El papel de la gestión de riesgos y auditorías internas en el gobierno corporativo

Los sectores de servicios financieros han visto a sus consejos de administración presionar por estructuras de gobernanza mejoradas en sus organizaciones. Esa presión por una mejor gobernanza no es un fenómeno reciente. Nuevas reglas también impulsaron el aumento de la gobernanza alrededor de los procesos internos. Y las agencias reguladoras no son las únicas catalizadoras para el cambio. Las expectativas de los inversionistas y de otras partes interesadas en relación a gobernanza están aumentando.

Más que nunca, las partes interesadas están responsabilizando a la dirección por la eficacia de su proceso de gobernanza general. Ese cambio es real y significativo y, probablemente, equivale a una expectativa de mayor vínculo del consejo en los medios por los cuales la gobernanza es organizada y efectuada.

La gestión de riesgos

Aunque el vínculo directo del consejo pueda ser realista en organizaciones menores, bancos y compañías de seguros mayores pueden encontrar esos requisitos desafiadores. En general, el consejo ha respondido a través del fortalecimiento de las políticas internas y estableciendo comités de nivel de dirección con funciones claras. Funciones como los ejecutivos de riesgo (CROs) son ahora comunes y lideran unidades con buenos recursos que pueden ayudar al consejo en su trabajo de monitorización.

Ya no es más inusitado, especialmente en organizaciones mayores, encontrar individuos con funciones relacionadas a riesgos, como especialistas en gestión de riesgos corporativos, gerentes de conformidad, especialistas en controles internos e investigadores de fraudes, entre otros. Cada uno examina áreas específicas de riesgo con el objetivo de ayudar al consejo a administrar los diferentes riesgos que la organización puede enfrentar.

Sin embargo, el desafío está en transformar las varias funciones de gestión de riesgos en una disciplina incorporada en toda la empresa y vista como un activo estratégico. Con eso, también es preciso que haya una convergencia de las soluciones de conformidad existentes, específicas para cada uso, que integren requisitos financieros, operacionales, de riesgo y regulatorios. Solamente a través de tal transformación puede ser obtenido el beneficio total de la gestión de riesgos.

El papel de la auditoría interna

La función de auditoría interna también desempeña un papel fundamental dentro de la estructura de gobernanza. Es la línea de defensa que reporta directamente al comité de auditoría que, finalmente, reporta al consejo. La auditoría interna provee garantía sobre la eficacia de la gobernanza, gestión de riesgos y controles internos.

Sin embargo, encuestas recientes mostraron que sólo 28% de los ejecutivos de auditoría creen que sus funciones tienen fuerte impacto e influencia dentro de la organización. De hecho, muchos de ellos creen que la auditoría interna tiene poca o ninguna influencia, siendo sólo una función normativa y obligatoria dentro de la organización.

Implementación efectiva

La sinergia entre las dos funciones es fundamental. El desafío que ambas funciones enfrentan y que, en último análisis, tienen impacto sobre su fuerza y eficacia dentro de la organización, es tener habilidades que permanecen relevantes a medida que las organizaciones crecen y se desarrollan. Mientras antes las habilidades eran enfocadas en el entendimiento de la estructura operacional, controles y metodologías de auditoría, el conocimiento enfocado en TI ahora es necesario. Las reglamentaciones como la Directiva General de Protección de Datos (GDPR), que afecta a todas las empresas de Servicios Financieros, exigen claramente un equipo de personas de un ambiente de riesgos y auditoría interna con conocimiento en riesgos y controles operacionales y de TI.

Es claro que solamente la presencia de la función de riesgos y de auditoría interna en una organización no es lo suficiente. El desafío es coordinar efectivamente las tareas de ambas funciones. Eso es fundamental para garantizar que no haya vacíos en los controles ni duplicación innecesaria de trabajo.

Deben ser definidas atribuciones claras de forma que cada función comprenda los límites de sus responsabilidades y cómo su posición se encaja en la estructura general de riesgo y control de la organización. Sin un abordaje cohesivo y coordinado, los recursos limitados pueden no ser implantados de forma eficaz y los riesgos significativos pueden no ser identificados o administrados adecuadamente.

Con la variedad de amenazas enfrentadas por la organización de servicios financieros, los puntos débiles internos pueden representar un gran riesgo. Las consecuencias resultantes serían demasiado altas para ser ignoradas.

Descargue el ebook y aprenda más sobre cómo aplicar GRC en su empresa

Le interessa ese tema?

Te invitamos a conocer SoftExpert GRC, un software para la gestión de la gobernanza corporativa, los riesgos y la conformidad que permite a las organizaciones integrar eficazmente la aplicación de la estrategia empresarial con las prácticas de conformidad y gestión de riesgos. Como resultado, los gestores trabajan para alcanzar sus metas teniendo el soporte de la gestión de riesgos y asegurando la conformidad con las políticas corporativas, leyes y regulaciones, como SOX, COSO, COBIT e ISO 31000.

©2023, todos los derechos reservados