INFOGRAFÍAS
Hemos desarrollado esta serie de infografías para resaltar los diferentes temas propuestos y analizados por nuestros líderes.
GESTIÓN DE TIEMPO DE RESPUESTA DE LA JUNTA DIRECTIVA
ROL DE LA JUNTA DIRECTIVA
ROL DEL COMITÉ DE AUDITORÍA
ROL DE LA AUDITORÍA - ÁREAS CLAVES
La situación generada por el COVID 19, ocupa hoy un lugar importante y prioritario en la agenda de todas las organizaciones a nivel mundial. La emergencia sanitaria transformó en muy pocas semanas y de manera profunda el escenario económico y de negocios, y en consecuencia el panorama de riesgos desde todos los aspectos: sociopolíticos, económicos, regulatorios, competitivos, financieros, operativos, reputacionales, de recursos humanos, de proveedores y tecnológicos obligando a las organizaciones a adaptarse a las nuevas necesidades del contexto ante el riesgo de desaparecer.
Las empresas en su mayoría se han visto afectadas por la situación antes descritas, algunas en mayor proporción que otras. No obstante, el panorama externo es incierto ya que la velocidad y la fuerza de la recuperación económica mundial dependerán en gran parte del éxito de las medidas de la salud pública y las políticas económicas; por lo que no es posible establecer un momento específico para la vuelta a la normalidad y, por tanto, resulta mandatorio adaptarse a la nueva realidad.
En este escenario, la gestión de riesgos ha cobrado gran importancia en la estrategia de continuidad de las organizaciones demandando no solo una reacción en los propietarios del riesgo (unidades de negocio encargadas como tal de la operación) con el rediseño de sus procesos, sino también de las áreas y/o funcionarios que haciendo parte de la estructura de gestión del riesgo, identifican, miden, monitorean y controlan dichos riesgos desde una perspectiva más gerencial (Ej. Dirección ejecutiva, dependencias de riesgos, Compliance, Departamentos de información, Tecnología y Ciberseguridad, área jurídica y/o legal, etc.); y en tercer lugar, los órganos de gobierno encargados de realizar la evaluación independiente de la gestión de riesgos en su totalidad y por último, los órganos de gobierno (Asamblea General de Accionistas o Junta de Socios, Junta Directiva y entes de soporte como son el comité de auditoría) y en el marco de esa gobernabilidad responder a la necesidad de diseñar estrategias innovadoras que permitan minimizar los factores de riesgo resultantes de la coyuntura del COVID-19, para establecer las directrices para prevenir y gestionar la crisis desde un enfoque de riesgos.
GESTIONAR LOS RIESGOS EN TIEMPOS DE INCERTIDUMBRE
La incertidumbre y la inestabilidad se han convertido en elementos característicos del entorno empresarial, tanto en el ámbito nacional como internacional. Se trata de un contexto en el que los escenarios futuros se acortan y la capacidad de la alta dirección de predecir pierde contundencia, en gran parte por la volatilidad y cambios emergentes.
Gran parte del trabajo realizado por las organizaciones hoy en día se focaliza en responder y anticipar los riesgos y amenazas, así como, definir una estrategia exitosa para adaptarse de la mejor manera a su realidad, optimizando sus procesos operacionales, agilizar la toma de decisiones para de manera paulatina lograr una estabilidad, y una posterior, recuperación del desempeño financiero.
Responder Estabilizar Recuperar
Por lo anterior, la evaluación de riesgos se convierte en un tema de atención prioritaria para la alta dirección de las organizaciones, dada la estrecha relación que guarda con el cumplimiento de la misión y los objetivos institucionales que hacen parte de la estrategia de negocio y que permite, además, de manera indirecta maximizar el valor para sus clientes y demás partes interesadas, así como gestionar la continuidad.
Con respecto a la estrategia de negocio, es responsabilidad de la alta dirección: precisar sus objetivos operacionales, de información y de cumplimiento con suficiente claridad para permitir la identificación y evaluación de los riesgos asociados, considerando a su vez, los posibles cambios en el entorno y las adaptaciones de su propio modelo de negocio.
En conclusión, la evaluación de riesgos constituye un proceso continuo que implica una actividad permanente y no de carácter periódico que comprende a todos los niveles de la organización, que va desde el máximo órgano administrativo hasta las unidades de negocio que proveen soporte y apoyo a la operación. El objetivo principal consiste en identificar, analizar, catalogar, priorizar y responder al impacto de los riesgos en caso de su materialización, incluidos los riesgos de fraude, corrupción y reputación.
ACTIVIDADES DE RIESGO Y DE CONTROL EN EL MARCO DEL SISTEMA DE CONTROL INTERNO
Uno de los componentes clave del sistema de control interno - COSO es la evaluación de riesgos, que consiste en la capacidad que debe tener cada entidad para identificar, gestionar, monitorear y controlar los riesgos por medio de la implementación de procesos eficaces que disminuyan la posibilidad de ocurrencia e impacto de los riesgos, y en consecuencia faciliten el cumplimiento de objetivos y las métricas de planeación estratégica de la entidad. En este proceso se involucran tanto los encargados de las operaciones, como la administración y los encargados del gobierno corporativo, los cuales pueden ser enmarcados en el modelo de las tres líneas, así:
EL ROL DE LA JUNTA DIRECTIVA
La Junta Directiva es la principal gestora y promotora del gobierno corporativo en la organización, encargada entre otros aspectos de la definición de la estrategia, el control y supervisión de su ejecución y la definición a su vez de las principales políticas de la entidad relativas al sistema de control interno y nivel de riesgo; también se encarga de supervisar y velar de forma independiente por el adecuado funcionamiento del proceso de gestión del riesgo y establecer los mecanismos de evaluación de la gestión de los administradores.
La Junta Directiva es el órgano sobre el cual recae la responsabilidad final y principal respecto del control interno y la gestión de riesgos.
En el marco de estas funciones es recurrente observar en las agendas de las sesiones de Junta Directiva, especialmente de entidades vigiladas por la Superintendencia Financiera de Colombia, y por tanto obligadas a contar con un adecuado gobierno corporativo, un sistema de control interno robusto y dependencias de gestión y administración de riesgos (operativos, financieros, de liquidez, mercado, contraparte y/o lavado de activos y financiación del terrorismo) temas como:
Con la pandemia, en este tipo de entidades se han incorporado otros asuntos, fuera del esquema tradicional, que deben ser abordados por las Juntas Directiva y que se detallan en las circulares externas emitidas por la Superintendencia Financiera de Colombia de la No. 007 a la No. 015, la No. 017, 019, 021, 022, 032 y 039; y las cartas circulares No. 19 a No. 21; así como las resoluciones 0305 y 0368; todas de 2020. Algunos de estos temas que son de carácter obligatorio para las entidades mencionadas pero que pudieran ser aplicables a cualquier tipo de entidad, involucran las responsabilidades de la Junta Directiva frente a las siguientes actividades en el marco de la gestión de riesgos:
En este orden de ideas, las organizaciones requieren miembros de Junta Directiva activos, equipos de alto rendimiento que puedan tomar decisiones rápidas, fundamentales para el negocio y en ciertos casos con poca información; para ello es preciso que cuenten con las competencias, experiencia y diversidad requerida ante las circunstancias y respondan en estos tiempos de mayor exigencia.
Las competencias deben ir más allá de las competencias duras o competencias técnicas o académicas que variarán según el sector. Es importante que la persona cuente con habilidades blandas asociadas al liderazgo, la motivación, la intuición, la capacidad para retar a la administración y brindar asesoría en temas relacionados que beneficien a la entidad y sus grupos de interés; por otro lado, se requiere profesionales actualizados, involucrados o cuando menos con cierto interés en materia tecnológica que promuevan la cultura de la innovación, la digitalización y la gestión de riesgos con aspectos como la ciberseguridad, potenciando a su vez el desarrollo del talento, todo lo anterior con el fin de lograr eficiencias en los procesos, disminuir las brechas de control que pudieran comprometer la integridad, oportunidad y la calidad del resultado final (bien sea bienes o servicios de la cadena de suministros o información usada en los procesos y para la toma de decisiones).
EL ROL DEL COMITÉ DE AUDITORÍA
El Comité de Auditoría es un órgano que tiene como función principal apoyar las funciones realizadas por la Junta Directiva en materia de control interno y gestión de riesgos; en general el sponsor principal de la tercera línea de acción con dependencia directa a la Junta Directiva.
Mediante la Circular Externa 052 de 1998, se contempló la obligatoriedad de los Comités de Auditoría para aquellas entidades sujetas a la inspección y vigilancia de la entonces Superintendencia Bancaria, hoy Superintendencia Financiera de Colombia. Posteriormente la Circular Básica Jurídica (Circular Externa 029 de 2014) expedida por la Superintendencia Financiera de Colombia en la parte 1, Título 1 capítulo IV numeral 6.1.2, señala aspectos específicos del mismo, respecto a las entidades vigiladas por este ente de Control. Con relación a las entidades no vigiladas, estas pueden tener un Comité de Auditoría de manera discrecional si así se determina en los estatutos sociales respectivos.
