:quality(75)/blogs.gestion.pe/brujula-de-gestion-empresarial/wp-content/uploads/sites/135/2024/07/WhatsApp-Image-2024-07-25-at-5.02.32-PM.jpeg)
El valor de una visión conjunta de Gestión de Riesgos y Control Interno
Hoy más que nunca, los empresarios son cada vez más conscientes de que las grandes decisiones de negocios tienen riesgos implícitos que deben ser identificados adecuada y oportunamente. Hoy, un enfoque de “ensayo y error” es tan irresponsable como oneroso; por ello, las metodologías actualizadas de Gestión del Riesgo Empresarial (ERM) se inician desde el diseño de la estrategia empresarial hasta su ejecución propiamente dicha, siendo el control interno un aspecto relevante a contemplar en todo momento, ya que ambos conceptos están poderosamente interconectados. Es importante recordar, además, que estos son complementarios, no intercambiables.
El control interno incluye una serie de actividades que deben diseñarse para ayudar a las organizaciones a alcanzar sus metas y objetivos operacionales, de cumplimiento y de reporte de información de forma efectiva y eficiente. Un aspecto relevante para delinear la actividad de control necesaria es la identificación clara de cuál es el riesgo que se desea mitigar/administrar, de tal forma que dicho control sea la respuesta al riesgo que la Alta Administración está en condiciones de asumir en función a la evaluación del costo/beneficio de su implementación.
Alineado con la Estrategia
El marco de ERM “Gestión de Riesgo Empresarial: alineando el riesgo con la Estrategia y Desempeño”, actualizado en setiembre de 2017 por la entidad COSO —con el apoyo de PwC— destaca la importancia de realizar una evaluación de riesgos desde la definición y selección de la estrategia. Para ello, plantea preguntas tales como ¿qué estamos tratando de lograr?, ¿qué necesita ir bien?, ¿cuáles son los riesgos de los que debemos preocuparnos más que podrían afectar el logro de nuestra estrategia?, entre otras.
(click para agrandar la imagen)
Los resultados de estas discusiones acercan más la ERM a la estrategia empresarial. Luego, en una segunda etapa, debe evaluarse si el Sistema de Control Interno actual responde verdaderamente a los riesgos alineados con la mencionada estrategia. En ese sentido, habiéndonos preguntado qué necesita ir bien, estamos en condiciones de confirmar qué controles son necesarios para respaldar los esfuerzos para ejecutar la estrategia en función a los recursos disponibles.
Por ejemplo, una estrategia de expansión de participación de mercado que tiene entre sus objetivos el de lograr presencia en un sector distinto al actual, uno que tiene un mayor riesgo de morosidad por ventas al crédito, requiere mecanismos de control mucho más rigurosos para asegurar que no se incrementen los índices generales de morosidad de la cartera de la empresa.
Así, al adoptar el marco de ERM actualizado, las organizaciones alinearán más estrechamente la gestión de riesgos con su estrategia empresarial. Por lo tanto, la función de auditoría interna también puede desempeñar un papel activo en el apoyo a la adopción e implementación de esta forma de ver la gestión de riesgos, lo cual la ubicará en una mejor posición ante el Directorio para identificar y responder a los riesgos más críticos asociados con la estrategia de la empresa, verificando que los controles existentes funcionan efectivamente.
Controles y ERM
Como ya lo hemos mencionado, la evaluación de riesgos y sus formas de minimizarlos son procesos que requieren de actividades de control cuya frecuencia de ejecución dependerá del nivel de riesgo que se quiere administrar.
Se han visto procesos de evaluación de riesgos que parecen ser los mejores en su clase, pero en realidad no se llevaron a cabo o se realizaron solo una vez. Los controles ayudan a proporcionar a la Alta Administración la confianza de que los procesos se ejecutan según sea necesario para que la empresa tenga éxito. El marco ERM establece la selección e implementación de respuestas de riesgo y deja en claro que, “una vez que la administración selecciona una respuesta a un riesgo determinado, las actividades de control son necesarias para garantizar que esas respuestas a los riesgos se ejecuten como se espera y de manera consistente”.
***
Cuando COSO lanzó su Marco ERM en 2004, escrito por PwC, incluyó prácticas para el control interno. Sin embargo, a pesar de lo que algunos piensan, este marco no reemplazó el Marco de Control interno de 1992. Y, a medida que el control interno evolucionó y su práctica creció, COSO lanzó una actualización de tal volumen en 2013: “Internal Control – Integrated Framework”.
Cuatro años más tarde, COSO también encargó a PwC la redacción de la actualización del Marco ERM, la cual no repite lo indicado en el “Internal Control Framework”, el cual continúa siendo aplicable, desde la evaluación del riesgo de fraude relacionado con la información financiera hasta el control de las actividades relacionadas con el cumplimiento. El hecho de que el Marco de Control Interno se actualizó recientemente permitió enfocar la actualización de ERM en aspectos como estrategia, desempeño y cultura.
Como ya lo hemos mencionado el marco de ERM y el de Control Interno son complementarios y deben usarse de manera conjunta. El Marco de ERM explica la importancia del control interno y cómo este sigue siendo una parte integral de ERM. Tener un buen sistema de control interno permite que la administración se concentre en las operaciones de la entidad y la consecución de sus objetivos de rendimiento, mientras opera dentro de los parámetros de las leyes y regulaciones relevantes. Por lo tanto, la ausencia de controles tendría un impacto dramático en la evaluación de ERM.
Finalmente, recordando a Peter Druker, quien afirmó que “donde hay una empresa de éxito, alguien tomó alguna vez una decisión valiente”, cabe preguntarnos si esta decisión será la de definir e implementar un adecuado marco de ERM junto con su sistema de control interno ad-hoc.