Auditora Interna Certificada (CIA), Asociada Certificada en Anti-Lavado de Dinero (AMLCA), Coach Ejecutiva Certificada, Máster en Finanzas, Contadora Pública Autorizada, Certificados en ISO 31000, COSO ERM y COSO Control Interno.

El objetivo del presente artículo es abordar el papel que desempeña el auditor interno en la evaluación y aseguramiento gestión de riesgos, con el propósito de que sus funciones provean una retroalimentación para mejorar el funcionamiento de gobierno, riesgo y control en las organizaciones y promuevan la mejora continua. La metodología utilizada es descriptiva de tipo cualitativa, orientada hacia la reflexión por medio de citas de estudios y normas para el planteamiento de tres aspectos: las actividades que asumen los auditores en la gestión de riesgos de acuerdo con los nuevos Estándares Globales de Auditoría Interna y marcos de gestión de riesgos, las funciones de la alta dirección y de la junta directiva en la gobernanza de riesgos, así como el proceso del aseguramiento de la gestión de riesgos por parte de los auditores internos. Se concluye que el aseguramiento de riesgos es fundamental, principalmente cuando las organizaciones se encuentran en las primeras etapas de desarrollo, situación donde el auditor interno participa más activamente en la evolución de la gestión de riesgos, por medio del asesoramiento y recomendaciones efectuadas. Por tanto, los auditores internos deben promover el tratamiento y monitoreo efectivo del riesgo para el logro los objetivos del negocio.

Palabras Clave: auditoría interna, gestión de riesgos, aseguramiento de riesgos, gobernanza de riesgos.

The objective of this article is to address the role played by the internal auditor in enterprise risk management, with the purpose of ensuring that their functions provide feedback to improve the functioning of governance, risk, and control in organizations and promote continuous improvement. The methodology used is descriptive and qualitative, oriented towards reflection through citations of studies and standards for the presentation of three aspects: the activities assumed by auditors in risk management according to the new Global Standards for Internal Audit and risk management frameworks, the roles of senior management and the board of directors in risk governance, and the process of risk management assurance by internal auditors. It is concluded that risk assurance is fundamental, especially when organizations are in the early stages of development, a situation where the internal auditor participates more actively in the evolution of risk management through advice and recommendations. Therefore, internal auditors must promote effective risk treatment and monitoring to achieve business objectives.

 Keywords: internal auditing, risk management, risk assurance, risk governance.

I. INTRODUCCIÓN

El Marco de Gestión de Riesgos Empresariales (COSO ERM, 2017) manifiesta la importancia de la gestión de riesgos empresariales en la planeación estratégica y la incorpora a toda la organización, debido a que el riesgo influye y está alineado con la estrategia y el desempeño en todas las áreas, departamentos y funciones. Asimismo, El Instituto de Auditores Internos (2024) indica que la gestión de riesgo empresarial es un enfoque de gobierno estructurado y coordinado que abarca toda la empresa con el fin de identificar, cuantificar, responder y vigilar las consecuencias de eventos potenciales

La pregunta es ¿Qué rol asume la auditoría interna en la gestión de riesgos empresariales?

En las primeras etapas de desarrollo del proceso de gestión de riesgos, auditoría interna puede apoyar a la compañía sirviendo como catalizador de la iniciativa, asistiendo a la alta dirección, pero conforme la madurez de la gestión de riesgos aumente, este rol deberá ir disminuyendo y su papel como prestador de servicios de aseguramiento es consolidado (Instituto de Auditores Internos, 2011). Sin embargo, el rol principal de los auditores internos en la gestión de riesgos consiste en proporcionar aseguramiento al consejo directivo y a la alta dirección sobre su eficacia.

A través de este estudio se abordarán los roles que desempeñan los auditores internos en la gestión de riesgos, de acuerdo con los estándares globales que regulan la profesión, así como las funciones de la alta dirección y de la junta directiva en la gobernanza de riesgos, finalizando con una descripción del proceso del aseguramiento de la gestión de riesgos que siguen los auditores en sus evaluaciones.

La metodología utilizada es descriptiva y de tipo cualitativa, orientada hacia la reflexión por medio de citas de estudios y marcos de referencia. Se concluye que el auditor interno asume un rol que contribuye a la evolución y desarrollo de la gestión de riesgos en cada una de las etapas de madurez de la compañía, agregando valor a través de sus evaluaciones y asesorías para contribuir con la consecución de los objetivos de las organizacionales.

II. ¿CUÁL ES EL ROL DEL AUDITOR INTERNO EN LA GESTIÓN DE RIESGOS?

2.1 Actividades y funciones de los auditores internos en la gestión de riesgos, de acuerdo con los nuevos Estándares Globales de Auditoría Interna (NOGAI).

De acuerdo con el Instituto de Auditores Internos (2024), la auditoría interna fortalece la capacidad de la organización para crear, proteger y sostener el valor, proporcionando al consejo y a la administración un aseguramiento independiente, objetivo y basado en riesgos, así como consultorías, perspicacia y previsión.

Con base en los nuevos Estándares Globales de Auditoría Interna (2024), el auditor interno puede desempeñar dentro de sus funciones actividades de aseguramiento y de consultoría.

Los servicios de aseguramiento son aquellos en los cuales los auditores internos desarrollan una evaluación objetiva para comparar una actividad bajo revisión contra un criterio establecido. En los servicios de consultorías, el auditor provee asesoría a las partes interesadas de la organización sin brindar aseguramiento o tomar responsabilidades de gestión (Instituto de Auditores Internos, 2024).

Sin embargo, es necesario destacar que en ambos tipos de actividades (aseguramiento y consultoría) los auditores deben demostrar independencia y objetividad. Al respecto, El principio 2. Mantener Objetividad indica que los auditores internos deben mantener una actitud imparcial y libre de sesgos cuando desarrollan servicios de auditoría y toman decisiones. Asimismo, el principio 7. Independientemente Posicionada, expresa que la actividad de auditoría interna debe estar independientemente posicionada, la independencia se define como la libertad de condiciones que impiden al auditor interno su capacidad para realizar sus actividades sin sesgos (Instituto de Auditores Internos, 2024).

Por otra parte, con respecto a la evaluación de riesgos, el estándar 9.1 Entendimiento de Gobierno, Gestión de Riesgos y Procesos de Control, indica que el director de auditoría interna debería obtener información para evaluar la madurez de los procesos de gestión de riesgos de la organización, incluyendo identificar si la organización ha definido su apetito de riesgo e implementado una estrategia o marco de gestión de riesgos (Instituto de Auditores Internos, 2024).

