Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

CAPITULO 3: Auditoría interna y la administración de riesgo empresarial

(E.R.M.)1
Preguntas y cuestionamientos
¿Por qué se ha vuelto tan importante el gobierno corporativo en todas las áreas de la
administración y la Gestión de Riesgos?
El gobierno corporativo se ha vuelto tan importante en todas las áreas de la administración y la
gestión de riesgos debido a varios factores:
1. Transparencia y rendición de cuentas: El gobierno corporativo promueve la transparencia
en la toma de decisiones y en la divulgación de información financiera y no financiera. Esto
permite a los inversores, accionistas y otras partes interesadas evaluar la gestión de la
empresa y tomar decisiones informadas. Además, el gobierno corporativo establece
mecanismos de rendición de cuentas, asegurando que los directivos y administradores sean
responsables de sus acciones y decisiones.
2. Protección de los intereses de los accionistas y partes interesadas: El gobierno corporativo
busca proteger los derechos e intereses de los accionistas y otras partes interesadas, como
empleados, proveedores y clientes. Esto se logra a través de la implementación de prácticas
de gobernanza que aseguran una gestión eficiente y ética de la empresa, evitando conflictos
de intereses y promoviendo la equidad en el trato a todas las partes involucradas.
3. Gestión de riesgos: El gobierno corporativo está estrechamente relacionado con la gestión
de riesgos. Un buen gobierno corporativo establece estructuras y procesos para identificar,
evaluar y mitigar los riesgos a los que se enfrenta la empresa. Esto incluye la
implementación de controles internos efectivos, la supervisión de la gestión de riesgos y la
rendición de cuentas en caso de incumplimientos.
4. Mejora del desempeño y la sostenibilidad: Un gobierno corporativo adecuado contribuye a
mejorar el desempeño y la sostenibilidad de la empresa. Al establecer una estructura de
gobernanza clara y eficiente, se fomenta la toma de decisiones estratégicas y la gestión
efectiva de los recursos. Esto permite a la empresa adaptarse a los cambios del entorno,
minimizar los riesgos y aprovechar las oportunidades de manera sostenible

• ¿Qué procedimientos para identificar los riesgos se han implementado en las empresas
públicas y privadas?
En las empresas públicas y privadas se han implementado diversos procedimientos para identificar
los riesgos. Algunos de los procedimientos comunes incluyen:
1. Análisis de riesgos: Se realiza un análisis exhaustivo de los diferentes procesos y
actividades de la empresa para identificar los posibles riesgos asociados. Esto implica
identificar las amenazas potenciales, evaluar su impacto y probabilidad de ocurrencia, y
determinar las medidas de mitigación necesarias.
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

2. Evaluación de riesgos: Se evalúa la magnitud de los riesgos identificados, considerando

factores como la probabilidad de ocurrencia, el impacto potencial y la capacidad de la
empresa para gestionarlos. Esto permite priorizar los riesgos y asignar recursos adecuados
para su gestión.
3. Consulta a expertos: Se busca la opinión y el conocimiento de expertos en diferentes áreas
de la empresa para identificar riesgos específicos relacionados con su campo de
experiencia. Esto puede incluir consultores externos, profesionales internos especializados
o comités de gestión de riesgos.
4. Revisión de incidentes pasados: Se analizan los incidentes y problemas que han ocurrido en
el pasado para identificar los riesgos subyacentes y las causas raíz. Esto ayuda a prevenir la
repetición de situaciones similares y fortalecer los controles internos.
5. Benchmarking: Se realiza una comparación con otras empresas del mismo sector o industria
para identificar los riesgos comunes y las mejores prácticas en la gestión de riesgos. Esto
permite aprender de las experiencias de otras organizaciones y mejorar la identificación de
riesgos propios.
6. Participación de los empleados: Se fomenta la participación activa de los empleados en la
identificación de riesgos, ya que son quienes conocen mejor los procesos y actividades
diarias de la empresa. Se pueden utilizar encuestas, entrevistas o grupos de trabajo para
recopilar sus perspectivas y conocimientos

• ¿Por qué se han tenido que especializarse en la Administración de Riesgo tanto las
auditorías interna y externa?
Las auditorías internas y externas se han tenido que especializar en la Administración de Riesgo
debido a la creciente importancia que ha adquirido la gestión de riesgos en las organizaciones.
En primer lugar, la identificación y gestión de riesgos se ha convertido en una parte integral de la
gobernanza corporativa y la gestión empresarial. Las empresas enfrentan una amplia gama de
riesgos en sus operaciones, incluyendo riesgos financieros, operativos, estratégicos, legales,
tecnológicos y reputacionales. La gestión efectiva de estos riesgos es fundamental para proteger los
activos de la empresa, garantizar la continuidad del negocio y lograr los objetivos estratégicos.
En segundo lugar, la complejidad y la volatilidad del entorno empresarial han aumentado
significativamente en las últimas décadas. Las empresas se enfrentan a rápidos cambios en los
mercados, avances tecnológicos, regulaciones más estrictas y una mayor interconexión global. Estos
factores han generado nuevos y más complejos riesgos que requieren una atención especializada
para su identificación, evaluación y gestión.
Además, las auditorías internas y externas desempeñan un papel clave en la evaluación de los
controles internos y la efectividad de los sistemas de gestión de riesgos de una organización. Estas
auditorías proporcionan una evaluación independiente y objetiva de los procesos de gestión de
riesgos, identificando posibles deficiencias y recomendando mejoras.
En resumen, la especialización en la Administración de Riesgo por parte de las auditorías internas y
externas es necesaria para adaptarse a un entorno empresarial cada vez más complejo y
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

riesgoso. Esto les permite brindar un enfoque más completo y efectivo en la identificación y gestión
de riesgos, contribuyendo así a la protección y el éxito de las organizaciones

• ¿Qué son la IFAC y el IIA?

La IFAC (Federación Internacional de Contadores, por sus siglas en inglés) es una organización
global que representa a la profesión contable a nivel internacional. Fue fundada en 1977 y tiene
como objetivo promover la adopción de estándares y prácticas contables de alta calidad, así como
fortalecer la profesión contable en todo el mundo. La IFAC establece normas internacionales de
auditoría, ética y educación, entre otras áreas, y trabaja en colaboración con sus miembros y otras
partes aceptadas para promover la transparencia, la integridad y la confianza en la información
financiera.
El IIA (Instituto Internacional de Auditores Internos) es una organización profesional global que
representa a los auditores internos. Fue fundado en 1941 y tiene como objetivo promover la práctica
de la auditoría interna y mejorar la profesión a nivel mundial. El IIA emite normas internacionales
para el ejercicio profesional de la auditoría interna, proporciona recursos y capacitación para los
profesionales de la auditoría interna, y promueve la importancia de la auditoría interna en la
gobernanza corporativa y la gestión de riesgos. El IIA también establece un código de ética para los
auditores internos y promueve la adhesión a estándares y mejores prácticas en la profesión.
En resumen, la IFAC es una organización que representa a la profesión contable a nivel
internacional, mientras que el IIA es una organización que representa a los auditores
internos. Ambas organizaciones emiten normas y promueven la excelencia en sus respectivas áreas
de especialización

• ¿Específicamente la auditoría interna, cómo contribuye a la gestión de riesgo?

