Académique Documents
Professionnel Documents
Culture Documents
Roles Recomendados
Los principales factores que los DEAs deben tomar en cuenta cuando determinen
el rol de auditoría interna son si la actividad representa alguna amenaza sobre la
independencia y objetividad del auditor interno, y si podría mejorar los procesos
de gestión de riesgo, control y gobierno de la organización. El documento de
declaración de posición del IIA indica, cuales roles la auditoría interna no debe
ejercer en el proceso de ERM.
El Instituto enfatiza que las organizaciones deben entender completamente que la gerencia
mantiene la responsabilidad de la gestión de riesgo. Los auditores internos deben proveer
consejo, y motivar o soportar las decisiones gerenciales sobre riesgos, en vez de realizar
decisiones sobre gestión de riesgo. La naturaleza de las responsabilidades de auditoría
interna debe estar documentada en los estatutos de auditoría y ser aprobada por el comité
de auditoría.
Uno de los requerimientos claves de la junta o sus La auditoría interna es una actividad independiente,
equivalentes es obtener aseguramiento de que el objetiva de aseguramiento y consulta. Su rol principal
procesos de gestión de riesgo está trabajando con relación al ERM es proveer aseguramiento objetivo
efectivamente y que los riesgos claves están siendo a la junta sobre la efectividad de la gestión de riesgo.
manejados en niveles aceptables. Igualmente, investigaciones han demostrado que la
junta de directores y los auditores internos están de
Es posible que el aseguramiento provenga de diferentes acuerdo que las dos formas más importantes en que la
fuentes. De estas, el aseguramiento de la gerencia es auditoría interna provee valor a la organización es
fundamental. Este debe ser complementado con el brindando aseguramiento objetivo de que los principales
proveer aseguramiento de forma objetiva, para lo cual riesgos de negocio están siendo manejados
auditoría interna es una fuente clave. Otras fuentes apropiadamente y proveyendo aseguramiento de que la
incluyen a los auditores externos y revisiones de gestión de riesgo y el marco de control interno están
especialistas independientes. La Auditoría interna operando efectivamente(1).
provee aseguramiento normalmente en tres áreas:
La Figura 1 presenta el rango de las actividades de
ERM e indica cuales roles una función de auditoría
Procesos de gestión de riesgos, tanto en su diseño
interna profesional efectiva debe hacer e, igualmente
y como qué tan bien están trabajando;
importante que no debe realizar. Los factores claves
Gestión de aquellos riesgos clasificados como
que deben ser tomados en consideración cuando se
“claves”, incluyendo efectividad de los controles y
determina el rol de auditoría interna son, si la actividad
otras respuestas a éstos; y
representa alguna amenaza a la independencia y
Confiabilidad y evaluaciones apropiadas de riesgos
objetividad de la función de auditoría interna, y si podría
y reportes de riesgo y estatus de controles.
mejorar los procesos de gestión de riesgo, control y
gobierno de la organización.
Roles principales de la auditoría Roles legítimos de auditoría Roles que auditoría interna
interna respecto al ERM interna realizados con salvaguarda no debe realizar
Las actividades de la izquierda de la Figura 1 son todas tenga rol, actualmente, en la gestión de riesgos - esa es una
actividades de aseguramiento. Ellas forman parte del objetivo responsabilidad de la gerencia - y mientras la alta dirección
amplio de dar aseguramiento sobre la gestión de riesgo. Una endose y apoye el ERM. Nosotros recomendamos, que cada
función de auditoría interna cumpliendo con las Normas para vez que auditoría interna actue ayudando al equipo gerencial
el Ejercicio Profesional de la Auditoría Interna puede y debe en el establecimiento y mejora de los procesos de gestión de
realizar por los menos algunas de estas actividades. riesgo, su plan de trabajo debe incluir una estrategia clara y un
tiempo asignado para transferir la responsabilidad de estas
La auditoría interna puede proveer servicios de aseguramiento actividades a los miembros del equipo gerencial.
que mejoren los procesos de gobierno, gestión de riesgos y
control de la organización. El alcance de la consultoría de Salvaguardas
auditoría interna en ERM depende de otros recursos, internos La auditoría interna puede ampliar su participación en el ERM,
y externos, disponibles para la junta y de la madurez del como se muestra en la Figura 1, aplicando ciertas
riesgo (2) de la organización y su posibilidad de variar en el condiciones. Estas condiciones son:
tiempo. La experiencia del auditor interno en consideraciones
de riesgos, en entendimiento de la conexión entre riesgo y Debe estar claro que la gerencia mantiene la
gobierno y en facilitación demuestra que está bien calificado responsabilidad de la gestión de riesgo.
para actuar como defensor y hasta como gerente del proyecto La naturaleza de la responsabilidad de auditoría interna
de ERM, especialmente en la etapa inicial de su introducción. debe ser documentada en los estatutos de auditoría y
Cuando incrementa la madurez de riesgo en la organización y aprobado por el Comité de Auditoría (3).
la gestión de riesgo se encaja más en las operaciones del Auditoría interna no debe gestionar ningún riesgo en favor
negocio, el rol de auditoría interna de defensor de ERM se de la gerencia.
puede reducir. Similarmente, si la organización emplea los Auditoría interna debe proveer consejo, motivar y soportar
servicios de un especialista o posee una función de gestión de las decisiones realizada por la dirección, en vez de tomar
riesgo, auditoría interna podría agregar mayor valor a través decisiones de riesgo por ellos mismos.
de concentrarse en su rol de aseguramiento, en vez de Auditoría interna tampoco puede brindar aseguramiento
realizar mayores actividades de consultoría. Sin embargo, si objetivo en ninguna parte del marco de ERM de la cual es
auditoría interna no ha adoptado todavía el enfoque basado responsable. Tal aseguramiento debe ser provisto por
en riesgo representado por las actividades de aseguramiento otra parte sustancialmente calificada(4). .
en la izquierda de la Figura 1, no podría estar equipado para Cualquier trabajo más allá de las actividades de
realizar las actividades de consultoría del centro. aseguramiento debe reconocerse como una asignación
Rol de Consultoría de consultoría y la implementación de normas relativas a
El centro de la Figura 1 presenta el rol de consultoría que la tales asignaciones deben seguirse(5). .
auditoría interna puede realizar en relación con el ERM. En
general, mientras más a la derecha del cuadro se aventure el Destrezas y cuerpo de conocimientos
auditor, mayores deben de ser las salvaguardadas que son
requeridas para asegurarse que la objetividad e Los auditores internos y gerentes de riesgo comparten
independencia son mantenidas. Algunos de los roles de algunos conocimientos, destrezas y valores. Ambos, por
consultoría que auditoría interna puede realizar son: ejemplo, conocen sobre requerimientos de gobierno
corporativo, poseen destrezas de manejo de proyectos,
Poner a disponibilidad de la gerencia herramientas y
analíticas y de facilitación y tienen valores de crear un balance
técnicas usadas por auditoría interna para analizar
saludable de riesgo en vez de tomar riesgos extremos o
riesgos y controles;
comportamiento evasivo. Sin embargo, los gerentes de riesgo
Ser un defensor de la introducción de ERM en la
como solamente brindan servicio a la dirección de la
organización, aportando su experiencia en gestión de
organización y no tienen que proveer aseguramiento
riesgo y conocimientos de la organización;
independiente y objetivo al comité de auditoría. Tampoco
Proveyendo consejo, facilitando talleres, entrenando en la
debe el auditor interno que busque ampliar su rol en el ERM
organización sobre riesgos y controles, y promoviendo el
subestimar el conocimiento especializado de los gerentes de
desarrollo de un lenguaje, marco y entendimiento común:
riesgo (tales como transferencia de riesgo, calificación de
Actuando como punto central de la coordinación,
riesgos y técnicas de modelos), las cuales están fuera del
monitoreo y reporte sobre riesgos; y
cuerpo de conocimientos de la mayoría de los auditores
Apoyando a la gerencia en su trabajo a través de
internos. Ningún auditor interno que no pueda demostrar las
identificar mejores vías para mitigar un riesgo.
destrezas y conocimientos apropiados debe realizar trabajos
El factor clave en la decisión sobre si los servicios de en el área de gestión de riesgo. Aun más, la cabeza de
consultoría son compatibles con el rol de aseguramiento es auditoría interna no debe proveer servicios de consultoría en
el determinar si el auditor interno esta asumiendo alguna esta área si las destrezas y conocimientos dentro de la función
responsabilidad gerencial. En el caso de ERM, la auditoría de auditoría interna no se encuentran disponibles y no se
interna puede proveer servicios de consultoría mientras no pueden obtener de otra parte (6). .
(1) La Agenda de Valor, Institute of Internal Auditors – RU e Irlanda y Deloitte & Touche 2003 (2) Declaración de Posición Sobre Auditoría Interna Basada en Riesgo del IIA, RU e Irlanda 2003
(3) Norma Sobre Atributos 1000.C1 (4) Norma Sobre Atributos 1130 (5) Normas Sobre Desempeño 2010,C1, 2110.C1 & C2, 2120.C1 & C2, 2130.C1, 2201.C1, 2210.C1, 2220.C1, 2240.C1, 2330.C1,
2410.C1, 2440.C1 & C2 and 2500.C1 (6) Norma Sobre Atributos 1210
Declaración de Posición:
Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial
Conclusión Control: Cualquier medida que tome la dirección, el
Consejo y otras partes, para gestionar los riesgos y
La Gestión de riesgo es un elemento fundamental del aumentar la probabilidad de alcanzar los objetivos y
gobierno corporativo. La gerencia es responsable de metas establecidos. La dirección planifica, organiza y
establecer y operar el marco de gestión de riesgo con dirige la realización de las acciones suficientes para
el favor de la junta. La gestión de riesgo brinda muchos proporcionar una seguridad razonable de que se
beneficios como resultado de su enfoque estructurado, alcanzarán los objetivos y metas.
consistente y coordinado. El rol principal de la auditoría Empresa : Cualquier organización establecida para
interna en relación al ERM debe ser proveer alcanzar objetivos determinados.
aseguramiento a la dirección y la junta sobre la
efectividad de la gestión de riesgo. Cuando la auditoría Gestión de Riesgo Empresarial (ERM): Es un proceso
interna extiende sus actividades más allá de este rol estructurado, consistente y continuo a través de toda la
principal, deben aplicarse ciertas salvaguardas, organización para identificar, evaluar, decidir respuesta
incluyendo considerar la asignación como servicios de y reportar sobre oportunidades y amenazas que afectan
consultoría y, por lo tanto, aplicar todas las normas el logro de sus objetivos.
relevantes. De esta forma, la auditoría interna protege Facilitación: Trabajar con un grupo (o individuo) para
su independencia y objetividad de sus servicios de hacer más fácil al grupo (o al individuo) el logro de los
consultoría. Dentro de estas restricciones, el ERM objetivos o actividad que el grupo ha acordado alcanzar.
puede ayudar a subir el perfil e incrementar la Esto envuelve escuchar, retar, observar, cuestionar y
efectividad de la auditoría interna. apoyar el grupo y sus miembros. No envuelve el hacer
el trabajo o tomar decisiones.
Glosario de Términos Riesgo: La posibilidad de que ocurra un acontecimiento
que tenga un impacto en el alcance de los objetivos. El
Servicios de Aseguramiento: Un examen objetivo de riesgo se mide en términos de impacto y probabilidad.
evidencias con el propósito de proveer una evaluación
independiente de los procesos de gestión de riesgos, Apetito de Riesgo: el nivel de riesgo que es aceptable
control y gobierno de una organización. Por ejemplo: para la junta o la dirección. Este puede ser establecido
trabajos financieros, de desempeño, de cumplimiento, en relación a la organización como un todo, para
de seguridad de sistemas y de due diligence. diferentes grupos de riesgos o en un nivel de riesgo
individual.
Consejo: El término Consejo se refiere al cuerpo de
gobierno de una organización, tal como el consejo de Marco de gestión de riesgo: Totalidad de estructuras,
administración, el consejo de supervisión, el metodologías, procedimientos y definiciones que la
responsable de un organismo o cuerpo legislativo, el organización ha seleccionado para usar en la
comité o miembros de la dirección de una organización implementación de su proceso de gestión de riesgos.
sin ánimo de lucro, o cualquier otro órgano de gobierno
Proceso de Gestión de Riesgos: Un proceso para
designado por la organización, a quien pueda reportar
identificar, evaluar, manejar y controlar acontecimientos
funcionalmente el director ejecutivo de auditoría.
o situaciones potenciales, con el fin de proporcionar un
Servicios de Consultoría: Actividades de aseguramiento razonable respecto del alcance de los
asesoramiento y servicios relacionados, proporcionadas objetivos de la organización.
