Durante los últimos 10 años, se convirtió en casi dogmático que la efectividad de la gestión de riesgos debe ser divulgada a nivel de la Junta. Parece ser igualmente aceptado que la Junta en pleno es responsable de la supervisión de la gestión de riesgos, quien, sin embargo, puede y a menudo delega esta responsabilidad de supervisión al Comité de Auditoría. De hecho, esto es tan común que muchas organizaciones han ampliado el mandato del Comité de Auditoría para incluir la gestión de riesgos y los han renombrado como Comité de Auditoría y Riesgos.
Algunos reguladores, como Rusia por ejemplo, incluso legislataron la idea de que la supervisión de la gestión de riesgos, así como otros asuntos relacionados con la gestión de riesgos, son responsabilidad del Comité de Auditoría.
Según la FRC, el comité de auditoría debe revisar la información relacionada presentada junto con los estados financieros, incluyendo el informe estratégico y las declaraciones de gobierno corporativo relacionadas con la auditoría y la gestión de riesgos.
El comité de auditoría debe asegurarse de que el plan de auditoría interna esté alineado con los riesgos clave del negocio. El comité de auditoría debe prestar especial atención a las áreas en las que el trabajo de las funciones de riesgo, cumplimiento, finanzas, auditoría interna y auditoría externa puedan estar alineadas o superpuestas y supervisar estas relaciones para garantizar que estén coordinadas y operando de manera efectiva para evitar duplicaciones. (FRC)
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Estoy seguro de que IIA Global ofrece una orientación similar para los Comités de Auditoría sobre gestión de riesgos. Aunque no estuvo en la primera página de resultados de Google, así que no cuenta ))) Avísame si lo encontraste. No me sorprendería que IIA nuevamente no entendiera completamente el tema de auditoría y riesgo.
De todos modos, esto parece tanto lógico como práctico. Siempre que los auditores internos presenten un plan de auditoría, debe basarse en riesgos (RM2). La agenda del Comité de Auditoría debe basarse en riesgos (RM2). El Comité de Auditoría debería recibir un informe sobre la eficacia de la gestión de riesgos (aunque tengo una opinión muy diferente sobre cómo debería ser este informe y la metodología para su preparación en comparación con el pensamiento convencional de RM1). El Comité de Auditoría probablemente solicitará informes ad hoc sobre riesgos específicos de cumplimiento de vez en cuando (RM1).
Sin embargo, muy a menudo veo que otros asuntos de gestión de riesgos se relegan al Comité de Auditoría, incluyendo la estrategia de gestión de riesgos y otras actividades de gestión de riesgos. Escribe en los comentarios si has observado algo similar, donde el Comité de Auditoría se convierte en el lugar para todos los asuntos de riesgo.
Y eso va totalmente en contra de todo el propósito de la gestión de riesgos. Si la gestión de riesgos es una herramienta de toma de decisiones (bajo RM2, sin duda lo es), entonces discutir riesgos, metas, objetivos, indicadores de rendimiento o rendimiento real por separado de los riesgos es una locura. El riesgo no es un elemento independiente que deba ser gestionado (excepto algunos riesgos de cumplimiento, pero solo porque los reguladores no entendieron bien la situación y ahora todos tenemos que fingir que los riesgos de cumplimiento deben ser gestionados y no un factor en la toma de decisiones empresariales), el riesgo es el otro lado de la moneda del rendimiento.
El rendimiento empresarial es bidimensional: recompensa y riesgo. ¿cuánto ganamos y cuánto nos costó o podría habernos costado (cuánto riesgo asumimos para generar los ingresos)?
Separar la conversación sobre riesgos de la planificación, presupuestación y rendimiento debe detenerse lo antes posible.
La supervisión debe mantenerse en el Comité de Auditoría, pero todos los demás asuntos relacionados con riesgos, incluidos los riesgos asociados con estrategias, planes de negocio, presupuestos, decisiones de inversión, proyectos de cambio interno, pandemias y similares, deberían volver al Pleno del Consejo o al menos al Comité de Estrategia. Los riesgos deben ser cuantificados y sus efectos discutidos en el momento de tomar decisiones, no más tarde cuando se reúna el Comité de Auditoría. Parece que tenemos un lugar para RM1 en la Junta, pero no para RM2.
Hice un par de encuestas, tanto en Rusia como a nivel mundial, y me sorprendió descubrir que el 60% de los gestores de riesgos no veían ningún problema con esto. Supongo que es fácil cuando eres RM1.
Pregúntate esto, si esta práctica actual funcionara, ¿por qué todavía tenemos estrategias deterministas, planes de negocio y decisiones de inversión? ¿Por qué la dirección presenta un solo escenario, a veces 3 escenarios si tenemos suerte, en lugar de mostrar de manera transparente la volatilidad asociada a las hipótesis clave y la probabilidad de alcanzar los objetivos para cada decisión?
¿Qué piensas?
guías y plantillas de RISK-ACADEMY
Totalmente de acuerdo en que los asuntos relacionados con riesgos deben ser discutidos directamente a nivel de la Junta. Probablemente, la primera mitad de la reunión debería centrarse en discutir todos los riesgos asociados con las decisiones estratégicas/de inversión y el presupuesto antes de la aprobación. Aquí es donde todos los miembros de la Junta estarán completamente familiarizados con los desafíos y oportunidades del negocio y podrán, en última instancia, asumir la plena responsabilidad de sus decisiones. Sin embargo, para lograr esto, creo que primero debemos asegurarnos de que la cultura de riesgo esté permeando en todo el proceso de toma de decisiones dentro de la empresa y no sea un trabajo de una sola persona o departamento trabajando en aislamiento o como un proceso de "efecto secundario" / "por casualidad".
No pienses que son mutuamente excluyentes 🙂 De lo contrario, estoy de acuerdo
Solo puedo estar de acuerdo contigo, Alex, y me pregunto todos los días sobre las razones de tanta confusión. O usamos las mismas palabras: "gestión de riesgos" para nombrar cosas completamente diferentes, o cada función y cada comité hablan solo por su silo de responsabilidad mientras, a través de su lenguaje y su vocabulario, dan la ilusión de cubrir todo lo que puede afectar la estrategia y el logro de los objetivos. Me parece normal que el comité de auditoría examine de cerca la gestión de los riesgos que puedan afectar los objetivos de veracidad de las cuentas financieras, aunque tengo más dudas sobre la relevancia de sus análisis cuando se trata de las incertidumbres relacionadas con el desarrollo de un nuevo producto o una nueva tecnología.
Totalmente entiendo de dónde vienes, Alex. Por supuesto, la estrategia de riesgo y las actividades de riesgo no pueden estar dentro de las responsabilidades de auditoría.Sí, la revisión de estos por todos los medios es una responsabilidad de IA. Además, la gestión de riesgos se ha vuelto bastante compleja o eso puede parecer y muchas veces, aunque se responsabiliza a las IA de la revisión y supervisión, no estoy seguro de si siempre se les proporcionan las herramientas o el presupuesto para hacerlo.