auditoría control de riesgos

Diferencias entre la auditoría y la gestión de riesgos




Por Mtro. Enrique Monroy.

Esta es una pregunta común en entidades que llevan a cabo esfuerzos por implementar y desarrollar estas funciones. Entendamos la diferencia.

El objetivo de la gestión de riesgos es ver hacia adelante, identificar anticipadamente eventos que pudieran materializarse y causar perjuicios a la organización. El valor de la gestión de riesgos radica en la prevención de fallas, errores, incidentes que pudieran traducirse en quebrantos de magnitudes relevantes.

La auditoría está enfocada en ver hacia atrás, evalúa un sistema de control en funcionamiento revisando hechos que han ocurrido. De esta forma, se actúa con antelación a partir de la evidencia documental que da soporte a sus conclusiones.

Gestión de Riesgos

El análisis de los riesgos que enfrenta una entidad debe llevarse a cabo periódicamente, tomando en consideración todos los cambios a los procesos, aplicaciones, funciones y actividades de la organización; basta con que se modifique el ambiente y genere nuevas condiciones para que un riesgo pueda emerger.

El objetivo de una revisión de riesgos es evaluar al ambiente interno y externo, así como los eventos e incidentes que se han presentado; estos dos elementos en su conjunto, determinan la severidad de los riesgos que enfrenta la entidad y así se puede determinar la probabilidad de impacto.

Es conveniente que las revisiones a la exposición de riesgos de una entidad se realicen a través de reuniones periódicas en las que participen los “dueños de los riesgos”, el “administrador de riesgos”, así como aquellos interesados relacionados con el control interno o la contraloría de la organización.

La clave para llevar a cabo una revisión de riesgos efectiva es lograr que el análisis sea integral (considerando todos los tipos de riesgos) y que no se limite únicamente a eventos y riesgos específicos y aislados.

Por otra parte, es esencial asegurar que los directores estén conscientes de los diferentes tipos de riesgos a los que está expuesta la entidad y que valoren adecuadamente las consecuencias que éstos podrían acarrear.

Auditoría

Por otra parte, la auditoría implica una revisión exhaustiva en la que se analiza la efectividad de los controles (diseño y ejecución) para asegurar que ciertas tareas se lleven a cabo conforme a los parámetros o normas establecidas.

De hecho, la auditoría aplica metodologías que examinan la efectividad de la “gestión de riesgos”, enfocándose en el éxito o fracaso con la implementación de estrategias de respuestas a los riesgos, así como en la atención de las “causas raíz”Es preciso señalar que las respuestas a los riesgos, al formalizarse en políticas y procedimientos, se traducen en el “sistema de control” empresarial.

El resultado de la auditoría siempre estará documentado, de ahí que conforme la auditoría va en progreso, se va documentando todo el trabajo realizado, tanto la planeación como la ejecución.

Finalmente se realiza y presenta el “Informe de Auditoría”, en el que se documentan las “lecciones aprendidas”.

Beneficios conjuntos

En general, es común que hoy las organizaciones se esfuercen por mejorar la eficacia, eficiencia y seguridad de los procesos y aplicaciones. Esto puede lograrse a través de las prácticas preventivas de gestión de riesgos.

Por otro lado, las actividades de la auditoría son de gran utilidad si se logra convertir sus resultados en lecciones realmente aprendidas, de tal forma que no se repitan los errores y fallos detectados.

Es responsabilidad de los órganos de gobierno y cuerpos directivos de la entidad llevar a cabo ejercicios de análisis de riesgos, así como revisiones periódicas de las exposiciones a riesgos que por el modelo de negocio puede enfrentar la entidad.

De ahí la importancia de contar con auditores competentes e independientes que cuestionen las prácticas de “gestión de riesgos que se llevan a cabo en la organización”.

Finalmente, se requiere comunicar los resultados con efectividad, ya que ninguna auditoría o “gestión de riesgos” se completa hasta que se ha dado oportuna visibilidad de los hallazgos y riesgos relevantes, a aquellos directivos que requieren la información y que son quienes pueden modificar el perfil de riesgos a través de las mejoras al sistema de control, a fin de lograr la consecución de los objetivos de la entidad.

Diferencias auditoría y gestión de riesgos

Síguenos en Facebook

Contenido relacionado: 

Contenido recomendado: