La comisión de auditoría y la gestión de riesgos empresariales

La gestión de riesgos empresariales es cada vez más importante para cualquier tipo de compañía. Conscientes de la relevancia de los problemas a los que se enfrentan (debido al auge de las amenzas cibernéticas) y de lo necesario de contar con una supervisión para adelantarse a ellos,  no es de extrañar que, día a día, se dedique más tiempo en formar comisiones de auditoría y que estas dispongan de mayor soporte por parte de todos los órganos empresariales.

En toda agenda que se precie, una revisión minuciosa de la efectividad de los procesos de gestión de riesgos empresariales y de supervisión por parte de la Comisión de Auditoría merecerá un lugar destacado y específico.

Gestión de riesgos empresariales: revisar la efectividad de los sistemas de control interno y gestión de riesgos es un elemento esencial de las responsabilidades del Consejo

Eso sí, la labor de revisión deberá recaer en una Comisión de Auditoría, cuyo papel dependerá de factores internos, como el tamaño y la composición del Consejo, la escala y la complejidad de las operaciones de la empresa y la naturaleza de los riesgos significativos a los que se enfrenta la misma.

En consecuencia, la Comisión de Auditoría deberá diseñarse para gestionar de manera efectiva los riesgos que amenazan la consecución de sus objetivos. Con este fin, la empresa debe identificar sus objetivos y evaluar los riesgos que amenazan su consecución, diseñar controles internos y estrategias para gestionarlos y mitigarlos y supervisar los controles y estrategias para asegurar que funcionen de manera eficaz.

Las funciones y los principios básicos de funcionamiento de las Comisiones de Auditoría aparecen detalladas en la guía técnica de la comisión de auditoría de la CNMV.

La Comisión de Auditoría cobra una especial importancia a día de hoy ante el avance de los problemas cibernéticos

La ciberseguridad se ha convertido en uno de los focos de atención de las empresas debido a los continuos ataques y fallos de seguridad. Por ello, la Comisión de Auditoría, como parte de la gestión de riesgos empresariales, debe estar atenta y adelantarse a cualquier posible fallo en la ciberseguridad.

De todos los problemas a los que se enfrentan las compañías a día de hoy, es la ciberseguridad la que cobra mayor relevancia. A diario, aparecen noticias sobre ciberataques, robo de información o pirateos de comunicaciones. (Descubra en este artículo los casos de ciberataques más comunes en España). Como respuesta, la Comisión de Auditoría deberá identificar con tiempo y gestionar las soluciones a cualquier brecha en la seguridad que aparezca.

Asimismo, tiene la obligación de revisar los procesos e identificar los riesgos significativos para las empresas, así como velar porque el Consejo esté plenamente informado. Dentro de este cometido, resulta esencial que la Comisión posea una perspectiva amplia sobre la gestión de riesgos empresariales, tanto de los externos y macroeconómicos como de los internos.

La Comisión será dinámica, considerando debidamente tanto los riesgos que no se detectan (pero se conocen o se intuyen) como aquellos que han hecho saltar alarmas tempranas. Por supuesto, la Comisión debe adentrarse en el futuro, incluyendo diversos escenarios de riesgo y trabajando con hipótesis si es necesario.

Debido a ello, durante la gestión de riesgos empresariales, la Comisión de Auditoría deberá velar para que se preste la atención necesaria a los riesgos subyacentes y no simplemente a los visibles.

Por cada riesgo identificado, la Comisión deberá realizar un juicio de valor en lo que respecta al posible impacto y a la probabilidad de que el problema se materialice, considerando la marca que pueda tener para la reputación de la compañía, las finanzas y las operaciones.

Además, la Comisión de Auditoría, en su gestión de riesgos empresariales, debe estar alerta e identificar los síntomas sobre un sistema de control que falla. Del mismo modo, se encuentra en la obligación de saber si la información de la que dispone el Consejo es insuficiente.

Por último, si la Comisión detecta que la información sobre riesgos se elabora, pero no se utiliza o si diversas funciones separadas emiten datos incoherentes e inconsistentes sobre los riesgos o si los riesgos que constan en el registro no reflejan la realidad de los negocios de la compañía, se deberá actuar en consideración.

Como ha podido comprobar, la amenaza de sufrir ataques cibernéticos es más real que nunca y sus efectos, devastadores. Para evitarlos, lo mejor es seguir las indicaciones en gestión de riesgos empresariales de la mencionada guía técnica de la CNMV.