En este sentido, el Instituto de Auditores Internos (2024) requiere que la actividad de auditoría interna complete en las organizaciones una evaluación de riesgos integral al menos anualmente, como una base para elaborar el plan de auditoría interna. Sin embargo, esta evaluación se puede actualizar más frecuentemente dependiendo del tamaño, complejidad y tipos de cambios que ocurren en la organización relacionados a la madurez de riesgos, gobierno y procesos de control. La evaluación de riesgos también es requerida a nivel de proyectos individuales para priorizar las áreas más críticas que afectan el negocio

Esta evaluación constituye un servicio de aseguramiento debido a que la auditoría interna debe revisar de manera independiente y validar que los principales riesgos están dentro del sistema de gestión de riesgos de la organización, tanto a nivel de la entidad como a nivel de unidades de negocios.

Se destaca que el aseguramiento de la gestión de riesgos a través de auditoría interna proporciona una evaluación independiente y objetiva de la idoneidad y eficacia de la gestión de riesgos, para dar confianza a la alta dirección y a la junta directiva de que todo está funcionando como debería o para alertarlos sobre problemas importantes que deberían ser atendidos.

Por su parte, la junta directiva valora la garantía de la alta dirección y de otros proveedores internos y externos, pero la garantía de la auditoría interna proporciona el más alto nivel de confianza y puede validar la información recibida de otras fuentes.

2.2 El modelo de las tres líneas en las evaluaciones de gestión de riesgos

El Modelo de las Tres Líneas (Instituto de A, 2020) es una herramienta práctica para saber cómo se podrían destinar los recursos en la gestión de riesgos y otras actividades de aseguramiento, como se presenta en la figura N° 1, donde se observa que como mínimo se requieren tres conjuntos de responsabilidades o “tres líneas”:

• Responsabilidad ante las partes interesadas por el éxito de la organización (roles del organismo de gobierno).
• Acciones (incluida la gestión de riesgos) para lograr los objetivos organizacionales, correspondientes a la primera y segunda línea.
• Aseguramiento independiente por parte del auditor interno para proporcionar claridad y confianza en todos los aspectos en los que opera la entidad, tercera línea.

Figura No. 1. El Modelo de las Tres Líneas del Instituto de Auditores Internos

Fuente: Instituto de Auditores Internos (IIA, 2020)

Como se puede apreciar en el modelo de las tres líneas, la junta directiva está separada de la alta dirección. Pero ¿Cómo pueden la junta directiva y las partes interesadas estar seguros de que todo funciona como debería? ¿Cómo saben, sin conocimiento de primera mano, que se están logrando resultados y que los recursos se están aplicando de manera eficiente, eficaz, ética y sostenible?

La junta recibe garantías de la alta dirección mediante reportes sobre el progreso de los indicadores clave de desempeño (KPI), así como pronósticos de desempeño futuro. Las funciones especializadas en riesgo, cumplimiento, control, aseguramiento de calidad, asesoría legal y otras áreas también brindan seguridad a la junta a través de su análisis y orientación de expertos.

Sin embargo, es necesario que la junta directiva tenga acceso a información y conocimientos confiables. Esto sólo puede lograrse mediante una actividad de auditoría interna independiente que rinda cuentas ante la junta directiva.

De acuerdo al Modelo de las Tres Líneas (2020), distintos proveedores de servicios de aseguramiento contribuyen a la estructura de riesgo y control de toda la organización, y juntos garantizan que los riesgos se identifiquen y se aborden en un nivel aceptable. Sin embargo, los proveedores de aseguramiento se diferencian unos de otros en materia de las responsabilidades sobre reportes, los niveles de independencia de las actividades sobre las que proveen aseguramiento y la confiabilidad del aseguramiento dado. En la figura No. 2 se pueden observar cuáles son las funciones para cada uno de los actores en este modelo.

Figura No. 2 Modelo de las Tres Líneas

Fuente: Instituto de Auditores Internos (2020)

2.3 Coordinación y confianza en actividades de aseguramiento

La auditoría interna es responsable ante el organismo de gobierno y a veces se describe como los «ojos y oídos». El organismo de gobierno es responsable de supervisar la auditoría interna, para lo cual es necesario garantizar el establecimiento de una función de auditoría interna independiente.

La independencia de la auditoría interna de la dirección asegura que esté libre de obstáculos y sesgos en su planificación y en la realización de su trabajo, disfrutando de un acceso sin restricciones a las personas, los recursos y la información que requiere. Sin embargo, la independencia no implica aislamiento. Debe haber una interacción regular entre la auditoría interna y la dirección para garantizar que la labor de la auditoría interna sea pertinente y esté en consonancia con las necesidades estratégicas y operacionales de la organización.

A través de todas sus actividades, la auditoría interna construye su conocimiento y comprensión de la organización, lo que contribuye al aseguramiento y el asesoramiento que proporciona como asesor de confianza y socio estratégico. Se necesita colaboración y comunicación entre los roles de primera y segunda línea de la dirección y la auditoría interna para garantizar que no haya duplicaciones ni brechas innecesarias en las actividades de gestión de riesgos.

Los nuevos Estándares Globales de Auditoría Interna (2024) indican en el estándar 9.5 Coordinación y Confianza que algunos ejemplos de coordinación de actividades de auditoría interna con otros proveedores de aseguramiento, incluyen:

• Sincronización de la naturaleza, extensión y tiempo de los trabajos planeados.
• Establecer un común entendimiento de técnicas de aseguramiento, métodos y terminología.
• Proveer acceso a otros programas de trabajo y reportes.
• Utilizar información de la gestión de riesgos empresariales para proveer evaluación de riesgos conjunta.
• Crear un registro de riesgos compartido o lista de riesgos.
• Combinar resultados para reportes conjuntos.

Un método para coordinar cobertura de aseguramiento es crear un mapa de aseguramiento, o bien una matriz de riesgos de la organización que incluya a los proveedores de servicios de aseguramiento que cubren los riesgos de la organización. En relación a esta coordinación, el Instituto de Auditores Internos de España (2013), recomienda pautas para la elaboración de un mapa de aseguramiento.

Un mapa de aseguramiento es definido como una matriz que comprende una representación visual de los riesgos de toda la organización, y de todos los proveedores internos y externos de los servicios de aseguramiento que cubren esos riesgos (Instituto de Auditores Internos de España, 2013). Los pasos para elaborar un mapa de aseguramiento de riesgos se presentan en la figura No. 3.

