El papel de la auditoría interna en la gestión de riesgos en una organización se reconoce hoy como una parte indispensable de las buenas prácticas de gobierno corporativo. Esto ha puesto a los profesionales del riesgo bajo un interés creciente en este proceso que garantiza la mejora continua del sistema.
Pero, ¿cómo se integra la auditoría interna en la gestión de riesgos y qué le aporta? Lo explicamos seguidamente.
El papel de la auditoría interna en la gestión de riesgos
En primer lugar, no está de más recordar algunas cuestiones básicas sobre la gestión de riesgos. En este sentido, las normas internacionales del IIA –Institute of Internal Auditors– definen un riesgo como “la posibilidad de que ocurra un evento con un impacto en el logro de los objetivos”. Asimismo, se aclara que los logros se miden en términos de impacto y probabilidad.
Por lo tanto, la gestión de riesgos es el proceso continuo para identificar, analizar, evaluar y tratar las exposiciones a potenciales efectos; y además conlleva el monitoreo de los resultados y los recursos financieros destinados a mitigar aquellos efectos adversos y aprovechar las oportunidades.
La gestión de riesgos es una función que se realiza por áreas. Los gerentes de cada área son las personas responsables de responder por los resultados de su campo, y también de administrar los riesgos que les corresponden. Aun así, la función de identificar y administrar los riesgos pertenece en última instancia a la alta dirección.
Y la auditoría interna, ¿cómo se integra en esta gestión? Pues, una de las funciones clave de la auditoría interna es garantizar que los riesgos se hayan administrado de forma adecuada. Para ello, se debe realizar una auditoría interna basada en el riesgo. El IIA define este tipo de auditoría basada en el riesgo como una metodología que vincula la función de auditoría con el marco general de la gestión de riesgos de una organización.
De acuerdo con esto, la auditoría se lleva a cabo en asociación con los responsables de área, para garantizar que todos los riesgos sean identificados y sean relevantes para la organización. Además, la auditoría basada en el riesgo busca en cada etapa reforzar las responsabilidades de la administración y de la alta dirección para administrar el riesgo, ya que es la que informa y ofrece seguridad a la alta dirección de que los procesos de gestión de riesgos son eficaces y guardan concordancia con la disposición o apetito al riesgo de la organización.
Los beneficios de una auditoría interna en la gestión de riesgos
Siguiendo las normas internacionales del IIA, identificamos varios beneficios evidentes de una auditoría interna en la gestión de riesgos. Entre ellos, podemos mencionar que se asegura que:
- La alta dirección evalúa y responde a los riesgos que se encuentran por encima y por debajo del apetito de riesgo de la organización.
- La respuesta al riesgo es efectiva, pero no excesiva.
- Cuando el riesgo residual no está alineado con el apetito de riesgo, se toman medidas de control adicionales.
- Los riesgos, las respuestas y las acciones se identifican, se clasifican y comunican de forma adecuada.
- Se promueve la mejora continua del sistema.
La superposición de intereses en la auditoría interna y la gestión de riesgos
Aunque la necesidad y los beneficios de una auditoría interna en la gestión de riesgos son evidentes, también es bueno advertir que dentro de la mayoría de las organizaciones se presenta un claro conflicto de intereses entre ambas áreas.
Veamos una tabla que nos indica las áreas de interés superpuesto:
| Gestión de Riesgos | Auditoría Interna |
| Desarrollar el marco de gestión de riesgos. | Auditar la idoneidad y eficacia del marco de gestión de riesgos. |
| Implementar el marco de gestión de riesgos. | Auditar de la implementación del marco de gestión de riesgos. |
| Asesorar sobre la asignación de riesgos, controles y tareas. | Auditar si los gerentes responsables cumplen sus funciones. |
| Asesorar a la alta dirección y al consejo sobre la interpretación de la información de gestión de riesgos. | Proporcionar una garantía independiente de la información de gestión de riesgos presentada a la alta dirección. |
| Proporcionar información adecuada sobre el estado de la gestión de riesgos y el desempeño, al Comité de Auditoría y Riesgos. | Proporcionar una visión independiente sobre la credibilidad y confiabilidad de la información de gestión de riesgos presentada al Comité de Auditoría y Riesgos. |
| Actuar como un revisor independiente para garantizar la capacidad y el desempeño de la alta dirección en la gestión de riesgos. | Actuar como asesor y mentor de la alta dirección en materia de gestión de riesgos |
Si bien la auditoría interna y la gestión de riesgos tienen que trabajar juntas, creemos que es esencial que se garantice que ninguno de los roles se vea comprometido. Por ello, es conveniente informar por separado y mantener la independencia de funciones. Aquellos profesionales de riesgos que deben equilibrar las funciones de auditoría interna, gestión de riesgos y cumplimiento a menudo luchan con esto en la práctica.
Curso ISO 31000:2018 Sistemas de Gestión de Riesgos
Un profesional del riesgo debe conocer con profundidad su rol y sus funciones, y sobre todo, los requisitos de la gestión de riesgos que establece ISO 31000.
El Curso ISO 31000:2018 Sistemas de Gestión de Riesgos, diseñado por reconocidos expertos, es el programa de referencia para este tipo de profesionales que desean actualizarse o profundizar en el estándar de gestión de riesgos de ISO.
Asegure una plaza en la próxima convocatoria de este programa formativo aquí.