La auditoría interna contribuye a la gestión de riesgos de varias maneras:
1. Evaluación de controles internos: La auditoría interna evalúa la efectividad de los controles
internos existentes en la organización para mitigar los riesgos identificados. Esto implica
revisar los procesos, políticas y procedimientos de la empresa y determinar si están
diseñados y operan de manera adecuada para prevenir o detectar riesgos.
2. Identificación de riesgos: La auditoría interna participa en la identificación de riesgos a
través de la realización de auditorías y revisión de los diferentes procesos y áreas de la
organización. Esto implica analizar los riesgos potenciales asociados con las actividades de
la empresa y proporcionar recomendaciones para su mitigación.
3. Monitoreo y seguimiento: La auditoría interna realiza un monitoreo continuo de los riesgos
identificados y las medidas de mitigación implementadas. Esto implica realizar pruebas y
evaluaciones periódicas para asegurarse de que los controles internos sigan siendo efectivos
y de que se estén abordando adecuadamente los riesgos.
4. Asesoramiento y consultoría: La auditoría interna brinda asesoramiento y consultoría a la
alta dirección ya los diferentes niveles de la organización en relación con la gestión de
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

riesgos. Esto implica proporcionar recomendaciones y mejores prácticas para mejorar los
procesos y controles internos, así como para abordar los riesgos identificados.
5. Educación y capacitación: La auditoría interna puede desempeñar un papel importante en la
educación y capacitación de los empleados en relación con la gestión de riesgos. Esto
implica proporcionar información y recursos para aumentar la conciencia y el conocimiento
sobre los riesgos y las medidas de mitigación.
En resumen, la auditoría interna contribuye a la gestión de riesgos al evaluar los controles internos,
identificar riesgos, monitorear y dar seguimiento a los riesgos, brindar asesoramiento y consultoría,
y educar y capacitar a los empleados. Esto ayuda a fortalecer la capacidad de la organización para
identificar, evaluar y gestionar los riesgos

• ¿Qué es la gestión de riesgo empresarial E.R.M.?

La gestión de riesgo empresarial (ERM) es un proceso estructurado y continuo implementado en
toda la organización para identificar, evaluar, medir y reportar las amenazas y oportunidades que
afectan la capacidad de la empresa para alcanzar sus objetivos. Consiste en identificar los riesgos
potenciales que enfrenta la organización en diferentes áreas, como riesgos financieros, operativos,
estratégicos, legales, tecnológicos y reputacionales, y desarrollar estrategias y medidas para
mitigarlos.
La gestión de riesgo empresarial busca alinear el apetito por el riesgo de la organización con su
estrategia, vincular el crecimiento con el riesgo y el retorno, tomar decisiones informadas sobre la
respuesta al riesgo, minimizar sorpresas y pérdidas operacionales, identificar y administrar los
riesgos de impacto, proporcionar respuestas integradas para múltiples riesgos, evaluar
oportunidades y racionalizar el capital.
Este enfoque de gestión de riesgo empresarial ayuda a las organizaciones a operar de manera más
efectiva en entornos llenos de riesgos, mejorando la toma de decisiones, previniendo fraudes,
minimizando pérdidas y manteniendo la reputación corporativa.
La gestión de riesgos empresariales es respaldada por organizaciones como la Federación
Internacional de Contadores (IFAC) y el Instituto de Auditores Internos (IIA), que emiten guías y
estándares para promover su implementación y asegurar la adhesión a las mejores prácticas en la
gestión de riesgos.

• ¿Quiénes son los responsables principales del E.R.M.?

Los responsables principales del ERM son la junta directiva o consejo de administración y la alta
gerencia de la organización. La junta directiva tiene la responsabilidad de asegurarse de que los
riesgos son gestionados adecuadamente, mientras que la alta gerencia es responsable de
implementar y operar el marco de gestión de riesgos. La junta directiva puede delegar en la alta
gerencia la responsabilidad de identificar y manejar los riesgos, pero sigue siendo responsable de
supervisar y asegurarse de que se estén tomando las medidas adecuada
• ¿Cuáles son los principales beneficios, según la declaración del Instituto de Auditores
Internos de RU e Irlanda, en la aplicación del E.R.M.?
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

Según la declaración del Instituto de Auditores Internos de RU e Irlanda, los principales beneficios
de la aplicación del ERM son los siguientes:
1. Mayor posibilidad de alcanzar los objetivos de la organización.
2. Consolidación de los informes de riesgos a nivel de la junta directiva.
3. Mayor comprensión de los riesgos clave y sus implicaciones más amplias.
4. Identificación y partición de riesgos en toda la organización.
5. Mayor enfoque de la gerencia en asuntos que realmente importan.
6. Menos sorpresas y crisis.
7. Mayor enfoque interno en hacer lo correcto de la manera correcta.
8. Incremento de la posibilidad de lograr cambios e iniciativas.
9. Capacidad de asumir mayores riesgos por mayores recompensas.
10. Mayor información sobre los riesgos tomados y las decisiones tomadas.
Estos beneficios demuestran cómo la implementación del ERM puede mejorar la capacidad de la
organización para gestionar los riesgos y alcanzar sus objetivos de manera más efectiva

• De la misma declaración anterior, ¿qué actividades se deben seguir en el E.R.M.?

Según la declaración del Instituto de Auditores Internos de RU e Irlanda, las actividades que se
deben seguir en el ERM son las siguientes:
1. Articulación y comunicación de los objetivos de la organización.
2. Determinación del apetito de riesgo de la organización.
3. Establecimiento de un ambiente interno apropiado, incluyendo un marco de gestión de
riesgos.
4. Identificación y evaluación de riesgos.
5. Entrenamiento a la gerencia sobre respuestas y riesgos.
6. Coordinación de actividades de ERM
7. Consolidación de informes sobre riesgos.
8. Mantenimiento y desarrollo del marco de ERM
9. Desarrollo de estrategia de gestión de riesgo para aprobación de la Junta.
10. Facilitación, identificación y evaluación de riesgos.
11. Establecer el apetito de riesgo.
12. Imponer procesos de gestión de riesgos.
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

13. Manejar el aseguramiento sobre los riesgos.

14. Tomar decisiones en respuestas a los riesgos.
15. Implementar respuestas a los riesgos a favor de la administración.
Estas actividades son fundamentales para implementar y mantener un enfoque efectivo de gestión
de riesgos en la organización

• ¿Cúal es el principal fundamento clave relacionado con el E.R.M. por parte de la junta
directiva o consejo de administración?
El principal fundamento clave relacionado con el ERM por parte de la junta directiva o consejo de
administración es asegurarse de que los riesgos son gestionados adecuadamente en la
organización. La junta directiva tiene la responsabilidad de supervisar y garantizar que se
implementen medidas efectivas para identificar, evaluar, medir y reportar los riesgos que afectan la
capacidad de la empresa para alcanzar sus objetivos. Esto implica establecer un ambiente interno
propicio para la gestión de riesgos, establecer políticas y estrategias de gestión de riesgos, y tomar
decisiones informadas sobre la respuesta al riesgo.
• ¿Cómo participa la auditoría interna por apoyo a la gerencia para proveer
aseguramiento en forma objetiva?
La auditoría interna participa en el apoyo a la gerencia para proveer aseguramiento en forma
objetiva a través de las siguientes acciones:
1. Proporcionando asesoramiento y recomendaciones para mejorar los procesos de gestión de
riesgos y control en la organización. Esto implica brindar conocimientos y herramientas
utilizadas por la auditoría interna para analizar riesgos y controles, y facilitar talleres y
entrenamientos sobre riesgos y controles en la organización.
2. Actuando como defensor de la introducción del ERM en la organización, aportando su
experiencia en gestión de riesgos y conocimientos de la organización. Esto implica
promover el desarrollo de un lenguaje, marco y entendimiento común sobre la gestión de
riesgos.
3. Coordinando, monitoreando y reportando sobre los riesgos en la organización. La auditoría
interna puede desempeñar un papel central en la recopilación y consolidación de
información sobre riesgos, así como en la identificación de mejores prácticas para mitigar
los riesgos.
4. Apoyando a la gerencia en su trabajo al identificar mejores formas de mitigar los
riesgos. La auditoría interna puede brindar consejos y recomendaciones basadas en su
experiencia y conocimientos en gestión de riesgos.
Es importante destacar que la auditoría interna debe mantener su independencia y objetividad al
brindar este apoyo a la gerencia. Debe quedar claro que la responsabilidad de la gestión de riesgos
recae en la gerencia y que la auditoría interna está proporcionando aseguramiento objetivo y
asesoramiento, pero no asumiendo responsabilidades gerenciales.
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

• ¿En qué áreas normalmente provee aseguramiento la auditoría interna?

La auditoría interna normalmente proporciona aseguramiento en las siguientes áreas:
1. Gobierno corporativo: La auditoría interna evalúa la efectividad de las estructuras de
gobierno corporativo y el cumplimiento de las políticas y regulaciones aplicables. También
puede evaluar la ética y la integridad en la organización.[3]
2. Gestión de riesgos: La auditoría interna evalúa la efectividad de los procesos de gestión de
riesgos en la organización, incluyendo la identificación, evaluación y mitigación de
riesgos. También puede evaluar la efectividad de los controles internos para gestionar los
riesgos.[3]
3. Control interno: La auditoría interna evalúa la efectividad de los controles internos en la
organización, incluyendo los controles financieros, operativos y de cumplimiento. Esto
implica revisar los procesos y procedimientos para asegurar que se están siguiendo
adecuadamente y que están diseñados para mitigar los riesgos identificados.[2]
4. Cumplimiento normativo: La auditoría interna evalúa el cumplimiento de las leyes,
regulaciones y políticas internas en la organización. Esto puede incluir la revisión de los
controles y procedimientos implementados para asegurar el cumplimiento de los requisitos
legales y regulatorios.[2]
Estas áreas de aseguramiento son fundamentales para evaluar la efectividad de los procesos de
gobierno, gestión de riesgos y control en la organización
• ¿Qué actividades independientes ejecuta principalmente la auditoría interna?
La auditoría interna ejecuta principalmente las siguientes actividades independientes:
1. Evaluación de riesgos: La auditoría interna realiza evaluaciones de riesgos para identificar y
evaluar los riesgos que enfrenta la organización. Esto implica analizar los procesos,
controles y actividades de la organización para determinar la probabilidad e impacto de los
riesgos y recomendar acciones para mitigarlos.
2. Pruebas de control: La auditoría interna realiza pruebas de control para evaluar la
efectividad de los controles internos en la organización. Esto implica revisar y evaluar los
controles implementados para asegurar que están funcionando adecuadamente y
cumpliendo con los objetivos establecidos.
3. Auditorías de cumplimiento: La auditoría interna realiza auditorías de cumplimiento para
evaluar el cumplimiento de las leyes, regulaciones y políticas internas en la
organización. Esto implica revisar los procesos y procedimientos implementados para
asegurar que se están siguiendo adecuadamente y que se están cumpliendo los requisitos
legales y regulatorios.
4. Investigaciones de fraudes e irregularidades: La auditoría interna realiza investigaciones de
fraudes e irregularidades para detectar y prevenir actividades fraudulentas o no éticas en la
organización. Esto implica examinar registros, entrevistar a empleados y recopilar
evidencia para determinar si se han cometido fraudes o irregularidades y recomendar
acciones correctivas.
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

Estas actividades independientes permiten a la auditoría interna evaluar la efectividad de los

procesos de gestión de riesgos, control interno y cumplimiento en la organización
• ¿Cuál es el rol básico con relación al E.R.M. de la auditoría interna?
El rol básico de la auditoría interna con relación al ERM (Enterprise Risk Management) es el de
brindar aseguramiento objetivo y asesoramiento en la gestión de riesgos en la organización. La
auditoría interna tiene la responsabilidad de evaluar y mejorar la eficacia de los procesos de gestión
de riesgos, así como de proporcionar recomendaciones para mitigar los riesgos identificados.
Según el Instituto de Auditores Internos (IIA), el rol de la auditoría interna en el ERM incluye:
1. Poner a disposición de la gerencia herramientas y técnicas utilizadas por la auditoría interna
para analizar riesgos y controles.
2. Actuar como defensor de la introducción del ERM en la organización, aportando su
experiencia en gestión de riesgos y conocimientos de la organización.
3. Proporcionar consejos, facilitar talleres y entrenamientos sobre riesgos y controles en la
organización, y promover el desarrollo de un lenguaje, marco y entendimiento común.
4. Coordinar, monitorear y reportar sobre los riesgos en la organización.
5. Apoyar a la gerencia en la identificación de mejores formas de mitigar los riesgos.
Es importante destacar que la auditoría interna debe mantener su independencia y objetividad al
desempeñar este rol en el ERM.
• ¿Cuáles son los roles principales de la auditoría interna respecto al I.R.M.?
Los roles principales de la auditoría interna respecto al IRM (Integrated Risk Management) son los
siguientes:
1. Evaluación y mejora de la efectividad del IRM: La auditoría interna tiene la responsabilidad
de evaluar y mejorar la efectividad del IRM en la organización. Esto implica revisar y
evaluar los procesos, controles y actividades relacionadas con la gestión de riesgos para
asegurar que están funcionando adecuadamente y cumpliendo con los objetivos
establecidos.[1]
2. Identificación y evaluación de riesgos: La auditoría interna colabora en la identificación y
evaluación de los riesgos en la organización. Esto implica analizar los procesos y
actividades de la organización para determinar los riesgos potenciales y su impacto en los
objetivos de la organización.[2]
3. Monitoreo y reporte de riesgos: La auditoría interna tiene la responsabilidad de monitorear
y reportar sobre los riesgos en la organización. Esto implica mantener un seguimiento
continuo de los riesgos identificados, evaluar su evolución y proporcionar informes
periódicos a la alta dirección ya la junta directiva.[3]
4. Asesoramiento en la implementación del IRM: La auditoría interna puede brindar
asesoramiento y apoyo en la implementación del IRM en la organización. Esto implica
proporcionar orientación sobre las mejores prácticas en la gestión de riesgos, ayudar en el
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

diseño e implementación de políticas y procedimientos, y capacitar al personal en la gestión

de riesgos.[4]
Estos roles permiten a la auditoría interna desempeñar un papel fundamental en la implementación
y mejora del IRM en la organización, asegurando que los riesgos sean identificados, evaluados y
gestionados de manera efectiva

• ¿Cuáles son los roles legítimos de auditoría interna realizados como salvaguarda de
los riesgos?
Los roles legítimos de la auditoría interna realizada como salvaguarda de los riesgos son los
siguientes:
1. Brindar aseguramiento sobre los procesos de gestión de riesgos: La auditoría interna tiene
la responsabilidad de proporcionar aseguramiento objetivo sobre la efectividad de los
procesos de gestión de riesgos en la organización. Esto implica evaluar si los riesgos están
siendo identificados, evaluados y gestionados de manera adecuada y si se están
implementando controles efectivos para mitigarlos.[1]
2. Evaluar la efectividad de los controles internos: La auditoría interna realiza evaluaciones de
los controles internos para asegurar que están funcionando de manera efectiva y
cumpliendo con los objetivos establecidos. Esto implica revisar y evaluar los controles
implementados para mitigar los riesgos y recomendar mejoras cuando sea necesario.[2]
3. Revisar el cumplimiento de las políticas y regulaciones: La auditoría interna realiza revisión
para evaluar el cumplimiento de las políticas internas y regulaciones externas en la
organización. Esto implica revisar los procesos y actividades para asegurar que se están
siguiendo adecuadamente y que se están cumpliendo los requisitos legales y regulatorios.[3]
4. Identificar y evaluar riesgos clave: La auditoría interna tiene la responsabilidad de
identificar y evaluar los riesgos clave que enfrenta la organización. Esto implica analizar los
procesos y actividades para determinar los riesgos potenciales y su impacto en los objetivos
de la organización, y recomendar acciones para mitigarlos.[4]
Estos roles legítimos de la auditoría interna como salvaguarda de los riesgos permiten asegurar que
la organización esté gestionando adecuadamente sus riesgos y cumpliendo con los requisitos legales
y regulatorios.
• ¿Cuáles son los roles que la auditoría interna no debe realizar?
La auditoría interna no debe realizar los siguientes roles:
1. Gestionar riesgos a favor de la gerencia: La auditoría interna no debe asumir la
responsabilidad de gestionar los riesgos en lugar de la gerencia. Su función es brindar
aseguramiento objetivo y asesoramiento, pero no tomar decisiones de riesgo en nombre de
la gerencia.
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

2. Proveer aseguramiento objetivo en el marco de ERM: La auditoría interna no debe brindar

aseguramiento objetivo en ninguna parte del marco de ERM del cual es responsable. Este
aseguramiento debe ser proporcionado por una entidad sustancialmente calificada e
independiente.
3. Realizar trabajos más allá de las actividades de aseguramiento: Cualquier trabajo más allá
de las actividades de aseguramiento debe ser reconocido como una asignación de
consultoría y debe seguirse las normas y requisitos aplicables a dichas asignaciones. La
auditoría interna no debe realizar trabajos que excedan su alcance y competencia.
Es importante que la auditoría interna mantenga su independencia y objetividad al desempeñar su
función, evitando cualquier conflicto de intereses y asegurando que sus roles y responsabilidades
estén claramente definidas
Facilitación, identificación y evaluación de riesgos.
• Establecer el apetito de riesgo.
• Imponer procesos de gestión de riesgo.
• Manejar el aseguramiento sobre los riesgos.
• Tomar decisiones en respuestas a los riesgos.
• Implementar respuestas a los riesgos a favor de la administración.
• Responsabilidad de la gestión

• ¿Con relación al E.R.M. cómo puede proveer sus servicios de aseguramiento y de

consultoría?
Con relación al ERM, la auditoría interna puede proporcionar sus servicios de aseguramiento y de
consultoría de la siguiente manera:
1. Servicios de aseguramiento: La auditoría interna puede brindar servicios de aseguramiento
en el ERM realizando evaluaciones independientes y objetivas de los procesos de gestión
de riesgos. Esto implica revisar y evaluar la efectividad de los controles internos, la
identificación y evaluación de riesgos, y el cumplimiento de políticas y regulaciones
relacionadas con la gestión de riesgos. Estos servicios de aseguramiento proporcionan una
opinión independiente sobre la efectividad del ERM en la organización.
2. Servicios de consultoría: La auditoría interna puede brindar servicios de consultoría en el
ERM proporcionando asesoramiento y apoyo en la implementación y mejora de los
procesos de gestión de riesgos. Esto implica ayudar en el diseño e implementación de
políticas y procedimientos, brindar capacitación al personal en la gestión de riesgos, y
asesorar en la identificación y evaluación de riesgos clave. Estos servicios de consultoría
ayudan a la organización a fortalecer su capacidad de gestionar los riesgos de manera
efectiva.
Es importante que la auditoría interna mantenga su independencia y objetividad al brindar estos
servicios, asegurando que se sigan las normas y requisitos aplicables y evitando cualquier conflicto
de intereses. Además, se deben establecer salvaguardas adecuadas para proteger la objetividad e
independencia de la auditoría interna al proporcionar servicios de consultoría

• ¿Por qué la declaración del IIA determinó que el auditor interno podría ser gerente del
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

proyecto de administración de riesgos o E.R.M. y hasta su principal defensor?

