Evidencias del proceso de gestión de riesgos
La práctica consultiva 2120-1 establece la necesidad de obtener evidencias del proceso de gestión de riesgos en las auditorías internas a los Sistemas de Gestión de Riesgos. “Los auditores internos deben obtener información suficiente y apropiada, que permita determinar el cumplimiento de los objetivos clave de los procesos de gestión de riesgos” reza en forma textual el párrafo 8 de la norma mencionada.
¿Cómo obtener evidencias del proceso de Gestión de Riesgos?
Para obtener evidencias del proceso de Gestión de Riesgos, los auditores internos pueden considerar diversos procedimientos de auditoría. Veamos algunos:
1) Investigar tendencias de la información, desarrollos actuales y todo lo relacionado con el sector económico o industrial en el que opera la organización, con el objetivo de determinar riesgos a los que está expuesto el negocio, así como los procedimientos de control implementados para tratar y gestionar esos riesgos.
2) Revisar las políticas corporativas y los informes de la Alta Dirección, para determinar la estrategia comercial de la organización, la filosofía sobre riesgos y la metodología para su gestión.
3) Revisar informes previos de evaluación de riesgos emitidos por la Alta Dirección, otros auditores internos, auditores externos o cualquier otra fuente que emita informes relacionados con la Gestión de Riesgos.
4) Realizar entrevistas con la Alta Dirección con el fin de establecer los objetivos de la auditoría con respecto al tratamiento de riesgos, la mitigación de los mismos y las actividades de monitoreo y seguimiento.
5) Revisar los problemas relacionados con la gestión de riesgos, que pueden indicar debilidad y, según corresponda, discutirlos con la Alta Dirección.
Si el auditor cree que la Alta Dirección tolera un nivel de riesgo que no está de acuerdo con la estrategia y la política de gestión de riesgos de la organización, es importante consultar la Norma 2600 en el capítulo dedicado a la información adicional de la Alta Dirección.
Cómo obtener evidencias del proceso de #GestiónRiesgos en #ISO31000 Clic para tuitearTécnicas para obtener evidencias del proceso de Gestión de Riesgos
Una vez el auditor ha establecido cuál o cuáles procedimientos utilizará para obtener evidencias del proceso de Gestión de Riesgos, debe definir las técnicas – pasos a realizar en la práctica —, que le permitan desarrollar los procedimientos por los que ha optado:
1) Observación: estando presente cuando la Gestión de Riesgos se lleve a cabo en las diferentes áreas y a distintos niveles en la organización, pasando por los departamentos, los programas, proyectos e incluso, empleados.
2) Entrevistas: a empleados, miembros de la Alta Dirección y empleados que tengan asignadas responsabilidades en la gestión de riesgos.
3) Revisión de documentos: agendas, documentos de apoyo, actas emitidas por la Alta Dirección, planes estratégicos o documentos de respaldo para la toma de decisiones del área de recursos humanos.
4) Resultados de auditorías anteriores: con el objetivo de determinar el cumplimiento de acciones correctivas dispuestas tras el hallazgo de no conformidades.
5) Técnicas analíticas: causa raíz, análisis de fallas, mapeo de procesos, análisis estadísticos o revisión y evaluación del modelo de riesgo.
A menudo, el uso de varios procedimientos y técnicas, permite obtener evidencias del proceso de Gestión de Riesgos, reuniendo información suficiente para llegar a conclusiones relevantes para la mejora del sistema.
El auditor también evalúa si los recursos y las habilidades disponibles son los adecuados para proporcionar el apoyo que requiere la Gestión de Riesgos y el sistema en general.
Los requerimientos de evidencia varían de acuerdo con el tipo de opinión que el auditor desee presentar. Por ejemplo, si desea expresar un concepto positivo y de aseguramiento, debe proporcionar el más alto nivel de evidencia que le permita apoyar tal concepto.
Curso ISO 31000 Gestión de Riesgos Corporativos
Obtener evidencias del proceso de Gestión de Riesgos es solo una parte de esta labor que está soportada en la norma ISO 31000. La Escuela Europea de Excelencia ha diseñado un programa de formación denominado “Curso ISO 31000 Gestión de Riesgos”, destinado a los profesionales en el área, que los capacita para implementar, desarrollar y mantener un Sistema de Gestión de Riesgos basado en esta norma ISO.
Si su organización o los profesionales del riesgo que laboran en ella desean obtener una plaza en este programa, solo deben inscribirse en este enlace.