Figura No. 3 Pasos para elaborar un mapa de riesgos

Fuente: Instituto de Auditores Internos de España (2013)

Todos los riesgos que pueden ocurrir dentro de una organización se pueden llamar, colectivamente, el universo de riesgos. Existen varias perspectivas y medidas relativas a los riesgos, muchas de las cuales son específicas de unidades o funciones de negocio individuales de la organización. Sin embargo, para evitar brechas o duplicaciones en las actividades de aseguramiento al consejo, deben organizarse los riesgos de la organización de manera que permitan un panorama general integral. Un modelo de mapa de aseguramiento de riesgos se presenta en la Figura No. 4.

Figura No. 4 Modelo de un Mapa de Aseguramiento

Fuente: Instituto de Auditores Internos de España (2013)

La organización debe adoptar un proceso de mantenimiento para revisar y actualizar de manera regular el mapa con los aportes de todos los proveedores de aseguramiento internos y externos. Algunos acontecimientos que pueden cambiar el mapa de aseguramiento son:

• Fusiones y adquisiciones.
• Incorporación de una nueva línea de productos.
• Cambios económicos.
• Cambios regulatorios.
• Cambios en la conducta de los consumidores.

Para poder confiar en el trabajo de los otros proveedores de aseguramiento interno y externo, existen cinco aspectos establecidos por el Instituto de Auditores Internos (2024) para evaluar la confianza de los trabajos de otros proveedores de aseguramiento, los cuales son abordados en el Standard 9.5 Coordinación y Confianza, ver gráfico No. 5.

Figura No. 5 Aspectos para determinar si auditoría interna puede confiar en el trabajo de otros proveedores de aseguramiento.

Fuente: nuevos Estándares Globales de Auditoría Interna (2024)

La ventaja de preparar un mapa de aseguramiento radica en que las organizaciones se beneficiarán de un enfoque óptimo que asegura cubrir los riesgos clave a los que se enfrenta e indica cómo están siendo tratados estos riesgos, información que estará disponible para la alta dirección.

La realización del mapa se lleva a cabo en toda la empresa a comprender en dónde residen los roles y responsabilidades de los riesgos y su aseguramiento y mejora los flujos de comunicación e in­formación, logrando una mayor sinergia en toda la entidad para la gestión de riesgos y control.

2.4 Impedimentos a la independencia y objetividad en actividades de aseguramiento de la gestión de riesgos.

La independencia y objetividad son los medios por los cuales la auditoría interna establece su credibilidad y autoridad.  De aquí surge la pregunta ¿Pueden la objetividad e independencia del auditor interno verse comprometidas?

Cuando el auditor interno asume un papel activo en las actividades de gestión de riesgos, su objetividad e independencia para identificar y reportar deficiencias de los procesos de gestión de riesgos podría verse comprometida.

Una herramienta para identificar situaciones donde se puede ver comprometida la independencia y objetividad de la auditoría interna es el abanico de auditoría interna, como se muestra en gráfico No. 6. Esta ilustración es publicada por el Instituto de Auditores Internos en el documento: El Papel de la Auditoría Interna en la Gestión de Riesgos Empresariales (Instituto de Auditores Internos – Reino Unido e Irlanda, 2004), donde se muestra una progresión de roles del auditor interno en tres segmentos principales:

• Aquellos en el segmento de la izquierda son roles centrales que forman parte de la función de aseguramiento de la auditoría interna.
• Los roles en el segmento central del abanico representan roles más de asesoramiento y comienzan a relacionarse con roles de segunda línea. En esta sección es necesario establecer mecanismos para salvaguardar la independencia de la actividad de auditoría interna.
• La tercera sección del abanico a la derecha comprende responsabilidades que pertenecen a la alta dirección y que no deben ser asumidas por auditoría interna para garantizar la independencia.

Gráfico No. 6 Abanico de Auditoría Interna

Fuente: “Position Statement, The Role of Internal Auditing in Enterprisewide Risk Management,” (The Institute of Internal Auditors, 2004)

Para el caso de los roles legítimos de la auditoría interna con resguardos (salvaguardas) ubicados en la sección central del abanico, el Instituto de Auditores Internos (2024) menciona en el estándar 2.2 Salvaguardas a la Objetividad que los auditores internos deben abstenerse de evaluar actividades para los cuales ellos han sido responsables en los últimos doce meses. Por lo que el auditor interno debe establecer metodologías para tratar y revelar impedimentos a la objetividad.

Asimismo, en el estándar 7.1 Independencia Organizacional (Instituto de Auditores Internos, 2024) se hace referencia a que cuando el auditor interno tiene uno o más roles que van más allá de las funciones propias de la actividad auditoría interna, las responsabilidades, naturaleza del trabajo y salvaguardas establecidas tienen que ser documentadas en los estatus de auditoría interna.

¿En qué situaciones los auditores pueden ver comprometida su independencia y objetivad para brindar aseguramiento de riesgos?

Por mencionar algunas de ellas, se describen:

• Nuevo requisito regulatorio: Una nueva regulación requiere un esfuerzo sustancial asociado con nuevas políticas, procedimientos, pruebas y actividades de gestión de riesgos.
• Cambio en el negocio: Una organización puede introducirse en un nuevo mercado geográfico o lanzar un nuevo segmento de negocio y verse sometida a nuevas regulaciones o actividades de gestión de riesgos.
• Limitaciones de recursos: Una organización puede enfrentar limitaciones de recursos o cambios en su personal, como es el caso cuando el líder de una función de la segunda línea deja su cargo.
• Eficiencia: La dirección y/o el Consejo pueden determinar que es más eficiente que las funciones de cumplimiento u otras funciones de la segunda línea estén a cargo de auditoría interna.
• La dirección y el Consejo no creen que el grado de riesgo justifique funciones separadas para ciertas actividades de la segunda y tercera línea.
• Auditoría interna cuenta con el conjunto de habilidades necesarias o con la especialización pertinente para responsabilidades específicas de gestión de riesgos y/o cumplimiento.
• La dirección y/o el Consejo no comprenden o valoran adecuadamente la importancia de una tercera línea independiente y objetiva.
• Auditoría interna responde a presiones de reducción de costos u otros factores, y asume responsabilidades para el bien de la organización.