La declaración del IIA asume que el auditor interno podría ser gerente del proyecto de
administración de riesgos o ERM y hasta su principal defensor debido a su posición única dentro de
la organización.
El auditor interno tiene un conocimiento profundo de los procesos y operaciones de la organización,
así como de los riesgos asociados a ellos. Además, su independencia y objetividad le permiten
evaluar de manera imparcial la efectividad de los controles internos y la gestión de riesgos.
Al asumir el rol de gerente del proyecto de administración de riesgos, el auditor interno puede
utilizar su experiencia y conocimiento para liderar la implementación de un enfoque integral de
gestión de riesgos en la organización. Esto implica trabajar con la alta dirección y otros
departamentos para identificar y evaluar los riesgos, establecer políticas y procedimientos, y
desarrollar estrategias de mitigación.
Además, al ser el principal defensor del ERM, el auditor interno puede promover la importancia de
la gestión de riesgos en toda la organización y abogar por su integración en todas las actividades y
decisiones empresariales. Esto ayuda a crear una cultura de gestión de riesgos en la organización y
garantiza que se le dé la debida importancia y atención.
Sin embargo, es importante destacar que el auditor interno debe mantener su independencia y
objetividad al desempeñar este rol, evitando cualquier conflicto de intereses y asegurando que sus
acciones estén respaldadas por un análisis objetivo y basado en evidencia

• ¿Cuando se incremente la madurez del riesgo, cómo podría participar la auditoría

interna?
Cuando se incrementa la madurez del riesgo, la auditoría interna puede participar de las siguientes
maneras:
1. Evaluación de la efectividad del proceso de gestión de riesgos: La auditoría interna puede
realizar una evaluación independiente y objetiva del proceso de gestión de riesgos de la
organización. Esto implica revisar y evaluar la estructura, políticas, procedimientos y
controles relacionados con la gestión de riesgos para determinar su efectividad y
cumplimiento. Esta evaluación ayuda a identificar áreas de mejora y fortalecer el proceso
de gestión de riesgos.
2. Monitoreo y seguimiento de los riesgos identificados: La auditoría interna puede participar
en el monitoreo y seguimiento de los riesgos identificados en la organización. Esto implica
revisar periódicamente los controles implementados para mitigar los riesgos y asegurarse de
que estén funcionando de manera efectiva. Además, la auditoría interna puede realizar
pruebas y revisiones periódicas para evaluar la eficacia de los controles y detectar posibles
debilidades o deficiencias.
3. Asesoramiento y capacitación en gestión de riesgos: La auditoría interna puede brindar
asesoramiento y capacitación a la alta dirección y al personal de la organización en materia
de gestión de riesgos. Esto implica proporcionar orientación sobre las mejores prácticas en
la identificación, evaluación y mitigación de riesgos, así como en la implementación de
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

controles efectivos. Además, la auditoría interna puede ayudar a desarrollar y mejorar las
políticas y procedimientos relacionados con la gestión de riesgos.
Es importante destacar que la participación de la auditoría interna en el incremento de la madurez
del riesgo debe estar respaldada por su independencia y objetividad, y debe seguir las normas y
requisitos aplicables. Además, la auditoría interna debe colaborar estrechamente con la alta
dirección y otros departamentos para garantizar una gestión integral y efectiva de los riesgos en la
organización.

• ¿Cuáles podrían ser los roles de consultoría que podría prestar en el E.R.M., la auditoría
interna?
La auditoría interna puede desempeñar varios roles de consultoría en el ERM, entre ellos:
1. Poner a disposición de la gerencia herramientas y técnicas utilizadas por la auditoría interna
para analizar riesgos y controles. Esto implica compartir conocimientos y recursos con la
gerencia para ayudarlos a identificar y evaluar los riesgos de manera efectiva.
2. Actuar como defensor de la introducción del ERM en la organización, aportando su
experiencia en gestión de riesgos y conocimientos de la organización. La auditoría interna
puede abogar por la importancia de la gestión de riesgos y promover su integración en todas
las actividades y decisiones empresariales.
3. Proveer consejos, facilitar talleres y entrenar a la organización sobre riesgos y controles. La
auditoría interna puede brindar orientación y apoyo en la implementación de políticas y
procedimientos relacionados con la gestión de riesgos, así como en la identificación y
evaluación de riesgos clave.
4. Actuar como punto central de coordinación, monitoreo y reporte sobre riesgos. La auditoría
interna puede desempeñar un papel clave en la coordinación de los esfuerzos de gestión de
riesgos en toda la organización, asegurándose de que se realiza un seguimiento adecuado de
los riesgos identificados y que se informa de manera efectiva a la alta dirección ya la junta
directiva. .
5. Apoyar a la gerencia en su trabajo a través de la identificación de mejores prácticas para
mitigar riesgos. La auditoría interna puede proporcionar recomendaciones y asesoramiento
sobre las estrategias y controles más efectivos para gestionar los riesgos identificados.
Es importante destacar que la auditoría interna debe mantener su independencia y objetividad al
desempeñar estos roles de consultoría, asegurando que sus acciones estén respaldadas por un
análisis objetivo y basado en evidencia.

• ¿Son compatibles los servicios de consultoría con el rol de aseguramiento que preste
la auditoría interna?
Sí, los servicios de consultoría son compatibles con el rol de aseguramiento que presta la auditoría
interna. Según la Norma Internacional para la Práctica Profesional de la Auditoría Interna (IIA), la
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

auditoría interna puede proporcionar servicios de consultoría que mejoren los procesos de gobierno,
gestión de riesgos y control en la organización.
Sin embargo, es importante establecer salvaguardas para asegurar la objetividad e independencia de
la auditoría interna al prestar servicios de consultoría. Esto implica clarificar que la responsabilidad
de la gestión de riesgos recae en la gerencia, documentar la naturaleza de la responsabilidad de la
auditoría interna y transferir gradualmente la responsabilidad de las actividades de consultoría a los
miembros del equipo gerencial.
Además, la auditoría interna debe asegurarse de que sus servicios de consultoría estén respaldados
por un enfoque basado en riesgos y que se centren en agregar valor y mejorar la eficacia de las
operaciones

