Gestión de riesgos por el Consejo de Auditoria Interna General (CAIGG)

Consejo de Auditoria Interna General (CAIGG)

La gestión de riesgos y oportunidades constituye uno de los pilares fundamentales para el logro de la consecución de los objetivos en las organizaciones, entidades, la gestión de auditoria dará cuenta de la efectividad de los controles establecidos, a través de la evaluación objetiva de los planes de tratamiento establecidos para los mismos.

Es pertinente tener la referencia acerca de las dos definiciones centrales, Auditoria y Gestión de riesgos.

La auditoría constituye un proceso de valoración de la gestión de una organización o entidad respecto del cumplimiento de requisitos, estos requisitos pueden estar establecidos por la organización misma (Internos) o por los clientes o grupos de interés (externos), que se benefician de la gestión y o propósito de la organización y/o de carácter legal (Obligatorio cumplimiento), según la ISO:9000 la Auditoria se define como “Proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoria”, es decir debe tener una periodicidad definida, se recomienda como mínimo una vez al año la realización de la auditoria interna y que esta contemple los procesos y / o   temas más relevantes definidos por cada organización o entidad, la deben realizar personas que no hacen parte del proceso y o tema que se va a auditar, pero que a su vez cuenten con las competencias para la realización de la misma, siempre se debe aportar material (documentos, listas de verificación, informes.) que constituyan evidencias para demostrar el cumplimiento o no de los requisitos.

De otra parte, la gestión de riesgos, busca plantear medidas de manera anticipada, para dar respuesta a situaciones peligrosas que pueden impedir o representar un obstáculo para el cumplimiento de los objetivos en las organizaciones o entidades, a través de diferentes etapas identificación, valoración, controles, medidas de respuesta a los riesgos, entre otras.

También es importante mencionar las oportunidades, las cuales implican un impacto positivo, estas también se identifican y valoran, además de establecer planes de acción para maximizar los beneficios de las mismas.

Interpretación de las etapas planteadas en el modelo

• Identificación del contexto: en esta etapa se deben tener en cuenta tanto los factores internos (talento humano, procesos, cultura organizacional), como los factores externos a la entidad (económicos, políticos, sociales, reglamentarios) entre otros, para determinar el contexto se sugiere utilizar como referencia el Formulario A1 Ficha de Definiciones Estratégicas DIPRES.

• También se utilizan herramientas como los análisis FODA, DOFA, PESTEL entre otros, para la identificación del contexto en las entidades y organizaciones.

En esta etapa se debe establecer la política para la gestión del riesgo, la cual debe estar alineada con la política de calidad.

• Identificar los riesgos y/u oportunidades: en esta etapa se dan reconocer situaciones peligrosas relacionadas con la probabilidad de no lograr el cumplimiento de los objetivos propuestos por la entidad, delitos como el lavado de activos (LA), la financiación del terrorismo (FT) y los delitos de funcionarios (DF), y los eventos que producen un efecto positivo (oportunidades).

En la identificación de los se sugiere tener claridad en el nombre del riesgo u oportunidad, su descripción de ser necesaria, una clasificación, las causas que dan origen al riesgo o la oportunidad, las consecuencias que se pueden presentar en caso de que se materialice, el responsable de realizar la gestión para este riesgo u oportunidad, el proceso relacionado entre otros.

Para la gestión de riesgos de tipo LA/FT,   el Grupo de Acción Financiera Internacional (GAFI) promueve estándares y normatividad para dar una respuesta efectiva a los mismos.

• También existen modelos como el SARLAFT que se implementa en COLOMBIA que reglamenta y promueve las mejores prácticas para dar respuesta a este tipo de riesgos.
• Analizar y Valorar el riesgo y oportunidad: con riesgo inherente se hace referencia al riesgo que existe por sí mismo, es decir que se encuentra inmerso en la gestión, se debe determinar el nivel en el que este se encuentra y a partir de ese nivel poder establecer los controles que se aplicará el mismo, con el fin de evitar su materialización o mitigar el impacto de la misma en caso de que no se pueda prevenir.
• Las variables más comunes que se tienen en cuenta para el análisis y la valoración inicial de los riesgos son la probabilidad y el impacto (efecto).
• Y en el caso de las oportunidades, identificar, por ejemplo, las políticas de gobierno que pueden beneficiar a la entidad y el impacto que estas generan sobre la misma.
• Establecer controles, gestionarlos y monitorearlos:   a partir de la valoración inicial se determinan las opciones (planes de acción/ Actividades) que permitan modificar la probabilidad de que los riesgos se materialicen, el impacto de los mismos, o en el mejor de los casos que cambien para disminuir ambas variables, o maximizar el beneficio de las oportunidades, en el establecimiento de los controles se siguiere establecer el tipo de control si es preventivo o correctivo, si se encuentra documentado en procedimientos, manuales, etc., el cargo o cargos responsables de ejecutar el control, la periodicidad con que este se aplica y realizar una evaluación individual de los controles, y en caso de que a un riesgo le aplique más de un control evaluar el conjunto de controles, esto con el fin de determinar el nivel residual, es decir después de aplicar los controles y con base en ello determinar la respuesta o posición que se toma al respecto.
• Comunicación y consulta: consiste en establecer la matriz de comunicaciones, que se comunica, a quién se comunica, responsable de comunicar y periodicidad de las comunicaciones, los canales y mecanismos para el manejo de la información tanto a nivel interno como externo.

La gestión de riesgos brinda información pertinente, para que a través de los procesos de auditoria se pueda evidenciar el grado de cumplimiento de los objetivos, y en caso de que se presenten dificultades en la consecución de los mismos, las medidas para dar respuesta y minimizar el impacto, con el fin de lograr la satisfacción de los grupos de interés, garantizando el cumplimiento de los derechos de los mismos y contribuyendo al logro de la misión y visión en las entidades, aporta también un enfoque para las auditorias basadas en riesgos, ya que el proceso mismo de auditoria debe identificar los riesgos que comprenden llevar a cabo los programas y planes de auditorías y establecer controles para el logro de los mismos, etapas como la identificación del contexto, tratamiento a los riesgos o planes de acción se enmarcan también en la gestión establecida en normas ISO como La ISO:9001, ISO 31001 lo cual hace el modelo compatible con normatividad internacional.

Software para Consejo de Auditoria Interna General (CAIGG)

El modelo de Gestión de riesgos por el Consejo de Auditoria Interna General (CAIGG) tiene en consideración un grupo de procesos de auditoría que hace posible que las diferentes administraciones mejoren los elementos vinculados a la exposición del riesgo.

GRCTools es una herramienta tecnológica que permite que las entidades públicas optimicen la gestión del Modelo de Gestión de riesgos por el Consejo de Auditoria Interna General (CAIGG), minimizando los tiempos dedicados a la elaboración de planes y programas de auditoría. GRCTools también incrementa el control total de los riesgos que se producen en los distintos procesos y simplifica la coordinación entre los equipos auditores de la entidad pública.