El Instituto de Auditores internos (2016) expone algunos principios de actuación para mantener la independencia y objetividad de auditoría interna mientras realiza actividades de segunda línea. En resumen, en este documento se indica que:

• El director de auditoría interna tiene la responsabilidad de proteger la independencia y la objetividad de la auditoría. Por lo tanto, si la asunción de las responsabilidades de segunda línea pone en riesgo la independencia, objetividad o ambas, el director deberá comunicarlo a la alta dirección y al órgano de gobierno y corroborar su entendimiento y aceptación de dicho riesgo.
• Se deberán establecer medidas de salvaguarda y controles adicionales para proteger esa independencia y objetividad, verificar periódicamente qué características existen en el trabajo de auditoría interna. Cuando estas salvaguardas no sean posibles y se requiera mantener la independencia y objetividad, las responsabilidades de Segunda Línea se asignarán a otra área de la compañía, o bien se externalizarán.

Las salvaguardas del auditor interno en el aseguramiento de la gestión de riesgos son medidas y procedimientos diseñados para garantizar la integridad, objetividad y profesionalismo del trabajo del auditor interno. Estas salvaguardas son fundamentales para mantener la confianza de las partes interesadas y garantizar la efectividad de las evaluaciones de riesgos. Algunas salvaguardas mencionadas por el Instituto de Auditores Internos (2016), incluyen:

Independencia:

• El auditor interno debe tener independencia en sus funciones y estar libre de influencias externas que puedan afectar su objetividad.
• Se debe garantizar que el auditor interno no tenga conflictos de interés que puedan comprometer su imparcialidad en la evaluación de riesgos.

Estructura Organizativa:

• La estructura organizativa debe ser tal que el auditor interno tenga acceso directo y sin restricciones a la información y recursos necesarios para llevar a cabo sus evaluaciones de riesgos de manera efectiva.
• Se deben establecer canales de comunicación claros y directos entre el auditor interno y la alta dirección para informar sobre hallazgos y recomendaciones.

Competencia y Capacitación:

• El auditor interno debe poseer las competencias técnicas y habilidades necesarias para evaluar riesgos de manera adecuada y precisa.
• Se deben proporcionar oportunidades de capacitación continua para mantener actualizados los conocimientos y habilidades del auditor interno en gestión de riesgos.

Normas Éticas y Profesionales:

• El auditor interno debe cumplir con las normas éticas y profesionales establecidas por organismos reconocidos, como el Instituto de Auditores Internos (The IIA, por sus siglas en inglés).
• Se deben establecer códigos de conducta y políticas éticas claras que guíen el comportamiento del auditor interno en el ejercicio de sus funciones.

Supervisión y Revisión:

• Las actividades del auditor interno deben estar sujetas a supervisión y revisión periódica por parte de la alta dirección, el comité de auditoría u órganos de gobierno.
• Se deben establecer mecanismos de retroalimentación para recibir comentarios y sugerencias sobre el desempeño del auditor interno y la mejora de los procesos de gestión de riesgos.

Confidencialidad y Seguridad de la Información:

• El auditor interno debe mantener la confidencialidad de la información obtenida durante sus evaluaciones de riesgos y protegerla contra accesos no autorizados.
• Se deben establecer controles de seguridad de la información para garantizar la integridad y confidencialidad de los datos utilizados en las evaluaciones de riesgos.

Si la dirección y el Consejo aceptan el riesgo de que auditoría interna asuma actividades de la segunda línea, deben procurarse una serie de salvaguardas y controles para que no se comprometa la independencia y objetividad, a nivel de ejemplo se mencionan las siguientes salvaguardas:

• Evaluación periódica (por lo menos anual) de líneas de reporte y responsabilidades por la dirección y el Consejo.
• La naturaleza de los roles de auditoría interna debe estar claramente enunciada en el estatuto de auditoría.
• Evaluación independiente periódica de los roles de segunda línea de auditoría interna y la eficacia de las disposiciones de independencia, objetividad y aseguramiento.
• El director de auditoría debe incluir una revisión de los roles de segunda línea de auditoría interna, junto con su programa de aseguramiento y mejora de la calidad o con una frecuencia menor, según el nivel de riesgo.
• Cuando las salvaguardas para mantener la independencia y objetividad de auditoría interna no son posibles, los estándares requieren que la responsabilidad de llevar a cabo la actividad de segunda línea sea reasignada a otro sector de la organización o tercerizada un proveedor externo.

La decisión de integrar las responsabilidades de la segunda y la tercera línea como estrategia de más largo plazo debe ser reflexionada y basada en un análisis de riesgo por la dirección y el Consejo. La aceptación por parte de la dirección de los riesgos que implica combinar auditoría interna con actividades de la segunda línea puede considerarse procedente por un período determinado, pero no debe considerarse permanente (Instituto de Auditores Internos, 2016).

Debe realizarse una evaluación, que incluya una actualización del análisis de riesgos, junto con la dirección y el Consejo por lo menos anualmente, con el objetivo de evaluar el rol actual de auditoría interna en el desempeño de actividades de segunda línea. Auditoría Interna debe reevaluar los riesgos a la independencia y objetividad, comunicarlos a la dirección, considerar planes de transición y obtener la aceptación de la dirección respecto de estos riesgos, en forma periódica. El director de auditoría interna también puede solicitar a los evaluadores externos que incluyan dichas cuestiones en el alcance de sus evaluaciones (Instituto de Auditores Internos, 2016).

III. ¿QUÉ ES LA GOBERNANZA DE RIESGOS Y QUÉ PAPEL TIENE EN LAS FUNCIONES DE ASEGURAMIENTO?

Según la Organización para la Cooperación y el Desarrollo Económico (OCDE, 2015): «El gobierno corporativo implica un conjunto de relaciones entre la dirección de una empresa, su directorio, sus accionistas y otras partes interesadas. El gobierno corporativo también proporciona la estructura a través de la cual se establecen los objetivos de la empresa y se determinan los medios para alcanzar esos objetivos y monitorear el desempeño».

La OCDE define la gobernanza de riesgos como “gestión de riesgos desde la perspectiva del gobierno corporativo”. El término gobernanza de riesgos se refiere a los procesos y estructuras organizacionales utilizados para supervisar e implementar la gestión de riesgos.

Por otra parte, la Norma ISO 37000:2022 señala la gobernanza del riesgo como principio de gobernanza que ayudará a los órganos de gobierno de una organización a cumplir con sus funciones de forma eficaz y eficiente mejorando la confianza, capacidad de respuesta y transparencia, posibilitando, el cumplimiento de su propósito, generando valor para la organización y todas sus partes interesadas.

