Conocer las interrelaciones
entre tres facetas del riesgo sirve de fundamento para un enfoque de auditoría
basado en el riesgo.
El objetivo central de
una actividad de auditoría es añadir valor al facilitar que la
organización alcance sus objetivos. El mejor modo de conseguirlo es brindar
servicios basados en el riesgo destinado a evaluar si los riesgos clave que
afectan esos objetivos se gestionan adecuadamente y a proporcionar
asesoramiento para la mejora de las actividades de gestión de riesgos.
Pero el riesgo es complejo.
¿Cómo pueden estar seguros los directores ejecutivos de auditoría (DEA) de que
su personal está en condiciones de implementar una auditoría basada en el riesgo
de manera exitosa?
Garantizar que el
enfoque de auditoría se base en un fundamento sólido, con una comprensión cabal
del riesgo, es un buen punto de partida.
Establecer el
fundamento
Una definición clara
de riesgo es la piedra angular de un enfoque de auditoría basada en el riesgo.
La definición debe ser rigurosa e inequívoca, y aceptada de manera general en
el entorno de auditoría interna y en toda la organización.
En Enterprise Risk
Management: Achieving and Sustaining Success (Gestión de riesgo
empresarial: cómo lograr y sostener el éxito), por Paul Sobel y Kurt Reding (publicado
por la Fundación de Investigaciones del IIA), se define el riesgo como
“el efecto total de eventos y resultados inciertos en el logro de los objetivos”.
Se debe explicar cada término clave de esta definición, comenzando por los
objetivos, de modo que todos en la organización lo acepten.
Objetivos. El riesgo comienza y
termina con los objetivos y es relevante solo en el contexto de estos. Además, los
únicos riesgos importantes para una organización son aquellos que afectan el
logro de sus objetivos. En el nivel más alto, los objetivos de una organización
se ven reflejados en los enunciados de su misión y visión. Los objetivos más
específicos se utilizan en todos los niveles de la organización como criterio
por el que la dirección se puede guiar para evaluar la eficacia de los
tratamientos de riesgos. En la definición expresada está implícita la noción de
que el riesgo tiene consecuencias tanto positivas como negativas en relación con
el logro de los objetivos.
Eventos. Son sucesos que
tienen lugar en la organización o fuera de ella y que inciden de algún modo en
el logro de sus objetivos.
Puede ser un hecho
natural o un hecho humano. Los eventos incluyen decisiones y acciones. Pueden
haber tenido lugar en el pasado u ocurrir en el futuro. Algunos eventos futuros
son más fáciles de prever que otros.
En casos extremos, es
posible que existan eventos futuros inimaginables. Pueden ocurrir de manera
rápida o lenta y ser buenos o malos.
Los eventos no siempre
suceden uno por vez, ni tampoco de manera independiente. En cambio, suelen
acontecer agrupados e interactuar entre sí. Dos o más eventos pueden unirse y formar
un evento más grande.
Los eventos pueden
sucederse en cadena, tipo dominó: un suceso desencadena otro; este, un tercero
y así sucesivamente. Eventos malos pueden contrarrestar parcialmente eventos
buenos o viceversa.
Tomado de la Revista del
Instituto de Auditores del
mes de junio de 2013
The Institute of Internal Auditors
Instituto de Auditores del
mes de junio de 2013
The Institute of Internal Auditors
www.internalauditoronline.org/
