La auditoría interna es un proceso de revisión y evaluación que tiene como objetivo mejorar la eficiencia y eficacia de las operaciones internas de una organización. Es realizada por un equipo de expertos internos, por una firma especializada en auditoría o una combinación de ambas, y se enfoca en la evaluación de los procesos y sistemas de control interno.
Ahora, la gestión de riesgos es un proceso continuo y sistemático que permite a las organizaciones identificar, evaluar y controlar los riesgos asociados con sus actividades. Asimismo, es un elemento clave de la toma de decisiones estratégicas y la planificación empresarial, que permite a las organizaciones mitigar los riesgos y aprovechar las oportunidades.
De este modo, la auditoría interna y la gestión de riesgos están estrechamente relacionadas, ya que la primera puede ayudar a identificar los riesgos y a evaluar la eficacia de la gestión de riesgos en una organización. Así mismo, puede proporcionar una evaluación objetiva y un enfoque sistemático para ayudar a identificar áreas en las que se deben mejorar los controles y los procesos de gestión de riesgos.
En ese sentido, la auditoría interna y la gestión de riesgos son procesos clave que pueden ayudar a las organizaciones a mejorar su rendimiento y a mitigar los riesgos. Una combinación efectiva de estos procesos puede proporcionar un enfoque integral para gestionar los riesgos y mejorar la eficiencia y eficacia de las operaciones de la organización. Si bien tanto la gestión de riesgos como la auditoría interna contribuyen a la gestión del riesgo dentro de una organización, ninguna de estas áreas gestiona directamente el riesgo organizacional.
De acuerdo con el modelo de tres líneas, las organizaciones cuentan con actividades de la primera línea, donde se realiza el trabajo operativo. En función de su tamaño y complejidad, muchas organizaciones también establecen áreas especializadas de asesoramiento y supervisión sobre la gestión de riesgos, el cumplimiento, la gestión financiera y otras actividades (línea 2). Estas áreas de asesoramiento especializado no son responsables de tomar decisiones de riesgo (ni de cumplimiento, finanzas, recursos humanos, entre otros temas), pero están ahí para, primero, monitorear que estas decisiones se tomen correctamente y de conformidad con las normas vigentes, segundo, para proporcionar asesoramiento en relación con estas decisiones, y tercero, informar sobre los resultados de esta toma de decisiones.
La gestión de riesgos de la Línea 2 es un aliado de la auditoría interna, pues ambas áreas están interesadas en el perfil de riesgo de la organización y en mejorar la gestión del riesgo.
Además del modelo de tres líneas del Instituto de Auditores Internos global, la norma ISO 37000: 2021 – Gobierno organizacional adopta un enfoque similar recomendando que la autoridad que ejerce labores de gobierno obtenga garantía teniendo en cuenta:
- Verificaciones directas
- Dirigir informes y sesiones privadas con gestión de riesgos y gestión de cumplimiento como funciones de control independientes
- Dirigir informes y sesiones privadas con auditoría interna como proveedor independiente de Aseguramiento: incluida la cobertura de la eficacia de los procesos de gestión de riesgos y gestión del cumplimiento
Aunque puede haber conceptos diferentes, en la práctica pareciera que la auditoría interna de la línea 3, en ausencia de un área de gestión de riesgos separada de la línea 2, asume gran parte de la función de asesoramiento de gestión de riesgos.
En algunas organizaciones, se combinan el asesoramiento en gestión de riesgos y la auditoría interna: la misma persona es tanto el director de riesgos como el director ejecutivo de auditoría. Este requiere cierta habilidad por parte del titular de estas responsabilidades duales, ya que para algunas de sus funciones se reporta a la dirección ejecutiva y para otras se informa a la junta (comité de auditoría).
Tener ambos roles combinados es a veces necesario en organizaciones pequeñas donde hay presupuestos limitados y recursos insuficientes para tener dos funciones separadas. Pero, esto rara vez se hace en los servicios financieros y otras organizaciones donde existe una función de gestión de riesgos grande y activa. Las organizaciones muy grandes y complejas pueden incluso tener múltiples áreas especializadas de asesoramiento en gestión de riesgos.
Normalmente el director de riesgos y el director ejecutivo de auditoría son personas diferentes. Cuando ambas áreas están ubicadas conjuntamente, es necesario gestionar el conflicto de interés. Para este efecto se debe:
- Tener claro cuáles son los roles de gestión de la línea 1 y cuáles son los roles de la línea 2 respecto de la gestión de riesgos. Debe recordarse que la gestión de riesgos proporciona asesoramiento, no toma decisiones.
- Diferenciar cuáles son los roles de gestión de riesgos de la línea 2 y cuáles son los roles de la auditoría interna de la línea 3.
- Proporcionar salvaguardias, como la claridad de las líneas jerárquicas y la revisión independiente de la gestión de riesgos. Si bien la auditoría interna puede asumir las funciones de supervisión y asesoramiento de la gestión de riesgos, no pueden revisar la función de gestión de riesgos, y esto no debería realizarse de forma independiente.
La auditoría interna y la gestión de riesgos son disciplinas separadas, pero ambas son actividades esenciales de aseguramiento. La auditoría interna se posiciona fuera de la estructura de gestión, mientras que la gestión de riesgos informa directamente a la estructura de gestión. Ahora bien, a veces surge la inquietud acerca de la conveniencia de separar la auditoría interna de la gestión de riesgos. Algunas consideraciones para tener en cuenta al respecto:
- Si una organización es lo suficientemente grande, no hay argumentos convincentes para separar la auditoría interna y la gestión de riesgos.
- La decisión de separar la auditoría interna y la gestión de riesgos no debe dejarse solo en manos de la dirección, debería tomarse con el consentimiento de la junta o Comité de auditoría.
- Cuando una organización tiene un comité de auditoría y un comité de gestión de riesgos separados, las dos actividades deben permanecer separadas.
- La evaluación del desempeño ejecutivo del jefe de auditoría debe ser impulsada por el comité de auditoría y no por la gerencia.
Aunque pueda haber ventajas y desventajas en mantener la gestión de riesgos y la auditoría interna separadas no existe una decisión final al respecto, puesto que corresponde a las circunstancias propias de cada organización individualmente considerada. Esto debe ser tenido en cuenta por el auditor que deba enfrentarse a esta situación.