lo más adecuado es que levantemos el mapa de riesgos residuales de la Compañía, también llamados mapas de calor, a fin de observar cuales son los que, en base a sus dos atributos: impacto y probabilidad, se situarían en zonas alejadas de la tolerancia al riesgo que la Organización haya asumido para ellos como compatible con sus objetivos. Es decir, levantado nuestro propio mapa de riesgos, lo primero que debemos identificar son los riesgos que se alejen del entorno del riesgo que la Organización haya admitido como coherentes con sus objetivos, efectuando la supervisión de los procesos en los que estos se ubiquen, a fin de determinar, a través del análisis de la eficiencia de los controles existentes, las recomendaciones que se entiendan oportunas para reconducir dichos riesgos dentro de la zona de tolerancia.
Por ello, lo importante no es la zona en la que los riesgos residuales se sitúen en el mapa, sino su posición relativa con respecto al apetito al riesgo que la Compañía haya determinado razonablemente compatible con los resultados que espera/desea alcanzar.
Dicho de otra manera, supongamos que un mapa de riesgos convencional de dos dimensiones (impacto y probabilidad), los riesgos que aparezcan en el cuadrante superior derecho, es decir los que reflejen una mayor severidad y también probabilidad de ocurrencia, no necesariamente deben ser objeto de atención en el Plan de Auditoría, pues esta posición “solo” será inquietante si fuese contraria a la estrategia de la Compañía, o lo que es lo mismo, cuando dichos riesgos estuviesen fuera del entorno de la tolerancia al riesgo establecida.
Por ello, las Organizaciones no solo deben fijar las metas que se pretenden alcanzar, sino integrar el concepto del apetito al riesgo en su planificación estratégica y en el día a día de la toma de decisiones, ya que, cuando se establece la propensión del riesgo, se está proporcionando un límite alrededor de la cantidad de riesgo que la organización está dispuesta a aceptar, condicionando así su estrategia y objetivos. Una organización con un agresivo apetito por el riesgo podrá establecer metas más ambiciosas, mientras que una organización que sea adversa al riesgo, con un apetito por el riesgo bajo, debería establecer metas conservadoras.
De manera similar, cuando un Directorio establece una estrategia, debe determinar si la misma se alinea con el apetito al riesgo de la organización.
En este contexto se hace necesario que el apetito al riesgo que se considere conveniente admitir, teniendo en consideración el estilo de dirección que impere en la Organización, debe ser comunicado y compartido con las partes interesadas, a fin de que sirva de guía en el establecimiento de las metas y la toma de decisiones de modo que mejoremos la probabilidad de alcanzar los objetivos y mantener sus operaciones.
Esta directa relación entre el apetito al riesgo que se estime conveniente aceptar y los objetivos empresariales que se marquen, viene recogida en el Marco para la Práctica Profesional de Auditoría Interna, en su Norma 2600, la cual señala que: Cuando el director de Auditoría Interna considere que la alta dirección ha aceptado un nivel de riesgo residual que pueda ser inaceptable para la organización, debe tratar este asunto con la alta dirección. Si la decisión referida al riesgo residual no se resuelve, el director de auditoría interna debe informar esta situación al Consejo para su resolución.
Por consiguiente, a Auditoría Interna es a quién también le corresponde la supervisión de la coherencia entre los objetivos/metas y el apetito al riesgo que se entienda alineado con el estilo de dirección de la Organización; pero este monitoreo no solo es aplicable en situaciones de riesgos excedidos, sino también cuando los niveles de riesgo sean tan conservadores que impidan el logro de los resultados si estos son ambiciosos, pues no debemos olvidar que sólo si existe claridad en el apetito por el riesgo que se debe asumir, se podrán equilibrar los riesgos y las oportunidades.
Hasta aquí mis reflexiones personales sobre el asunto, pero si alguien se muestra interesado por el tema, recomendarles la lectura de un relativamente reciente artículo difundido por COSO sobre este tema, denominado: ERM-Understanding and Communicating Risk Appetite, que considero muy conveniente conocer.
Importante: En el mes de septiembre estaré en Colombia dictando el seminario, “La administración de Riesgos. Herramienta de Gestión Empresarial y de la Auditoría Interna”. Los interesados pueden consultar el evento ingresando desde el siguiente link: https://bit.ly/1daMZdv
Del Autor: Jesús Aisa, Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid. Ex-Subdirector General Corporativo de Auditoría Interna del Grupo Telefónica SA. Asesor en control interno, tutor de cursos on-line y articulista frecuente en la revista de la Institución en la Asociación Hispanoamericana de Centros de Investigación y Empresas de Telecomunicaciones (AHCIET).Técnico evaluador de la calidad de auditorías internas. Conferencista en eventos internacionales, tanto en España, como Iberoamérica.
Tomado de:portafolio.co