Al referirnos a la gestión de riesgo empresarial, se podría decir que es un enfoque de gobierno estructurado y coordinado, implementado y efectuado por la alta dirección, gerencia y toda la empresa con el fin de identificar, cuantificar, responder y vigilar las consecuencias de eventos de riesgos potenciales que puedan afectar a la empresa, con el objetivo de brindar aseguramiento razonable respecto del logro de los objetivos de la entidad. Asimismo, la GRE es evaluada por los auditores internos con respecto a su eficacia y eficiencia.
Tradicionalmente las unidades de negocio se encargaban de manejar los riesgos, actualmente la gestión de riesgo empresarial (GRE) contempla un enfoque más amplio y maneja riesgos y oportunidades que afectan la creación o preservación del valor de la organización.
Cada uno de los miembros de la organización cumplen un rol para el aseguramiento de una exitosa gestión de riesgos para toda la empresa, sin embargo, la responsabilidad principal recae en la gerencia quien se encarga de identificar, manejar los riesgos e implementar la GRE con un enfoque estructurado, consistente y coordinado. El consejo directivo o su equivalente tiene la responsabilidad de vigilar los riesgos y obtener aseguramiento de que son manejados dentro de un nivel aceptable.
Los auditores internos, contribuyen a la gestión de riesgos de diversas formas, tanto en sus roles de aseguramiento como de consulta, también, cumplen un rol al evaluar la eficacia de la GRE y al recomendar mejoras a la misma. Las Normas del IIA indican que el alcance de auditoría interna debe comprender la gestión de riesgos y los sistemas de control.
Para que los auditores internos lleven a cabo de forma adecuada sus roles relacionados con la GRE es necesario que toda la organización entienda completamente la responsabilidad que tiene la gerencia en la gestión de riesgos.
El rol central de los auditores internos en la GRE consiste en proporcionar aseguramiento objetivo al consejo directivo y a la alta dirección sobre la eficacia de las actividades de GRE en cuanto a ayudar a asegurar que los riesgos de los negocios clave son manejados apropiadamente y que el sistema de control interno opera eficazmente.
Los principales roles y actividades de aseguramiento de auditoría interna relacionados con la GRE son: Proporcionar aseguramiento sobre el diseño y eficacia de los procesos de gestión de riesgos, proporcionar aseguramiento de que los riesgos sean evaluados correctamente, evaluación de los procesos de gestión de riesgos, evaluación de los informes sobre el estado de los principales riesgos y controles y revisión de la gestión de los riesgos principales, incluyendo la eficacia de los controles y otras respuestas a los mismos.
Otros roles y actividades de consultoría legítimos de parte de la actividad de auditoría interna pueden ayudar a proteger la independencia y objetividad de los auditores internos cuando vayan acompañados de las salvaguardas adecuadas. Incluyen, el defender el establecimiento de la GRE dentro de la organización, desarrollar una estrategia de gestión de riesgos para ser aprobada por el consejo directivo, facilitar la identificación y evaluación de riesgos, entrenar a la gerencia acerca de responder a los riesgos, coordinar las actividades de GRE, consolidar los informes sobre riesgos y mantener y desarrollar el marco de la GRE.
Por otro lado, existen roles que los auditores internos NO deben cumplir, como son: El establecer el nivel de riesgo aceptado, imponer procesos de gestión de riesgos, proporcionar aseguramiento al consejo directivo y a la gerencia, tomar decisiones sobre respuestas a los riesgos (Eso es responsabilidad de la gerencia), implementar respuestas a los riesgos en nombre de la gerencia y hacerse responsable de la gestión de riesgos.
Fuente: IaiPerú