De acuerdo con la norma citada en el párrafo anterior, el Comité de Auditoría de las entidades vigiladas por la Superintendencia Financiera debe estar integrado por tres (3) miembros de la Junta Directiva, los cuales deben contar con experiencia amplia y suficiente, ser conocedores de temas relacionados con las funciones asignadas al referido órgano. Considerando que el Comité es el filtro inicial que asiste a la Junta en todo aquello que tiene relación con la auditoría externa, los sistemas de control interno y la elaboración de información financiera de la organización y su comunicación a terceros, es importante que sus integrantes cumplan los mismos requisitos de los miembros de junta en materia de “competencias, experiencia y diversidad requerida ante las circunstancias y respondan en estos tiempos de mayor exigencia” y que las organizaciones establezcan como parte del proceso de postulación de candidatos, un proceso de evaluación y revisión de las cualidades y calificaciones de los mismos, con el fin de verificar que cumplen con el perfil adecuado para todos los efectos.
El Comité de Auditoría deberá tener un reglamento de funcionamiento y se debe reunir por lo menos cada tres (3) meses, es decir que por lo menos cuatro (4) veces al año. Las decisiones y actuaciones del Comité de Auditoría deben consignarse en actas tal como lo menciona el artículo 189 del Código de Comercio, los documentos que sirven de soporte para la toma de las decisiones deben ser anexos de las actas y en el evento en que se detecten situaciones que sean de importancia significativa deben informarse a la Junta Directiva y al Representante Legal.
El rol del Comité de Auditoría puede variar de una organización a otra, dependiendo de su entorno legal, económico y social y del ente de control que lo vigile. Un comité de auditoría típicamente sirve como enlace entre la Junta Directiva, los auditores externos, los auditores internos y la dirección financiera; generalmente dentro de sus funciones se encuentran las siguientes:
- Supervisar la integridad de la información respecto a los Estados Financieros de la organización.
- Vigilar la efectividad del Sistema de Control Interno Contable.
- Revisar eficacia y eficiencia de la auditoría interna.
- Evaluar los riesgos identificados y su plan de acción para mitigarlos
- Monitorear los informes presentados por las áreas de Riesgos (mercado, liquidez, operativo, lavado de activos y financiación del terrorismo)
- Proponer la política de riesgos a la Junta Directiva y supervisar su implementación efectiva, de tal forma que los principales riesgos estratégicos, financieros, operativos y de cumplimiento, se administren y se comuniquen de forma adecuada
- Evaluar la estructura del control interno de la entidad de forma tal que se pueda establecer si los procedimientos diseñados protegen razonablemente los activos de la entidad, así como los de terceros que administre o custodie, y si existen controles para verificar que las transacciones están siendo adecuadamente autorizadas y registradas.
- Informar a la Junta Directiva u órgano equivalente sobre el no cumplimiento de la obligación de los administradores de suministrar la información requerida por los órganos de control para la realización de sus funciones.
- Velar porque la preparación, presentación y revelación de la información financiera se ajuste a lo dispuesto en las normas aplicables, verificando que existen los controles necesarios, entre otras.
El Comité de Auditoría, dentro de su rol establece y verifica que los procedimientos de control interno y gestión de riesgos se ajusten a las necesidades, objetivos, metas y estrategias determinadas por la Organización, y que dichos procedimientos se enmarquen en los objetivos del modelo de control interno y gestión de riesgos, tales como: eficiencia y efectividad en las operaciones, suficiencia y confiabilidad en la información financiera y salvaguarda de los intereses y patrimonio de la organización.
Hoy en día es importante que los Comités de Auditoría busquen seguridad sobre las evaluaciones de impacto empresarial de su organización y los planes de respuesta a corto, mediano y largo plazo. En lo que respecta al papel del Comité de Auditoría en la búsqueda de garantías sobre la gestión de la crisis por parte de la organización, ha llegado el momento de repensar las preguntas que se plantean y la información que necesitan en materia de:
- La gestión de crisis, el restablecimiento de la gobernanza y los protocolos de trabajo; así como, las plataformas de comunicación, la mano de obra remota y las tecnologías de trabajo.
