Durante los últimos 10 años, se convirtió en casi dogmático que la efectividad de la gestión de riesgos debe ser divulgada a nivel de la Junta. Parece ser igualmente aceptado que la Junta en pleno es responsable de la supervisión de la gestión de riesgos, quien, sin embargo, puede y a menudo delega esta responsabilidad de supervisión al Comité de Auditoría. De hecho, esto es tan común que muchas organizaciones han ampliado el mandato del Comité de Auditoría para incluir la gestión de riesgos y los han renombrado como Comité de Auditoría y Riesgos.
Algunos reguladores, como Rusia por ejemplo, incluso legislataron la idea de que la supervisión de la gestión de riesgos, así como otros asuntos relacionados con la gestión de riesgos, son responsabilidad del Comité de Auditoría.
Según la FRC, el comité de auditoría debe revisar la información relacionada presentada junto con los estados financieros, incluyendo el informe estratégico y las declaraciones de gobierno corporativo relacionadas con la auditoría y la gestión de riesgos.
El comité de auditoría debe asegurarse de que el plan de auditoría interna esté alineado con los riesgos clave del negocio. El comité de auditoría debe prestar especial atención a las áreas en las que el trabajo de las funciones de riesgo, cumplimiento, finanzas, auditoría interna y auditoría externa puedan estar alineadas o superpuestas y supervisar estas relaciones para garantizar que estén coordinadas y operando de manera efectiva para evitar duplicaciones. (FRC)
Estoy seguro de que IIA Global ofrece una orientación similar para los Comités de Auditoría sobre gestión de riesgos. Aunque no estuvo en la primera página de resultados de Google, así que no cuenta ))) Avísame si lo encontraste. No me sorprendería que IIA nuevamente no entendiera completamente el tema de auditoría y riesgo.
De todos modos, esto parece tanto lógico como práctico. Siempre que los auditores internos presenten un plan de auditoría, debe basarse en riesgos (RM2). La agenda del Comité de Auditoría debe basarse en riesgos (RM2). El Comité de Auditoría debería recibir un informe sobre la eficacia de la gestión de riesgos (aunque tengo una opinión muy diferente sobre cómo debería ser este informe y la metodología para su preparación en comparación con el pensamiento convencional de RM1). El Comité de Auditoría probablemente solicitará informes ad hoc sobre riesgos específicos de cumplimiento de vez en cuando (RM1).
Sin embargo, muy a menudo veo que otros asuntos de gestión de riesgos se relegan al Comité de Auditoría, incluyendo la estrategia de gestión de riesgos y otras actividades de gestión de riesgos. Escribe en los comentarios si has observado algo similar, donde el Comité de Auditoría se convierte en el lugar para todos los asuntos de riesgo.
Y eso va totalmente en contra de todo el propósito de la gestión de riesgos. Si la gestión de riesgos es una herramienta de toma de decisiones (bajo RM2, sin duda lo es), entonces discutir riesgos, metas, objetivos, indicadores de rendimiento o rendimiento real por separado de los riesgos es una locura. El riesgo no es un elemento independiente que deba ser gestionado (excepto algunos riesgos de cumplimiento, pero solo porque los reguladores no entendieron bien la situación y ahora todos tenemos que fingir que los riesgos de cumplimiento deben ser gestionados y no un factor en la toma de decisiones empresariales), el riesgo es el otro lado de la moneda del rendimiento.
El rendimiento empresarial es bidimensional: recompensa y riesgo. ¿cuánto ganamos y cuánto nos costó o podría habernos costado (cuánto riesgo asumimos para generar los ingresos)?
Separar la conversación sobre riesgos de la planificación, presupuestación y rendimiento debe detenerse lo antes posible.
La supervisión debe mantenerse en el Comité de Auditoría, pero todos los demás asuntos relacionados con riesgos, incluidos los riesgos asociados con estrategias, planes de negocio, presupuestos, decisiones de inversión, proyectos de cambio interno, pandemias y similares, deberían volver al Pleno del Consejo o al menos al Comité de Estrategia. Los riesgos deben ser cuantificados y sus efectos discutidos en el momento de tomar decisiones, no más tarde cuando se reúna el Comité de Auditoría. Parece que tenemos un lugar para RM1 en la Junta, pero no para RM2.
Hice un par de encuestas, tanto en Rusia como a nivel mundial, y me sorprendió descubrir que el 60% de los gestores de riesgos no veían ningún problema con esto. Supongo que es fácil cuando eres RM1.
Pregúntate esto, si esta práctica actual funcionara, ¿por qué todavía tenemos estrategias deterministas, planes de negocio y decisiones de inversión? ¿Por qué la dirección presenta un solo escenario, a veces 3 escenarios si tenemos suerte, en lugar de mostrar de manera transparente la volatilidad asociada a las hipótesis clave y la probabilidad de alcanzar los objetivos para cada decisión?
¿Qué piensas?
guías y plantillas de RISK-ACADEMY