• ¿Cuáles son las principales condiciones como salvaguardas en la participación de la

auditoría interna dentro de su rol de aseguramiento referida al E.R.M.?
Las principales condiciones como salvaguardas en la participación de la auditoría interna dentro de
su rol de aseguramiento referida al ERM son las siguientes:
1. Debe estar claro que la responsabilidad de la gestión de riesgo recae en la gerencia. La
auditoría interna debe asegurarse de que la gerencia entienda y asuma su responsabilidad en
la gestión de riesgos, mientras que la auditoría interna brinda aseguramiento objetivo sobre
la efectividad de dicha gestión.
2. La naturaleza de la responsabilidad de la auditoría interna debe ser documentada. Es
importante que la auditoría interna establezca claramente su papel y responsabilidades en el
aseguramiento del ERM, asegurando que su función sea la de brindar consejos y
motivación, pero manteniendo su independencia y objetividad en el aseguramiento.
Estas condiciones son importantes para garantizar que la auditoría interna mantenga su
independencia y objetividad al brindar aseguramiento sobre el ERM y evitar cualquier conflicto de
intereses o confusión en cuanto a las responsabilidades de gestión de riesgos

• ¿Qué destrezas y cuerpo de conocimientos debe poseer la auditoría interna referida

al E.R.M.?
La auditoría interna referida al ERM debe poseer las siguientes destrezas y cuerpo de
conocimientos:
1. Conocimiento en gestión de riesgos: La auditoría interna debe tener un sólido conocimiento
en los principios y metodologías de gestión de riesgos, incluyendo la identificación,
evaluación, mitigación y monitoreo de riesgos.
2. Conocimiento en marcos de referencia de ERM: Es importante que la auditoría interna esté
familiarizada con los marcos de referencia reconocidos internacionalmente, como el COSO
ERM, ISO 31000 u otros marcos relevantes, para poder aplicarlos en la evaluación del
ERM de la organización.
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

3. Conocimiento en normas y regulaciones: La auditoría interna debe estar al tanto de las

normas y regulaciones aplicables a la gestión de riesgos, tanto a nivel nacional como
internacional, para asegurar que se cumplan los requisitos legales y regulatorios.
4. Habilidades analíticas: La auditoría interna debe poseer habilidades analíticas para poder
evaluar y analizar los riesgos de manera efectiva, identificar patrones y tendencias, y
realizar análisis de datos para obtener información relevante.
5. Habilidades de comunicación: La auditoría interna debe tener habilidades de comunicación
efectiva, tanto verbal como escrita, para poder comunicar los resultados de sus evaluaciones
de riesgos de manera clara y concisa a la alta dirección ya la junta directiva.
6. Habilidades de liderazgo y trabajo en equipo: La auditoría interna debe tener habilidades de
liderazgo para poder influir en la organización y promover la importancia de la gestión de
riesgos. Además, debe ser capaz de trabajar en equipo y colaborar con otros departamentos
y áreas de la organización.
Estos destrezas y conocimientos son fundamentales para que la auditoría interna pueda desempeñar
su rol de manera efectiva en la evaluación y aseguramiento del ERM de la organización
• Puede el jefe de auditoría interna proveer servicios de consultoría a la vez?
No, el jefe de auditoría interna no debe proporcionar servicios de consultoría a la vez. Según la
Norma Internacional para la Práctica Profesional de la Auditoría Interna (IIA), el jefe de auditoría
interna debe mantener su independencia y objetividad al brindar aseguramiento y no debe asumir
responsabilidades gerenciales ni proveer servicios de consultoría que comprometan su
imparcialidad.[1].
El IIA establece que la auditoría interna puede proporcionar servicios de consultoría, pero se deben
establecer salvaguardas para asegurar la objetividad e independencia de la función de auditoría
interna. Esto implica que el jefe de auditoría interna no debe participar directamente en la prestación
de servicios de consultoría, ya que esto podría generar un conflicto de intereses y comprometer su
capacidad para brindar aseguramiento objetivo.[1].
Por lo tanto, es recomendable que el jefe de auditoría interna se enfoque en su rol de aseguramiento
y delegue la prestación de servicios de consultoría a otros miembros del equipo de auditoría interna
o a profesionales externos, garantizando así la independencia y objetividad de la función de
auditoría

• Indique las conclusiones principales relacionadas con la participación de la auditoría

interna dentro del E.R.M.?
Las conclusiones principales relacionadas con la participación de la auditoría interna dentro de
ERM son las siguientes:
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

1. La auditoría interna puede desempeñar un papel importante en el ERM al brindar

aseguramiento sobre la efectividad de la gestión de riesgos en la organización.
2. La auditoría interna puede proporcionar servicios de consultoría en el ERM, siempre y
cuando se establezcan salvaguardas para mantener su independencia y objetividad.
3. Es fundamental que la responsabilidad de la gestión de riesgos recaiga en la gerencia,
mientras que la auditoría interna brinda aseguramiento objetivo sobre dicha gestión.
4. La auditoría interna debe tener conocimientos sólidos en gestión de riesgos, marcos de
referencia de ERM, normas y regulaciones, habilidades analíticas, habilidades de
comunicación y habilidades de liderazgo y trabajo en equipo.
5. El jefe de auditoría interna no debe proporcionar servicios de consultoría a la vez, para
mantener su independencia y objetividad en el aseguramiento

Cuestionamientos:
1. ¿Por qué se dice que entre más se incluya la auditoría interna en la gestión de riesgos,
mayores serán las salvaguardas que deben requerirse para asegurar objetivad e
independencia de su parte?
Se dice que entre más se incluye la auditoría interna en la gestión de riesgos, mayores serán las
salvaguardas que deben requerirse para asegurar la objetividad e independencia de su parte debido a
que existe un riesgo inherente de conflicto de intereses.
Cuando la auditoría interna participa activamente en la gestión de riesgos, existe la posibilidad de
que se vea comprometida su imparcialidad y objetividad al evaluar y brindar aseguramiento sobre
los controles y procesos de gestión de riesgos que ellos mismos han participado en desarrollar o
implementar. Esto puede generar un sesgo en los resultados y afectar la calidad y confiabilidad del
aseguramiento brindado.
Por lo tanto, para asegurar la objetividad e independencia de la auditoría interna en la gestión de
riesgos, se deben establecer salvaguardas adicionales, como la separación de roles y
responsabilidades, la revisión y aprobación de los trabajos de la auditoría interna por parte de la alta
dirección de la junta directiva, y la implementación de políticas y procedimientos claros que eviten
cualquier conflicto de intereses.
Estas salvaguardas adicionales son necesarias para garantizar que la auditoría interna pueda brindar
un aseguramiento objetivo y confiable sobre la gestión de riesgos de la organización, sin
comprometer su independencia y objetividad.