La Norma ISO 37000:2022 comprende 12 principios, ampliamente desarrollados en la norma junto con los aspectos clave de sus fundamentos y prácticas, que tienen el objetivo de orientar a los órganos de gobierno de las organizaciones sobre cómo cumplir con sus responsabilidades. En particular, en cuanto a la gobernanza del riesgo, la norma ofrece directrices para considerar el efecto de la incertidumbre sobre el propósito organizacional y los resultados estratégicos asociados.

The Corporate Governance Council (2012) indica que la gobernanza del riesgo es la arquitectura dentro de la cual opera la gestión del riesgo en una empresa. Define la forma en que una empresa lleva a cabo la gestión de riesgos. Es fundamental para la empresa tener claridad sobre qué riesgos se están gestionando y cómo. Proporciona orientación para una toma de decisiones sensata e informada y una asignación eficaz de recursos.

Asimismo, The Corporate Governance Council (2012) establece las siguientes responsabilidades de la junta directiva en la gobernanza de riesgos:

• La Junta es responsable de la gobernanza del riesgo y establece el tono y la dirección de la empresa en la forma en que se gestionan los riesgos.
• La Junta tiene la responsabilidad final de aprobar la estrategia de la empresa de una manera que responda a las expectativas de las partes interesadas y no exponga a la empresa a un nivel de riesgo inaceptable. También tiene la responsabilidad final de aprobar las políticas clave de gestión de riesgos, garantizando un sistema sólido de gestión de riesgos y controles internos.
• El Consejo de gobierno corporativo controla y monitorea el desempeño frente a los mismos.
• Es importante establecer claramente el papel del directorio frente a la gerencia en la gestión de riesgos.
• El Rol del Directorio en la gobernanza del riesgo debe comprender lo siguiente:

1. Determinar el enfoque de la gestión de riesgos de la empresa.
2. Establecer e inculcar la cultura adecuada en toda la empresa para una gestión eficaz del riesgo.

• Garantizar que los riesgos relevantes para la empresa se identifiquen adecuadamente, incluidos aquellos riesgos inherentes al modelo de negocio y la estrategia de la empresa, y los riesgos derivados de factores externos a medida que la empresa persigue sus objetivos estratégicos.

1. Monitorear la exposición de la empresa al riesgo y los riesgos clave que podrían socavar su estrategia, reputación o viabilidad a largo plazo, incluido prever análisis ambientales periódicos para evaluar cualquier posible impacto en el perfil de riesgo de la empresa.
2. Asegurar que la Dirección establezca planes de acción para mitigar los riesgos identificados cuando sea posible.
3. Proporcionar supervisión del sistema de gestión de riesgos y del sistema de controles internos, y revisar su adecuación y eficacia al menos una vez al año.

De acuerdo a los planteamientos anteriores, el consejo o junta directiva es la responsable de la supervisión de la gestión de riesgos y de su gobierno. Para ello puede optar por crear un comité de supervisión de la gestión de riesgos o encargarse de ello directamente. La supervisión requiere monitorear el riesgo y proporcionar dirección y recursos a la alta dirección para garantizar que las respuestas al riesgo estén alineadas con el apetito, la capacidad, la misión, la visión de la Compañía.

Es relevante señalar que la actividad de auditoría interna es parte de la gobernanza de riesgos y ayuda a la junta con su responsabilidad de supervisión al garantizar que exista una garantía adecuada, efectiva y confiable en todos los sistemas y procesos, y al proporcionar informes y análisis.

Los marcos y modelos de gobernanza, gestión de riesgos y control enfatizan la importancia de la ética y la cultura. La cultura es definida como valores éticos, comportamientos deseados y comprensión del riesgo en la entidad (COSO ERM, 2017). Por lo tanto, la actividad de auditoría interna necesita encontrar formas de realizar evaluaciones apropiadas de la cultura de riesgo, que a su vez está relacionada con la cultura organizacional.

La alta dirección y la junta directiva deben identificar la cultura objetivo que desean que se establezca en la organización y luego tomar medidas para desarrollarla e incorporarla, incluido liderar con el ejemplo y establecer el tono adecuado de la entidad. Por lo tanto, la supervisión de la gestión de riesgos debe incluir la supervisión de la cultura de riesgo.

IV. EL PROCESO EN EL ASEGURAMIENTO DE LA GESTIÓN DE RIESGOS

El aseguramiento de la gestión de riesgos es un proceso esencial para garantizar la eficiencia y la resiliencia empresarial. Al establecer un marco de referencia claro, llevar a cabo evaluaciones periódicas y utilizar herramientas adecuadas, las organizaciones pueden fortalecer su capacidad para identificar y gestionar los riesgos de manera efectiva, protegiendo así su reputación y su valor en el mercado.

Otro aspecto importante es que el aseguramiento de la gestión de riesgos contribuye a fortalecer la transparencia y la rendición de cuentas dentro de la organización, ya que promueve la comunicación abierta sobre los riesgos y las medidas de control. Esto a su vez fomenta la confianza de las partes interesadas y mejora la reputación de la empresa en el mercado.

La evaluación de riesgos en auditoría interna sigue varios pasos, dentro del cual se identifican los riesgos potenciales que pueden afectar los objetivos de la organización. Esto implica una revisión exhaustiva de los procesos, sistemas y controles internos existentes para detectar posibles vulnerabilidades. Según Gramling (2020), este proceso de identificación se basa en la comprensión profunda de la estructura y operación de la entidad auditada.

Una vez identificados los riesgos, se procede a evaluar su probabilidad de ocurrencia y su impacto potencial. Esta evaluación se realiza utilizando técnicas como el análisis cualitativo y cuantitativo de riesgos. El análisis cualitativo se enfoca en la gravedad y la frecuencia de los riesgos, mientras que el análisis cuantitativo utiliza datos numéricos para calcular la exposición al riesgo (Gramling, 2020)

Es importante destacar que la evaluación de riesgos en auditoría interna no es un proceso estático, sino dinámico y continuo. Las condiciones del entorno empresarial pueden cambiar, surgiendo nuevos riesgos o modificando la probabilidad e impacto de los existentes. Por lo tanto, es necesario revisar y actualizar periódicamente la evaluación de riesgos para asegurar su relevancia y efectividad.

Para efectuar un aseguramiento de la gestión de riesgos se debe establecer un marco de referencia claro que defina los roles y responsabilidades relacionados con el aseguramiento. Esto incluye la designación de un comité de aseguramiento o la incorporación de funciones de aseguramiento en la estructura organizativa.

Para llevar a cabo una evaluación de la efectividad de las prácticas de gestión de riesgos existentes se puede requerir de revisiones periódicas de los procesos de identificación, evaluación y mitigación de riesgos, así como la revisión de informes y documentación relacionada con la gestión de riesgos.