- La evaluación y comprensión del impacto y los cambios en las políticas gubernamentales, las directrices y los paquetes de apoyo económico; el seguimiento sobre los supuestos en función del entorno económico futuro, la revisión del perfil de riesgo y el análisis de los posibles escenarios futuros del negocio.
- La sostenibilidad financiera, en función de la anticipación de las presiones financieras, la solicitud de opciones de apoyo financiero del gobierno, la gestión de liquidez y del flujo de caja, la preservación del valor y la riqueza y trato con las partes interesadas clave, incluidos los bancos, los clientes, los proveedores y los empleados.
- La resiliencia operativa, en función de la gestión de las personas, el trato con proveedores, la minimización proactiva de la tensión operativa, los problemas de capacidad, y los sistemas de TI y la resistencia de la infraestructura.
Hemos observado cuatro tipologías de riesgos claves que los comités de auditoría deberían considerar y revisar durante la crisis actual.
De igual manera, hemos identificado las siguientes áreas claves para considerar:
- Seguridad cibernética: Puede ser apropiado que los comités de auditoría soliciten una actualización periódica sobre los incidentes de seguridad informática / cibernética, incluso si no tienen éxito y soliciten monitoreos en los cuales se verifiquen las políticas y procedimientos en materia de sensibilización sobre los ataques de phishing, autenticación de dos factores para accesos remotos, bloqueo de canales de comunicación no oficiales, antivirus actualizado, uso de herramientas para compartir información de forma segura y conocimiento de la ruta para notificación de incidentes.
- Fraude Financiero: Como resultado del distanciamiento social y el aumento de los niveles de trabajo remoto, los controles, políticas, sistemas y procesos habituales suelen pasar a un segundo plano. El comité debe solicitar y monitorear la evaluación de los controles identificados capaces de detectar situaciones de origen fraudulento y los resultados de las pruebas de recorrido que respaldan su funcionamiento; también la activación de restricciones en materia de correos, teléfonos y la suficiente capacitación.
- Conformidad del regulador: Los comités de auditoría deberían preguntar si la organización ha identificado las obligaciones de cumplimiento criticas aplicables a la entidad, si tiene los controles necesarios para garantizar el cumplimiento, si se ha realizado una evaluación de relevancia de controles, si para el empleado es claro el régimen sancionatorio, si se han identificado cambios en las normas aplicables al sector, etc.
- Privacidad de datos: Verificar el cumplimiento de la política de manejo, procesamiento y almacenamiento de datos, validando entre otros aspectos que para los empleados sea claro el alcance de esta política. Los informes periódicos y la visibilidad de las nuevas actividades de procesamiento y las consideraciones de riesgo de privacidad por parte de individuos o equipos que tienen la propiedad del riesgo de protección de datos brindan al Comité de Auditoría cierta tranquilidad de que la organización continúa cumpliendo su objetivo de tener que ser plenamente responsable de la regulación de protección de datos.
- Desempeño e informes: Los Comités de Auditoría deben preguntar si la administración está monitoreando, midiendo e informando de manera efectiva sobre actividades clave como:
- Ingresos, liquidez y flujo de caja
- Órdenes entrantes y salientes, facturas emitidas, pagos recibidos,
- Producto enviado y cobrado en efectivo
- Inventario recibido, qué se puede y qué no se puede vender en el clima actual, las implicaciones de obsolescencia y el impacto en su posición financiera (aplica solo para entidades no financieras)
- No notificar a las partes interesadas pertinentes sobre infracciones de las directrices de inversión
- Otras actividades críticas para su organización.
- Planeación de escenarios hipotéticos: Los comités de auditoría deben estar preparados para desafiar a la dirección en:
- La solidez del enfoque de la administración al escenario planificación
- La confiabilidad de los datos subyacentes
- La base de las suposiciones realizadas.
- Enfoque de auditoría interna: Los Comités de Auditoría deben revisar los planes anuales de auditoría interna para evaluar si siguen siendo apropiados y si brindan seguridad en áreas prioritarias que pueden haber cambiado como resultado de la situación actual. (Ej. sostenibilidad financiera, riesgo de fraude, salud, seguridad y bienestar, ciberseguridad y procedimientos de regreso al lugar de trabajo y riesgos relacionados, etc.). De igual manera se deberá controlar las periodicidades de los monitoreos y la socialización de resultados.
- Gestión del cambio realizada por la gerencia: como parte de la evaluación de riesgos la administración deberá evaluar al menos las siguientes áreas de riesgos:
- Planificación financiera y manejo de costos
- Personas y empleados
- Digitalización y tecnología
- Gestión de riesgos y seguridad