Auditoría Interna y Gestión de Riesgos: ¿juntas o separadas?

La relación entre la auditoría interna y la gestión de riesgos ha sido objeto de análisis y debate en la última década, especialmente considerando su impacto en la gobernanza organizacional. Ambas disciplinas son esenciales para garantizar la efectividad de las operaciones y la seguridad de los procesos, pero la pregunta clave persiste: ¿es más efectivo que trabajan en juntas o por separado? Según el Instituto de Auditoría Interna de Australia , esta decisión depende de varios factores, incluidos el tamaño de la organización, sus recursos y su estructura de gobernanza.

Antecedentes históricos

La auditoría interna y la gestión de riesgos han evolucionado de manera independiente, pero con una interdependencia creciente:

  1. Auditoría interna : Desde la década de 1940, su enfoque ha pasado de la mera comprobación de transacciones a una auditoría basada en riesgos, y más recientemente, a una metodología basada en el valor. Este último enfoque destaca la innovación y la alineación con los objetivos estratégicos.

  2. Gestión de riesgos : Formalizada en la década de 1990, su marco teórico y práctico fue consolidado por la norma ISO 31000, adoptada como estándar internacional en 2009. Su objetivo principal es identificar, evaluar y gestionar la incertidumbre para alcanzar objetivos organizacionales.

Ambas disciplinas comparten una sinergia natural al enfocarse en la mitigación de riesgos, pero tienen roles distintos en la estructura organizacional. La auditoría interna brinda garantías independientes y reporta directamente al consejo, mientras que la gestión de riesgos opera dentro de la estructura de gestión.

La relación en debate: ¿deben trabajar juntas?

El modelo de "Tres Líneas" propuesto por el IIA ayuda a comprender la diferenciación conceptual entre estas disciplinas. Según este modelo:

  1. Primera línea : La gestión operativa, que toma decisiones y asume riesgos.
  2. Segunda línea : La gestión de riesgos, que actúa como facilitador, supervisando y asesorando.
  3. Tercera línea : La auditoría interna, que proporciona garantías independientes al consejo y la alta dirección.

Aunque ambas funciones interactúan, combinarlas en una sola puede generar conflictos de intereses. Las ventajas y desventajas de ambas configuraciones son claras:

Ventajas de mantenerlas separadas

  • Independencia y objetividad : La auditoría interna puede evaluar imparcialmente la efectividad de la gestión de riesgos.
  • Roles definidos : Evita que la auditoría interna "audite su propio trabajo", lo cual comprometería su credibilidad.
  • Reportes claros : Facilita informes independientes tanto al comité de auditoría como a la alta dirección.

Ventajas de combinarlas

  • Optimización de recursos : Útil en organizaciones pequeñas con presupuestos limitados.
  • Comunicación fluida : Favorece una mayor alineación en los procesos de evaluación de riesgos.

Conflictos de intereses y salvaguardas

Si las funciones se combinan, deben implementarse salvaguardas para garantizar la independencia. Por ejemplo, el estatuto de auditoría interna debe incluir cláusulas claras sobre cómo evitar conflictos, como la separación de responsabilidades en la revisión de actividades gestionadas por el director de riesgos.

En Australia, algunos sectores, como los servicios financieros, exigen por ley la separación de estas funciones, reflejando la importancia de la independencia en entornos altamente regulados.

Evidencia y tendencias actuales

Una investigación realizada por el Dr. Steven Halliday en 2012 reveló que las grandes empresas australianas tienen diversas estructuras para estas funciones:

  • El 30% combina las funciones de auditoría interna y gestión de riesgos.
  • Otro 30% mantiene un modelo parcialmente integrado.
  • El 30% las separa estrictamente.
  • El 10% restante carece de una función formal de gestión de riesgos.

Este panorama destaca que no existe un modelo único, sino que cada organización debe adoptar la estructura que mejor se adapte a sus necesidades y recursos.

Conclusión

Aunque la auditoría interna y la gestión de riesgos tienen roles distintos, su colaboración es crucial para fortalecer la gobernanza organizacional. La decisión de separarlas o combinarlas debe basarse en un análisis detallado que considere los siguientes factores:

  1. Tamaño y complejidad de la organización : Las organizaciones grandes generalmente se benefician de la separación, mientras que las pequeñas pueden optar por combinar funciones.
  2. Recursos disponibles : La integración puede ser una solución pragmática en organizaciones con recursos limitados.
  3. Requerimientos regulatorios : Los sectores altamente regulados suelen requerir una separación estricta.

Independientemente del modelo elegido, es fundamental que existan salvaguardas claras para garantizar la independencia y objetividad de la auditoría interna. Esto no solo fortalece la gestión de riesgos, sino que también promueve la confianza en la gobernanza organizacional.

Fuente: Adaptado del artículo del Instituto de Auditoría Interna de Australia, "Internal Audit and Risk Management: Separate or together".

Comentarios

Publicar un comentario

Entradas más populares de este blog

La Evolución de COSO: De Control Interno a la Gestión Estratégica del Riesgo

Imagen
Desde su aparición en 1985, COSO ha sido un referente en materia de control interno y gestión de riesgos . Pero más allá de su fama como metodología, lo verdaderamente interesante es cómo ha  evolucionado a lo largo de los años , adaptándose a los desafíos de cada época y expandiendo su alcance desde las operaciones hasta la estrategia empresarial. En este artículo exploraremos cómo se relacionan y en qué se diferencian las principales versiones de COSO: 1992, 2004, 2013 y 2017 .   COSO 1992: El punto de partida El primer gran hito de COSO fue la publicación en 1992 de su Marco Integrado de Control Interno . Este documento estructuró por primera vez los elementos esenciales para un sistema de control interno eficaz, agrupados en cinco componentes: Ambiente de control Evaluación de riesgos Actividades de control Información y comunicación Supervisión Este marco fue adoptado ampliamente por empresas, auditores y reguladores. Su objetivo principal era mejorar ...
Read more »

Etapas de la Auditoría Financiera según las Normas Internacionales de Auditoría (NIA)

Introducción: La auditoría financiera es un proceso esencial que permite emitir una opinión profesional sobre la razonabilidad de los estados financieros. Para garantizar su calidad y uniformidad a nivel internacional, los auditores se rigen por las Normas Internacionales de Auditoría (NIA), emitidas por la IFAC a través del IAASB. En este artículo, exploramos las principales etapas de la auditoría financiera según las NIAs, en el orden técnico sugerido por su aplicación práctica. Etapas 1.       NIA 210 – Acuerdo de los términos del encargo de auditoría 2.       NIA 300 – Planificación de la auditoría de estados financieros 3.       NIA 315 – Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno 4.       NIA 330 – Respuestas del auditor a los riesgos valorados 5.       NIA 500 – Ev...
Read more »

Estructura del Informe de Auditoría Financiera con su NIA correspondiente

 Estructura del Informe de Auditoría Financiera Opinión ·          NIA 700: Formación de la opinión y emisión del informe de auditoría sobre los estados financieros ·          NIA 705: Opinión modificada en el informe emitido por un auditor independiente (si aplica una opinión modificada) Fundamento de la opinión ·          NIA 700: Formación de la opinión y emisión del informe de auditoría sobre los estados financieros ·          NIA 705: Opinión modificada en el informe emitido por un auditor independiente (si hay salvedades o limitaciones) párrafo de énfasis (solo cuando las circunstancias lo justifican) ·          NIA 706 – Párrafos de énfasis y sobre otras cuestiones ·          NIA 710 – Información comparati...
Read more »