a los clientes, cuya naturaleza y alcance estén
Madurez del riesgo: Extensión a través de la cual ha
acordados con los mismos y estén dirigidos a añadir
sido adoptado y aplicado un enfoque robusto de gestión
valor y a mejorar los procesos de gobierno, gestión de
de riesgo, planificado por la dirección a través de la
riesgos y control de una organización, sin que el auditor
organización para identificar, evaluar, decidir la
interno asuma responsabilidades de gestión. Algunos
respuesta y reportar oportunidades y amenazas que
ejemplos de estas actividades son el consejo, el
afectan el alcanzar los objetivos de la organización.
asesoramiento, la facilitación y la entrenamiento.
Respuestas a riesgos: Los medios a través del cual
Defensor: Aquel quién apoya y defiende una persona o
la organización decide gestionar riesgos individuales.
causa. Por lo tanto, un defensor de la gestión de riesgo
Las principales categorías son: tolerar el riesgo; tratar el
promoverá sus beneficios, educará a la dirección de la
mismo reduciendo su impacto o posibilidad; transferirlo
organización y miembros sobre las acciones que ellos
a otra organización o terminar la actividad que lo
necesitan realizar para su implementación y los animará
origina. Los controles internos son una forma de tratar
y apoyará en la realización de esas acciones.
un riesgo.
Declaración de Posición:
Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial
Otras Lecturas
Si usted desea conocer más acerca del tema de gestión de riesgo las siguientes publicaciones podrían ser de interés para usted:
The Complete Guide to Business Risk Management por Kit Sadgrove Gower
Operational Risk and Resilience: Understanding and minimising operational risk Butterworth Heinemann
to secure shareholder value por PriceWaterhouseCoopers
Embedding Risk Management into the Culture of your organization - IIA - RU e Irlanda
Professional Briefing Note 2003
Managing business risk – Adam Jolly IOD, Ernst & Young and Kogan Page
Risk management for company executives – John Smullen Pearson Education and Financial Times Prentice Hall
Enterprise Risk Management: Trends & Emerging Practices – Miccolis, Hively y Merkley IIA Research Foundation
Enterprise Risk Management: Pulling it All Together – Walker, Shenkir y Barton IIA Research Foundation
www.alarm-uk.com National Forum for Risk Management in the Public Sector (ALARM)
Establecido en el 1941, The Institute of Internal Auditors La Declaración de Posición es parte de un grupo de
es una asociación profesional con su sede principal en guías técnicas y profesionales preparada por el Instituto
Altamonte Springs, Florida, USA. El IIA tiene más de para sus miembros. Ellas están diseñadas para aclarar
95,000 miembros en auditoría interna, gobierno, control la posición política oficial del IIA sobre asuntos
interno, auditoría de TI, educación y seguridad. Con importantes o potencialmente complejos que enfrentan
representación en más de 160 países. El Instituto es la los auditores internos.
autoridad reconocida, principal educador y líder en
certificación, investigación y guía tecnológica para la Para detalles de otros materiales provistos por el
profesión a nivel mundial. Instituto, favor visitar nuestro sitio web, www.theiia.org.
Copyright Aclaración
Los derechos de la Declaración de Posición son Esta guía técnica no pretende proveer respuesta
manejados de forma conjunta. Para permiso de definitivas a circunstancias individuales específicas y
reproducción en RU e Irlanda, favor contactar al IIA-RU solo pretende ser usada como una guía. El Instituto
e Irlanda. Para permiso de reproducción en otra parte, recomienda siempre que busque asesoría de un
favor contactar a The Institute of Internal Auditors experto en relación directa a cualquier situación
issues@theiia.org. específica. El Instituto no acepta ninguna
responsabilidad de cualquiera que ponga confianza
única en esta guía técnica.
www.iia.org.uk www.theiia.org
Institute of Internal Auditors – UK and Ireland Ltd The Institute of Internal Auditors
13 Abbeville Mews, 88 Clapham Park Road, London SW4 7BX UK 247 Maitland Avenue, Altamonte Springs, Florida 32701, USA
Telephone +44 (0) 20 7498 0101 Telephone +1-407-937-1100
Fax +44 (0) 20 7978 2492 Fax +1-407-937-1101
Email technical@iia.org.uk Email issues@theiia.org
© September 2004