Relación entre los componentes de la administración de riesgos y la generacion de reportes

Por: Carlos Alberto Estrada Largo - Senior de Auditoría.

En esta época de cierres y preparación de informes de fin de año, sería importante para nosotros como administradores y responsables de la información, darle un enfoque de administración de riesgos a estas actividades basado en el Enterprise Risk Management - Integrated Framework o Coso II – ERM.

Haciendo un breve recorrido por los ocho componentes de la administración de riesgos corporativos del Standard Coso II – ERM, relacionaré algunos aspectos basados en dicho Estándar, que pueden ayudar a cumplir con el objetivo estratégico de generar reportes confiables.

• En cuanto al Ambiente interno para la generación de reportes, la Entidad debe definir muy bien el rol legal que la administración tiene en la información, los principios éticos que involucra la elaboración de reportes, el perfil de las personas involucradas en el proceso, la filosofía de administración de la Entidad, entre otros.
• Definición clara de los objetivos que persigue la Entidad en la emisión de reportes, los cuales deben ir alineados con la filosofía de administración.
• Identificar los eventos o factores de riesgo internos o externos que puedan afectar los objetivos de la Entidad en la emisión de reportes. La oportunidades retroalimentarían los procesos en la definición de sus objetivos.
• Basados en la experiencia y estadística de la Entidad en la preparación de reportes, se evaluaría la probabilidad e impacto de los riesgos detectados y no detectados por la organización.
• El standard es muy claro en que la dirección selecciona las posibles respuestas (evitar, aceptar, reducir o compartir los riesgos) y es quien desarrolla las acciones necesarias para alinearlas con el riesgo aceptado y las tolerancias al riesgo de la entidad.
• Definición adecuada de controles de integridad, revelación y exactitud de los reportes, los cuales ayudarán asegurar que las respuestas a los riesgos se lleven a cabo efectivamente.
• La información relevante se debe tener plenamente identificada, así como el flujo de la misma en todos los sentidos, que permita cumplir con el cronograma de actividades del personal.
• Realizar actividades permanentes de monitoreo por parte de la administración y/o entes externos.

Tal como concluye en uno de sus apartes el Standard Coso II – ERM, La administración de riesgos corporativos no constituye estrictamente un proceso en serie, donde cada componente afecta sólo al siguiente, sino un proceso multidireccional e interactivo en el cual casi cualquier componente puede e influye en otro.