2. ¿Por qué se considera que la auditoría interna podría ser el gerente o principal
defensor del proyecto de administración de riesgos dentro de una Organización?
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

Se considera que la auditoría interna podría ser el gerente o principal defensor del proyecto de
administración de riesgos dentro de una organización debido a su experiencia y conocimientos en
gestión de riesgos y su posición independiente dentro de la organización.
La auditoría interna tiene un amplio entendimiento de los riesgos y controles en la organización, lo
que les permite identificar y evaluar los riesgos de manera efectiva. Además, al tener una visión
integral de la organización, pueden facilitar la implementación de un enfoque de gestión de riesgos
en todas las áreas y procesos.
Como defensores del proyecto de administración de riesgos, la auditoría interna puede promover la
importancia de la gestión de riesgos en la organización, educar a los empleados sobre los conceptos
y beneficios de la gestión de riesgos, y facilitar la adopción de un lenguaje y marco común. para la
gestión de riesgos.
Además, la auditoría interna puede actuar como punto central de coordinación, monitoreo y reporte
sobre riesgos, asegurando que se realicen evaluaciones adecuadas de riesgos y controles, y
proporcionando asesoramiento y apoyo a la alta dirección ya los equipos gerenciales en la
identificación y mitigación de riesgos. .
La independencia de la auditoría interna también juega un papel importante en su capacidad para
ser el gerente o principal defensor del proyecto de administración de riesgos. Al ser una función
independiente y objetiva, la auditoría interna puede brindar un aseguramiento imparcial sobre la
efectividad de la gestión de riesgos y garantizar que se implementen las mejores prácticas en la
organización.
En resumen, la auditoría interna puede ser el gerente o principal defensor del proyecto de
administración de riesgos debido a su experiencia en gestión de riesgos, su posición independiente y
su capacidad para promover y facilitar la implementación de un enfoque de gestión de riesgos en
toda la organización.

3. ¿Por qué se interrelaciona el Gobierno Corporativo con la Administración del Riesgo

o Gestión del Riesgo?
El Gobierno Corporativo se interrelaciona con la Administración del Riesgo o Gestión del Riesgo
debido a que ambos tienen como objetivo principal garantizar la transparencia, la responsabilidad y
la eficiencia en la toma de decisiones en una organización.
El Gobierno Corporativo establece las directrices y los mecanismos de control necesarios para
asegurar que la administración de la organización actúe en beneficio de los accionistas y demás
partes interesadas. Esto implica establecer una estructura de gobierno adecuada, definir roles y
responsabilidades claras, y promover la rendición de cuentas y la ética en la toma de decisiones.
Por otro lado, la Administración del Riesgo o Gestión del Riesgo se enfoca en identificar, evaluar y
gestionar los riesgos a los que se enfrenta la organización. Esto implica establecer procesos y
controles para mitigar los riesgos, así como tomar decisiones informadas sobre la aceptación,
transferencia o mitigación de los mismos.
Ambos conceptos se interrelacionan porque una buena gobernanza corporativa requiere una gestión
efectiva de los riesgos. El Gobierno Corporativo establece las políticas y los marcos de referencia
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

para la gestión de riesgos, mientras que la Administración del Riesgo implementa y ejecuta dichas
políticas.
Además, una gestión efectiva de riesgos contribuye a fortalecer el Gobierno Corporativo al
proporcionar información relevante y oportuna sobre los riesgos a la alta dirección ya la junta
directiva, lo que les permite tomar decisiones informadas y responsables.
En resumen, el Gobierno Corporativo y la Administración del Riesgo se interrelacionan porque
ambos buscan promover la transparencia, la responsabilidad y la eficiencia en la toma de decisiones
de una organización, estableciendo políticas y mecanismos de control para gestionar los riesgos de
manera efectiva.
4. ¿Por qué se dice que la administración del riesgo o gestión del riesgo es un proceso?

5. ¿Qué otros beneficios de los indicados en el presente capítulo, se podrían lograr al

aplicar un proceso del E.R.M. dentro de una organización?
Se dice que la administración del riesgo o gestión del riesgo es un proceso porque implica una serie
de actividades sistemáticas y continuas que se llevan a cabo en toda la organización para identificar,
evaluar, mitigar y monitorear los riesgos.
El proceso de administración del riesgo consta de varias etapas:
1. Identificación de riesgos: Consiste en identificar los posibles eventos o situaciones que
podrían afectar el logro de los objetivos de la organización. Esto implica analizar tanto los
riesgos internos como los riesgos externos.
2. Evaluación de riesgos: Una vez identificados los riesgos, se evalúa su probabilidad de
ocurrencia y su impacto potencial en la organización. Esto permite priorizar los riesgos y
determinar cuáles requieren una mayor atención y acción.
3. Mitigación de riesgos: En esta etapa, se implementan medidas y controles para reducir la
probabilidad de ocurrencia de los riesgos identificados y minimizar su impacto en caso de
que ocurran. Esto puede incluir la implementación de políticas, procedimientos, controles
internos y seguros, entre otros.
4. Monitoreo de riesgos: Una vez que se han implementado las medidas de mitigación, es
importante monitorear de manera continua los riesgos para asegurar de que las medidas
sean efectivas y de que no surjan nuevos riesgos. Esto implica realizar seguimiento,
evaluaciones periódicas y revisión de los controles implementados.
5. Comunicación y reporte de riesgos: Durante todo el proceso, es fundamental comunicar y
reportar los riesgos identificados, evaluados y mitigados a las partes interesadas relevantes,
como la alta dirección, la junta directiva y los accionistas. Esto permite una toma de
decisiones informada y una rendición de cuentas adecuada.
En resumen, la administración del riesgo es un proceso continuo que implica la identificación,
evaluación, mitigación y monitoreo de los riesgos en toda la organización. Este enfoque sistemático
permite a la organización anticiparse y responder de manera efectiva a los riesgos, protegiendo así
sus objetivos y su éxito a largo plazo.
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

6. ¿Se asegura que el principal responsable del E.R.M. es la junta directiva, por qué se
determina así?
El principal responsable del ERM es la junta directiva debido a su función de supervisión y toma de
decisiones estratégicas en la organización. La junta directiva tiene la responsabilidad de asegurarse
de que se implementen políticas y procesos efectivos de gestión de riesgos en toda la organización.
Esta determinación se basa en las mejores prácticas de gobierno corporativo y en los estándares
internacionales, como el COSO ERM (Committee of Sponsoring Organizations of the Treadway
Commission - Enterprise Risk Management). Estos estándares establecidos que la junta directiva
debe tener un papel activo en la supervisión y dirección de la gestión de riesgos de la organización.
Además, la junta directiva es responsable de establecer el apetito por el riesgo de la organización, es
decir, el nivel de riesgo que la organización está dispuesta a asumir en busca de sus objetivos
estratégicos. También debe asegurarse de que se establezcan controles internos adecuados y de que
se realicen evaluaciones periódicas de riesgos.
La junta directiva también tiene la responsabilidad de comunicar y reportar los riesgos a los
accionistas y otras partes interesadas, garantizando la transparencia y la rendición de cuentas en
relación con la gestión de riesgos.
En resumen, la junta directiva es el principal responsable del ERM debido a su función de
supervisión, toma de decisiones estratégicas y establecimiento de políticas y controles internos en la
organización.

