Una vez identificados los riesgos a través de la matriz de control de riesgos, los resultados deben ser considerados teniendo en cuenta el apetito de riesgo de las organizaciones o la tolerancia al riesgo. Si los riesgos identificados superan el apetito de riesgo de la organización, el CAE debe tomar las medidas necesarias para reducir los riesgos. Plantear los problemas en el informe de auditoría o reunirse con la alta dirección son algunas de las posibles vías de actuación.
Matriz de control de riesgos
Comprender el perfil y la tolerancia al riesgo de una empresa es fundamental para garantizar que sus procesos y controles estén en consonancia con su misión y sus objetivos. Cada organización y su entorno de riesgo son distintos, debido a factores como el tipo de negocio, el tamaño, los recursos y las leyes o reglamentos. También es única la estrategia de la organización para aceptar ciertos niveles de riesgo o para optar por establecer medidas para prevenir, o al menos detectar, los acontecimientos negativos.
El éxito o el fracaso de una empresa está directamente relacionado con el hecho de que comprenda y gestione realmente su exposición al riesgo. En consecuencia, es fundamental tener un conocimiento exhaustivo del entorno de riesgo de una organización para proporcionar a la Dirección la información que necesita para tomar decisiones empresariales sólidas y fundamentadas.
Una matriz de control de riesgos(RACM) es una poderosa herramienta que puede ayudar a una organización a identificar, clasificar e implementar controles de mitigación de riesgos. Una estrategia de evaluación y mitigación de riesgos (RACM) es un repositorio de riesgos que suponen una amenaza para las operaciones de una organización, así como los controles establecidos para mitigar esos riesgos. En pocas palabras, un RACM es una instantánea del perfil de riesgo de una organización, que mide los riesgos frente a las acciones formalizadas para evitar que se produzcan acontecimientos negativos.
Matriz de control de riesgos Modos
Las organizaciones pueden optar por ocuparse de los riesgos identificados y priorizados de varias maneras diferentes, entre ellas:
- Evitar. Identificar formas de prevenir la exposición al riesgo.
- Reducción del control. Establecer los controles internos para minimizar los posibles impactos negativos del riesgo y la incertidumbre o formar a los empleados de la organización sobre cómo reconocer los posibles riesgos y la consiguiente respuesta para prevenir los daños y reducir las consecuencias.
- Compartir o transferir. Compartir o transferir el riesgo a un seguro o a otras partes (mediante un acuerdo contractual).
- Aceptación. Aceptar el riesgo porque una respuesta no sería rentable o identificar formas alternativas de gestionar el riesgo, como el establecimiento de planes de contingencia
Una respuesta a un riesgo concreto que deje un riesgo residual significativo en relación con los niveles de apetito de riesgo será más prioritaria que un riesgo que se haya minimizado por debajo del nivel de apetito de riesgo de manera fiable, como el uso de un seguro de una aseguradora financieramente estable y de buena reputación.
El CAE necesita tomar decisiones para aplicar los recursos de la función de auditoría basándose en la importancia del riesgo y la exposición relacionados con el logro de la estrategia y los objetivos de la organización. Durante la validación de las prioridades de riesgo, además del análisis de los riesgos y las respuestas que se han comentado anteriormente, hay otros factores que deben establecer la prioridad de los compromisos. Estos factores incluyen el impacto financiero, la liquidez de los activos, la competencia de la dirección, la calidad de los controles internos, el grado de cambio o estabilidad, el tiempo del último compromiso de auditoría, la complejidad y las relaciones con los empleados y el gobierno.
Enfoques de MCR
El Portal de Gobernanza admite una variedad de enfoques para analizar los controles de la información financiera. Esto da a las organizaciones flexibilidad, a la vez que proporciona una tecnología estandarizada para apoyar sus esfuerzos. Estos enfoques opcionales son posibles gracias a las diversas opciones de enlace disponibles entre el elemento de información financiera y los objetos de la matriz de control de riesgos. Para garantizar la coherencia de los informes, las organizaciones deben adoptar un enfoque único.
La mayoría de los informes apoyan la relación objetivo-riesgo-control-prueba utilizada en los enfoques basados en el proceso y en el riesgo que se describen a continuación.
