Consideraciones sobre la evaluación de riesgos. Una organización debe ser capaz de ofrecer a sus partes interesadas una expectativa razonable de que puede gestionar el riesgo hasta una cantidad aceptable. Para ello, evalúa las prácticas de gestión de riesgos de la empresa. Dicha evaluación es voluntaria, salvo que la legislación o la normativa exijan lo contrario.
Consideraciones sobre la evaluación de riesgos
El seguimiento de los datos de eventos pasados puede ayudar a predecir sucesos futuros. Aunque los datos históricos se utilizan en la evaluación de riesgos (basados en la experiencia de la gravedad), también pueden utilizarse para identificar interdependencias y construir modelos predictivos y causales. Las bases de datos de terceros proveedores de servicios que recopilan información sobre incidentes y pérdidas sufridas por sector o zona pueden alertar a la empresa de posibles peligros. A menudo se puede acceder a ellos como servicio de suscripción. Se han creado consorcios en varios sectores para compartir datos internos.
Evaluación del riesgo
Los riesgos identificados e incluidos en el inventario de riesgos de una entidad se evalúan para comprender la gravedad de cada uno de ellos para la consecución de la estrategia y los objetivos empresariales de la entidad. Las evaluaciones de riesgo informan de la selección de las respuestas al riesgo. Teniendo en cuenta la gravedad de los riesgos identificados, la dirección decide los recursos y capacidades que deben desplegarse para que el riesgo se mantenga dentro del apetito de riesgo de la entidad.
Evaluación de la gravedad a diferentes niveles de la entidad
La gravedad de un riesgo se evalúa a varios niveles (entre divisiones, funciones y unidades operativas) en función de los objetivos empresariales que podría afectar. Por ejemplo, puede ser que los riesgos evaluados como importantes a nivel de unidad operativa sean menos importantes a nivel de división o entidad. En los niveles más altos de la entidad, es probable que los riesgos tengan un mayor impacto en la reputación, la marca y la confianza.
El uso de terminología y categorías de riesgo estandarizadas ayuda a evaluar los riesgos en todos los niveles de la organización. También se pueden agrupar los riesgos comunes a las unidades de negocio, divisiones y funciones. Por ejemplo, el riesgo de interrupciones tecnológicas de varias divisiones puede agruparse y evaluarse colectivamente. Del mismo modo, también se pueden agrupar los riesgos medidos en niveles escalonados dentro de una entidad. Cuando se agrupan los riesgos comunes, la calificación de la gravedad puede cambiar. Los riesgos que son de baja gravedad individualmente pueden llegar a ser más o menos graves cuando se consideran colectivamente en todas las unidades o divisiones de negocio.
El marco proporciona criterios para evaluar y determinar si la cultura, las capacidades y las prácticas de gestión del riesgo empresarial gestionan colectivamente el riesgo de no alcanzar la estrategia de la entidad y los objetivos de negocio que la respaldan. Durante una evaluación, la organización considera si: los componentes y principios relacionados con la gestión del riesgo institucional están presentes y funcionando; los componentes relacionados con la gestión del riesgo institucional funcionan conjuntamente de manera integrada; y si los controles necesarios para poner en práctica los principios pertinentes están presentes y funcionando.
Comprender la entidad y su entorno
El auditor debe identificar y evaluar los riesgos de incorrección, ya sea por fraude o por error, mediante la comprensión de la entidad y su entorno, incluidos sus controles internos. Para ello habrá que tener en cuenta factores como: la industria pertinente, la normativa y otros factores externos, incluido el marco de información financiera aplicable; la naturaleza de la entidad, incluidas sus operaciones, propiedad, estructuras de gestión y tipos de inversiones actuales y planificadas; la selección y aplicación de las políticas contables por parte de la entidad, incluyendo si son apropiadas para su negocio y consistentes con la industria y el marco de información financiera aplicable; y los objetivos y estrategias de la entidad, así como los riesgos de negocio relacionados, pueden dar lugar a riesgos de incorrección material.
La medición y revisión del rendimiento financiero de la entidad. Los riesgos empresariales son riesgos que se producen como consecuencia de condiciones, acontecimientos, circunstancias, acciones o inacciones significativas que podrían afectar a la capacidad de una entidad para alcanzar sus objetivos y llevar a cabo sus estrategias. Los riesgos empresariales también pueden producirse como resultado del establecimiento de objetivos, estrategias o metas inadecuadas.
Comprensión de la gestión
La dirección debe obtener una comprensión de los controles internos relevantes para las prácticas de gestión de riesgos. Aunque la mayoría de los controles internos de la entidad se relacionarán con la información financiera, no todos serán relevantes para la auditoría.
Supongamos que la entidad tiene una función de auditoría interna. En ese caso, el auditor deberá comprender la naturaleza de las responsabilidades de la función de auditoría interna, su situación organizativa y las actividades realizadas o por realizar. El auditor debe tratar de llegar a un juicio sobre qué tan fuertes (o débiles) son los controles internos para decidir la cantidad de pruebas que deben llevarse a cabo en la auditoría.
La comunicación con los responsables de los procesos es importante para garantizar un intercambio de información eficaz a lo largo de la gestión de riesgos de la empresa. Establece un marco en el que la dirección puede estar al tanto de los problemas graves que pueden llegar a conocimiento de los profesionales de la gestión de riesgos.
Reflexiones finales
La evaluación de riesgos es una parte importante del desarrollo de métodos de mitigación para asegurar que el proceso de información financiera de una entidad sea transparente, ya que los estados financieros representan en última instancia el desempeño de la organización. Considere las áreas en las que parece existir el riesgo de incorrección o error y la naturaleza del riesgo para determinar cuándo un error debe considerarse material y cuándo puede ignorarse.