los miembros de la Junta estarán completamente familiarizados con los desafíos y oportunidades del negocio y podrán, en última instancia, asumir la plena responsabilidad de sus decisiones. Sin embargo, para lograr esto, creo que primero debemos asegurarnos de que la cultura de riesgo esté permeando en todo el proceso de toma de decisiones dentro de la empresa y no sea un trabajo de una sola persona o departamento trabajando en aislamiento o como un proceso de "efecto secundario" / "por casualidad".
No pienses que son mutuamente excluyentes 🙂 De lo contrario, estoy de acuerdo
Solo puedo estar de acuerdo contigo, Alex, y me pregunto todos los días sobre las razones de tanta confusión. O usamos las mismas palabras: "gestión de riesgos" para nombrar cosas completamente diferentes, o cada función y cada comité hablan solo por su silo de responsabilidad mientras, a través de su lenguaje y su vocabulario, dan la ilusión de cubrir todo lo que puede afectar la estrategia y el logro de los objetivos. Me parece normal que el comité de auditoría examine de cerca la gestión de los riesgos que puedan afectar los objetivos de veracidad de las cuentas financieras, aunque tengo más dudas sobre la relevancia de sus análisis cuando se trata de las incertidumbres relacionadas con el desarrollo de un nuevo producto o una nueva tecnología.
Totalmente entiendo de dónde vienes, Alex. Por supuesto, la estrategia de riesgo y las actividades de riesgo no pueden estar dentro de las responsabilidades de auditoría.Sí, la revisión de estos por todos los medios es una responsabilidad de IA. Además, la gestión de riesgos se ha vuelto bastante compleja o eso puede parecer y muchas veces, aunque se responsabiliza a las IA de la revisión y supervisión, no estoy seguro de si siempre se les proporcionan las herramientas o el presupuesto para hacerlo.