7. ¿Discuta los roles principales de la auditoría interna respecto al E.R.M. y determine si

son aplicables para cualquier auditoría interna?
Los roles principales de la auditoría interna respecto al ERM (Enterprise Risk Management) son los
siguientes:
1. Brindar aseguramiento sobre los procesos de gestión de riesgo: La auditoría interna tiene la
responsabilidad de evaluar y proporcionar aseguramiento objetivo sobre la efectividad de
los procesos de gestión de riesgo en la organización. Esto implica revisar la adecuación de
las políticas y procedimientos, la identificación y evaluación de riesgos, la implementación
de controles y la monitorización de los riesgos.
2. Evaluación de los procesos de gestión de riesgo: La auditoría interna debe evaluar los
procesos de gestión de riesgo para determinar su eficacia y eficiencia. Esto implica revisar
la estructura de gobierno, los roles y responsabilidades, la comunicación y reporte de
riesgos, y la integración del ERM en la estrategia y operaciones de la organización.
3. Evaluación de informes de riesgos claves: La auditoría interna debe evaluar los informes de
riesgos claves para asegurarse de que sean completos, precisos y confiables. Esto implica
revisar la calidad de la información proporcionada, la identificación y evaluación de riesgos
significativos, y la comunicación efectiva de los riesgos a la alta dirección y la junta
directiva.
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

4. Revisión del manejo de los riesgos claves: La auditoría interna debe revisar el manejo de
los riesgos claves para asegurarse de que se estén implementando medidas adecuadas para
mitigarlos. Esto implica evaluar la efectividad de los controles internos y otras respuestas a
los riesgos, y proporcionar recomendaciones de mejora.
Es importante destacar que estos roles son aplicables para cualquier auditoría interna que tenga la
responsabilidad de evaluar y proporcionar aseguramiento sobre la gestión de riesgos en una
organización. Sin embargo, la forma en que se llevan a cabo estos roles puede variar dependiendo
del contexto y las necesidades específicas de cada organización

8. ¿Están de acuerdo con los roles legítimos de auditoría interna realizados como
salvaguarda?
Sí, estamos de acuerdo con los roles legítimos de la auditoría interna realizados como
salvaguarda. La auditoría interna tiene la responsabilidad de proporcionar aseguramiento objetivo y
consultoría en relación con la gestión de riesgos en una organización. Estos roles incluyen evaluar y
brindar aseguramiento sobre los procesos de gestión de riesgo, evaluar los informes de claves de
riesgo, revisar el manejo de los riesgos y proporcionar recomendaciones de mejora.
Estos roles son importantes para garantizar que la gestión de riesgos sea efectiva y que se
implementen controles adecuados para mitigar los riesgos. La auditoría interna actúa como una
salvaguarda al proporcionar una evaluación independiente y objetiva de los procesos de gestión de
riesgo y al brindar recomendaciones para mejorar la efectividad de los controles

9. ¿Qué otros roles no debería realizar la auditoría interna referida al E.R.M.?

La auditoría interna no debería asumir roles de gestión de riesgos en relación con el ERM Algunos
de los roles que no debería realizar son:
1. Toma de decisiones sobre la gestión de riesgos: La auditoría interna no debe tomar
decisiones sobre la gestión de riesgos en la organización. Esta responsabilidad recae en la
alta dirección y la junta directiva, quienes deben establecer las políticas y estrategias de
gestión de riesgos.
2. Implementación de controles internos: Si bien la auditoría interna puede proporcionar
recomendaciones de mejora en relación con los controles internos, no debe ser responsable
de su implementación. Esta responsabilidad recae en la gerencia y los propietarios de los
procesos.
3. Establecimiento de políticas y procedimientos de gestión de riesgos: La auditoría interna
puede brindar asesoramiento y apoyo en el establecimiento de políticas y procedimientos de
gestión de riesgos, pero no debe ser responsable de su creación. Esta responsabilidad recae
en la alta dirección y la junta directiva.
4. Evaluación de la efectividad de la gestión de riesgos: Si bien la auditoría interna puede
evaluar la efectividad de los procesos de gestión de riesgos, no debe ser responsable de
garantizar su efectividad. Esta responsabilidad recae en la alta dirección y la junta directiva,
quienes deben tomar las necesarias para mejorar la gestión de riesgos en la organización.
 Parte 3: El Gobierno Corporativo y la Administración de riesgo E.R.M.

Es importante que la auditoría interna mantenga su independencia y objetividad al realizar sus

funciones de aseguramiento y consultoría en relación con el ERM. Esto implica evitar asumir roles
de gestión de riesgos que puedan comprometer su imparcialidad.

10. ¿En qué casos los servicios de consultoría no son compatibles con el rol de
aseguramiento dentro de la auditoría interna?
Los servicios de consultoría no son compatibles con el rol de aseguramiento dentro de la auditoría
interna en los siguientes casos:
1. Cuando el auditor interno asume responsabilidades gerenciales: Si el auditor interno se
involucra en la toma de decisiones o en la implementación de acciones relacionadas con la
gestión de riesgos, se compromete su independencia y objetividad en el rol de
aseguramiento.
2. Cuando la auditoría interna no tiene el conocimiento y experiencia necesarios: Si la
auditoría interna no cuenta con el conocimiento y experiencia adecuados en gestión de
riesgos, no estará calificada para brindar servicios de consultoría en este ámbito. Es
importante que el auditor interno tenga la capacitación y el entendimiento necesario para
realizar estas actividades de manera efectiva.
3. Cuando la alta dirección no respalda el E.R.M.: Si la alta dirección no respalda la
implementación del E.R.M. en la organización, la auditoría interna no debería asumir un rol
de consultoría en este proceso. Es fundamental contar con el apoyo y compromiso de la alta
dirección para garantizar el éxito del E.R.M.