- Enfoque basado en procesos – Este enfoque permite a las organizaciones vincular los elementos financieros (cuentas) a los controles a través de los objetivos de los procesos. Al utilizar los marcos existentes, este enfoque permite al equipo agilizar el mantenimiento continuo de los MCR en el Portal de Gobernanza. Sin embargo, dado que no todos los controles de un proceso pueden afectar a una cuenta financiera determinada, el enfoque puede dar lugar a una «sobrevinculación» de los controles con las cuentas financieras.
- Enfoque basado en el riesgo – Utilizando los riesgos dentro de un proceso, las organizaciones pueden vincular los elementos financieros (cuentas) a los controles. Este método puede ser utilizado por los equipos que realizan evaluaciones de diseño de control a nivel de riesgo (por ejemplo, los controles se diseñan colectivamente para mitigar un riesgo particular). Este enfoque permite a la dirección informar sobre el diseño y la eficacia operativa de los macrocontroles de la información financiera. Un enfoque basado en el riesgo también permite a los equipos de proyecto identificar controles compensatorios, que pueden dar lugar a controles adecuados incluso si un solo control no funciona correctamente. Los equipos que decidan utilizar este enfoque deben definir sus riesgos con suficiente especificidad.
- Enfoque basado en el control – Con este enfoque, las organizaciones pueden vincular directamente los elementos financieros (cuentas) a los controles dentro de un proceso. Este enfoque es ideal para los clientes que no ven los controles a través de la lente del riesgo o que realizan la evaluación del diseño a nivel de control.
¿Por qué utilizar una matriz de control de riesgos?
El riesgo es inevitable, independientemente del tamaño de su organización. Ignorar el riesgo puede tener consecuencias negativas, incluso el cierre de su empresa. Por ello, muchas empresas utilizan una matriz de control de riesgos para abordarlos de forma inteligente y oportuna.
El uso de una matriz de control de riesgos puede beneficiar a su organización de las siguientes maneras:
- Proporcionar un método para cuantificar el tamaño y el alcance del riesgo
- Determine si su estrategia es adecuada para hacer frente a cada tipo de riesgo.
- Priorizar los riesgos y hacer que todos los entiendan
Una matriz de control de riesgos también facilita el mantenimiento de una visión actualizada de los riesgos potenciales o recurrentes. Con una matriz de riesgos, también puede empezar a notar patrones y mantener un registro de los riesgos para saber siempre qué hacer cuando surja algo incierto.
Beneficios de una matriz de control de riesgos
Una matriz de control de riesgos tiene numerosas ventajas. Para empezar, todos los miembros de la organización ganarán en transparencia y en una mejor comprensión de los riesgos existentes. No sólo la gente será consciente de lo que puede esperar, sino que tener una representación visual del riesgo permite una asignación adecuada de recursos.
Esto significa que todos los miembros de su equipo entenderán su responsabilidad y su papel en la gestión de los riesgos, lo que ayudará a rendir cuentas.
Además, conocer los riesgos potenciales y poder revisar la estrategia de mitigación elegida puede dar tranquilidad a los ejecutivos y a las partes interesadas.
Una matriz de control de riesgos puede ayudar en el proceso de auditoría cuando se trata de informes financieros. Una matriz de evaluación de riesgos, además de las soluciones de automatización que facilitan la auditoría, proporciona al auditor una visión sólida de cómo la empresa mantiene los controles internos, lo que puede proporcionar un nivel de seguridad y confianza en los informes financieros.
Las soluciones de automatización facilitan la realización de los procesos sin apenas intervención humana. Al mismo tiempo, como cada acción que se produce en el sistema queda registrada, pueden ayudar a reducir el riesgo de cumplimiento.
Reflexiones finales
La Matriz de Control de Riesgos (RCM) es un componente fundamental del sistema que permite a los clientes realizar un análisis «basado en datos» para un proceso, organización, sistema informático, proyecto/evento o entidad específica. Este análisis se centra en la determinación de los objetivos clave, la identificación de los riesgos relacionados, la documentación de los controles de mitigación y la carga de los datos de prueba que validan la eficacia del control.
El análisis MCR puede utilizarse para apoyar la garantía de la información financiera en términos de diseño y eficacia operativa de los controles sobre la información financiera. Además, el RCM puede utilizarse para apoyar otras iniciativas de GRC, como el cumplimiento de la normativa, el gobierno de TI, el riesgo operativo y la gestión del riesgo empresarial, así como la evaluación de riesgos y controles de la auditoría interna.