En el aseguramiento de la gestión de riesgos es fundamental utilizar herramientas y técnicas adecuadas. Entre ellas se incluyen la realización de auditorías internas y externas, la implementación de controles y procedimientos de supervisión, y el uso de indicadores clave de rendimiento (KPI) para monitorear el desempeño en la gestión de riesgos (ISACA, 2021).

ISACA enfatiza la importancia del aseguramiento de la gestión de riesgos como un proceso integral que brinda confianza a las partes interesadas sobre la efectividad de las prácticas de gestión de riesgos de una organización. Este aseguramiento no solo implica la evaluación de los controles y procedimientos de gestión de riesgos, sino también la verificación de que se están implementando adecuadamente y están alineados con los objetivos estratégicos de la organización (ISACA, 2021).

4.1 Etapas del Proceso de Aseguramiento de la Gestión de Riesgos

ISACA propone un enfoque estructurado para el aseguramiento de la gestión de riesgos, que incluye varias etapas clave:

• Establecimiento de un marco de aseguramiento: En esta etapa, se define un marco de referencia que establece los roles y responsabilidades relacionados con el aseguramiento de la gestión de riesgos. Esto puede incluir la designación de un comité de aseguramiento, la identificación de métricas clave de rendimiento y la elaboración de políticas y procedimientos claros. el marco de gestión de riesgos de la organización, que incluye la identificación de las partes interesadas clave, la definición de los objetivos estratégicos, la evaluación de los riesgos potenciales y la implementación de los controles necesarios.

• Evaluación de controles y procedimientos: En esta fase se lleva a cabo una evaluación exhaustiva de los controles y procedimientos de gestión de riesgos existentes para determinar su efectividad y alineación con los estándares y mejores prácticas de la industria. Esto incluye la revisión de políticas, procedimientos, sistemas y prácticas de gestión de riesgos.

• Revisión de información y documentación: Se revisa la información y documentación relacionada con la gestión de riesgos, incluyendo informes de auditoría, análisis de riesgos y planes de mitigación, para garantizar su precisión y relevancia.

• Realización de pruebas y auditorías: Se realizan pruebas para verificar la implementación efectiva de los controles y procedimientos de gestión de riesgos para identificar áreas de mejora y la efectividad de los controles en la mitigación de los riesgos identificados. Esto puede incluir pruebas de cumplimiento, pruebas de funcionamiento de los controles y pruebas de respuesta a incidentes.

De acuerdo con el Instituto de Auditores Internos (2016) algunas de las pruebas de auditoría interna pueden incluir:

• Pruebas de control interno: Estas pruebas evalúan la efectividad de los controles internos en la gestión de riesgos. Se pueden realizar pruebas de diseño y pruebas de efectividad para verificar si los controles están adecuadamente diseñados y funcionan correctamente. Estas pruebas incluyen la revisión de procedimientos, la verificación de la segregación de funciones y la validación de autorizaciones. Por ejemplo, se puede realizar una prueba de autorización de transacciones financieras para asegurar que se sigan las políticas establecidas y prevenir posibles fraudes.
• Pruebas de cumplimiento normativo: Estas pruebas verifican si la organización cumple con las normativas y regulaciones relevantes en la gestión de riesgos. Esto puede incluir leyes financieras, ambientales, laborales y de seguridad. Realizar pruebas de cumplimiento asegura que la organización opere dentro de los límites legales y evite sanciones o multas por incumplimiento.
• Pruebas de análisis de datos: Estas pruebas utilizan análisis de datos y tendencias para identificar posibles riesgos y áreas de mejora. Se pueden emplear técnicas como el análisis de varianza o el análisis de tendencias. Las pruebas de análisis de datos involucran el examen de tendencias, patrones y variaciones significativas en los datos financieros y operativos. Por ejemplo, realizar un análisis de tendencias de ventas puede revelar cambios inesperados en el comportamiento del mercado, lo que puede ser indicativo de riesgos futuros.
• Pruebas de continuidad del negocio: Estas pruebas evalúan la preparación de la organización para enfrentar situaciones de crisis y garantizar la continuidad de las operaciones frente a eventos adversos. Las pruebas de continuidad del negocio son críticas para asegurar que la organización esté preparada para enfrentar situaciones de crisis y mantener la continuidad de las operaciones. Esto incluye la realización de simulacros de crisis, la revisión y actualización de planes de contingencia, y la evaluación de la capacidad de recuperación de sistemas y procesos clave.
• Seguimiento y mejora continua: Se realiza un seguimiento de las acciones correctivas recomendadas y se implementan mejoras en el proceso de gestión de riesgos según sea necesario. Esto asegura que el proceso de aseguramiento sea efectivo y se adapte a los cambios en el entorno empresarial.

Adicionalmente, ISACA sugiere varias herramientas y técnicas que pueden ser útiles en el proceso de aseguramiento de la gestión de riesgos:

• Utilización de indicadores clave de rendimiento (KPI): El uso de KPIs permite monitorear el desempeño en la gestión de riesgos y identificar áreas que requieren atención adicional.

• Revisiones de cumplimiento regulatorio: Las revisiones periódicas de cumplimiento regulatorio garantizan que la organización esté cumpliendo con las leyes y regulaciones aplicables relacionadas con la gestión de riesgos.

Algunos ejemplos de buenas prácticas en el aseguramiento de la gestión de riesgos que las organizaciones pueden adoptar, indicado por ISACA:

• Capacitación y concientización: Brindar capacitación regular a los empleados sobre los riesgos y controles clave ayuda a fortalecer la cultura de gestión de riesgos dentro de la organización.

• Implementación de tecnologías de gestión de riesgos: El uso de herramientas y software especializados en gestión de riesgos facilita la identificación, evaluación y mitigación de riesgos de manera eficiente.

Para evaluar riesgos de manera efectiva, es importante contar con tecnologías adecuadas que faciliten la recopilación, análisis y monitoreo de información relacionada con los riesgos empresariales. Aquí se exponen algunas tecnologías clave que pueden ser útiles en el proceso de evaluación de riesgos:

1. Software de gestión de riesgos (ERM): Estos programas permiten a las organizaciones identificar, evaluar y gestionar riesgos de manera centralizada. Pueden incluir funcionalidades como evaluación de riesgos, gestión de controles, seguimiento de incidentes y generación de informes.

1. Análisis predictivo y modelado estadístico: Herramientas de análisis avanzado que utilizan datos históricos y actuales para predecir futuros riesgos y oportunidades. El modelado estadístico puede ayudar a identificar patrones y tendencias en los datos relacionados con riesgos.

• Business Intelligence (BI) y Dashboards: Plataformas de BI que permiten visualizar datos clave relacionados con riesgos en forma de gráficos, tablas y paneles de control interactivos. Estas herramientas facilitan la toma de decisiones informadas al proporcionar información en tiempo real sobre el estado de los riesgos.

• Gestión de incidentes y eventos: Sistemas que ayudan a registrar, investigar y gestionar incidentes y eventos relacionados con riesgos. Estas plataformas permiten un seguimiento detallado de los incidentes y la implementación de acciones correctivas.

• Automatización de Procesos (RPA): Tecnologías que automatizan tareas repetitivas y manuales relacionadas con la gestión de riesgos, como la recopilación de datos, la generación de informes y la actualización de registros. Esto mejora la eficiencia y reduce errores.

• Análisis de redes y comportamiento: Herramientas que analizan la interconexión entre diferentes elementos dentro de una organización, como redes de proveedores, clientes y sistemas. Esto ayuda a identificar riesgos emergentes y entender cómo se propagan los impactos potenciales.

• Blockchain y tecnologías de registro distribuido (DLT): Estas tecnologías ofrecen un registro inmutable y transparente de transacciones y eventos, lo que puede ser útil para la gestión de riesgos en áreas como la cadena de suministro, la seguridad de datos y la integridad de la información.

• Análisis de Sentimiento y Opiniones: Herramientas que analizan datos no estructurados, como comentarios de clientes en redes sociales o opiniones de empleados, para identificar percepciones y riesgos reputacionales.

Sin embargo, para implementar de manera efectiva el aseguramiento de la gestión de riesgos empresariales, es necesario tener presente las algunas habilidades blandas, como las siguientes:

• Compromiso de la alta dirección: La alta dirección debe demostrar un compromiso firme con el proceso de aseguramiento, asignando recursos adecuados y estableciendo un tono desde la cima que promueva una cultura de gestión de riesgos efectiva.

• Desarrollo de capacidades: Es fundamental contar con personal capacitado y con experiencia en gestión de riesgos y aseguramiento. Se deben proporcionar oportunidades de formación y desarrollo profesional para garantizar la competencia y la eficacia del equipo.

• Colaboración y comunicación: Se debe fomentar la colaboración y la comunicación efectiva entre los diferentes departamentos y niveles jerárquicos de la organización para garantizar una evaluación integral de los riesgos y una implementación coherente de controles.

• Comunicación efectiva: La capacidad de comunicarse de manera clara y persuasiva es fundamental para transmitir información sobre riesgos de manera comprensible a todas las partes interesadas, desde el personal operativo hasta la alta dirección.

• Pensamiento crítico: La habilidad de analizar información de manera objetiva y cuestionar suposiciones ayuda a identificar posibles sesgos y evaluar la eficacia de los controles y procesos en la gestión de riesgos.
• Flexibilidad y adaptabilidad: Los entornos empresariales cambiantes requieren la capacidad de adaptarse rápidamente a nuevas circunstancias y ajustar las estrategias de gestión de riesgos según sea necesario.

• Ética y responsabilidad: Actuar con integridad y responsabilidad en la evaluación de riesgos es esencial para mantener la confianza de las partes interesadas y cumplir con los estándares éticos y legales.

• Resolución de problemas: La capacidad de identificar y abordar proactivamente los problemas en la gestión de riesgos ayuda a prevenir y mitigar posibles consecuencias negativas para la organización.

• Gestión del tiempo y priorización: Priorizar tareas y gestionar eficientemente el tiempo ayuda a realizar evaluaciones de riesgos de manera oportuna y efectiva, asegurando una respuesta adecuada a los riesgos identificados.

Al combinar estas habilidades blandas con conocimientos técnicos se puede lograr una evaluación integral y efectiva del aseguramiento de la gestión de riesgos en una organización.

4.2 Aseguramiento de la gestión de riesgos de acuerdo con el Modelo de Madurez de Capacidades de Integración (CMMI)

El Modelo de Madurez de Capacidades de Integración (CMMI, por sus siglas en inglés) es un marco de referencia utilizado para evaluar y mejorar la madurez de los procesos en una organización. En el contexto de la gestión de riesgos, el CMMI proporciona un conjunto de niveles de madurez que van desde niveles básicos hasta niveles avanzados de gestión de riesgos.

Carnegie Mellon University. (2017) diseñó el modelo Capability Maturity Model Integration (CMMI), que adaptado a la gestión de riesgos, comprende las siguientes etapas:

Cuadro 1. Capability Maturity Model Integration (CMMI)

Carnegie Mellon University. (2017)

Este modelo de madurez de riesgos basado en el CMMI proporciona un marco estructurado para evaluar y mejorar la capacidad de una organización para gestionar sus riesgos de manera efectiva, desde un enfoque inicial hasta una optimización continua de sus procesos de gestión de riesgos.

Es importante destacar que la participación del auditor interno en el aseguramiento de la gestión de riesgos y el rol que va a desempeñar depende en gran medida del nivel de madurez de la compañía, para ejemplificar su participación se detallan a continuación algunos ejemplos de las funciones de aseguramiento de acuerdo con la fase de madurez de una compañía:

Nivel 1 – Inicial:

• Los auditores internos pueden ayudar a identificar las deficiencias en los procesos de gestión de riesgos ad hoc y no estructurados.
• Pueden recomendar la implementación de un enfoque más formal y documentado para la gestión de riesgos.

Ejemplificación: Durante la revisión de un departamento, el auditor descubre que no hay un proceso formal para evaluar los riesgos asociados con la gestión de proyectos. En este caso puede recomendar la implementación de un proceso estructurado para identificar y mitigar los riesgos de manera proactiva, en este caso puede desempeñar funciones de consultoría con salvedades, como se indicó en la sección III. tres del presente artículo.

Nivel 2 – Gestionado:

• Los auditores internos pueden revisar y evaluar la efectividad de los procesos básicos de gestión de riesgos implementados.
• Pueden identificar áreas de mejora y ayudar a la organización a desarrollar procesos más robustos y consistentes.

Si, por ejemplo: Durante una auditoría, el auditor encuentra que el departamento de recursos humanos ha establecido controles básicos para gestionar los riesgos laborales, pero estos controles no están formalizados en un procedimiento documentado. Recomienda la documentación y estandarización de estos controles.

Nivel 3 – Definido:

• Los auditores internos pueden realizar auditorías detalladas de los procesos definidos de gestión de riesgos.
• Pueden evaluar el cumplimiento de las políticas y procedimientos establecidos y recomendar ajustes o mejoras según sea necesario.

A manera de ilustrar: El auditor examina el proceso de gestión de riesgos de un proyecto y encuentra que se siguen procedimientos documentados para identificar, evaluar y mitigar riesgos. Sin embargo, identifica que la capacitación del personal en estos procedimientos es insuficiente y recomienda un programa de capacitación.

Nivel 4 – Cuantitativamente Gestionado:

• Los auditores internos pueden trabajar en colaboración con equipos de análisis cuantitativo para evaluar y mejorar la medición y gestión de riesgos.
• Pueden revisar los modelos y métricas utilizados para la evaluación de riesgos y garantizar su precisión y relevancia.

Para contextualizar: El auditor trabaja con el equipo de gestión de riesgos para evaluar la efectividad de las métricas utilizadas para medir la probabilidad y el impacto de los riesgos. Identifica que algunas métricas no están alineadas con los objetivos estratégicos de la empresa y sugiere ajustes en el sistema de medición.

Nivel 5 – Optimizado:

• Los auditores internos pueden contribuir a la mejora continua de los procesos de gestión de riesgos mediante revisiones periódicas y evaluaciones de impacto.
• Pueden identificar oportunidades para optimizar la gestión de riesgos y fomentar una cultura de excelencia y aprendizaje en toda la organización.

En este caso, un ejemplo: El auditor lidera una iniciativa de revisión y mejora de los procesos de gestión de riesgos en toda la organización. Implementa un sistema de retroalimentación para recopilar comentarios y sugerencias de mejora de los empleados, lo que resulta en la optimización de los procesos y la mejora de la capacidad de la organización para gestionar riesgos de manera efectiva.

En estos casos se puede apreciar que los auditores internos desempeñan un papel crucial en el aseguramiento de la gestión de riesgos en todos los niveles de madurez CMMI, desde la identificación de deficiencias hasta la mejora continua, su participación contribuye a fortalecer los procesos de gestión de riesgos y garantizar el cumplimiento de las mejores prácticas y estándares de la industria.

V. CONCLUSIONES 

El rol del auditor interno en el aseguramiento de la gestión de riesgos es fundamental para garantizar la integridad, eficiencia y sostenibilidad de las organizaciones en un entorno empresarial cada vez más complejo y dinámico. A lo largo de este estudio se ha explorado cómo el auditor interno desempeña múltiples responsabilidades claves en la identificación, evaluación, monitoreo y mitigación de riesgos, destacando que su rol varía de acuerdo con la madurez de la empresa para contribuir así a la mejora continua. En esta conclusión, se resumen los aspectos más importantes del rol del auditor interno en el aseguramiento de la gestión de riesgos y su importancia estratégica para las organizaciones modernas.

El primer punto para destacar es la importancia de la independencia y objetividad del auditor interno. Al mantener una postura imparcial y libre de conflictos de interés, el auditor interno puede realizar evaluaciones de riesgos de manera objetiva y proporcionar recomendaciones basadas en evidencias sólidas. Esta independencia es crucial para asegurar que las decisiones relacionadas con la gestión de riesgos se tomen de manera transparente y basada en información confiable, así mismo esto está contemplado en las normas que regulan la profesión de la auditoría interna, emitidas por el Instituto de Auditores Internos.

Otro aspecto clave es la competencia y experiencia del auditor interno en el campo de la gestión de riesgos. La capacidad de identificar y evaluar riesgos de manera efectiva requiere un conjunto de habilidades técnicas, analíticas y de comunicación sólidas. Los auditores internos capacitados y experimentados pueden brindar una perspectiva crítica y objetiva sobre los riesgos a los que se enfrenta la organización, ayudando así a la alta dirección y al consejo de administración a tomar decisiones informadas y estratégicas.

El auditor interno también desempeña un papel crucial en el diseño y la implementación de procesos efectivos de gestión de riesgos. Al colaborar con diferentes departamentos y equipos, el auditor interno puede ayudar a desarrollar políticas, procedimientos y controles que sean adecuados y eficaces para mitigar los riesgos identificados, esto a manera de recomendaciones y tomando las salvaguardas necesarias.

Esta función contribuye directamente a fortalecer la resiliencia y la capacidad de respuesta de la organización frente a los desafíos y amenazas emergentes.

Además de su papel en la evaluación y mitigación de riesgos, el auditor interno también se involucra en la promoción de una cultura de gestión de riesgos en toda la organización. A través de actividades de capacitación, concientización y comunicación, el auditor interno puede fomentar una comprensión común de los riesgos y la importancia de su gestión en todos los niveles de la empresa. Esto ayuda a crear una cultura organizacional que valora la gestión proactiva de riesgos como un componente integral de la toma de decisiones y la estrategia empresarial.

En resumen, el rol del auditor interno en el aseguramiento de la gestión de riesgos es esencial para garantizar la viabilidad y el éxito a largo plazo de las organizaciones. Su independencia, competencia, participación en el diseño de procesos y promoción de una cultura de gestión de riesgos son pilares fundamentales para fortalecer la capacidad de las empresas para enfrentar y superar los desafíos del entorno empresarial actual. En última instancia, el trabajo del auditor interno contribuye a proteger el valor y la reputación de la empresa, así como a impulsar la toma de decisiones informadas y estratégicas.

VI. BIBLIOGRAFÍA

• Arens, A. A., & Loebbecke, J. K. (2017). Auditing and Assurance Services. United States. Pearson.
• Committee of Sponsoring Organizations of the Treadway Commission. (2017). Enterprise Risk Management – Integrating with Strategy and Performance. United States.
• Carnegie Mellon University. (2017). Capability Maturity Model Integration (CMMI). Pittsburgh, PA: Carnegie Mellon University Press.
• Gramling, A., Rittenberg, L. E., & Johnstone, K. M. (2020). Auditing: A Risk-Based Approach to Conducting a Quality Audit. Cengage Learning.
• (2021). Risk Assurance and Advisory Services. Recuperado de https://www.isaca.org/resources/risk-assurance-and-advisory-services
• Instituto de Auditores Internos (IIA). (2024). Normas Globales de Auditoría Interna. Recuperado de https://www.theiia.org/globalassets/site/standards/ippf/public-comment-draft/iia-global-internal-audit-standards-public-comment-draft pdf?trk=public_post_comment-text
• Instituto de Auditores Internos (IIA). (2011). Independence and Objectivity. Recuperado de https://www.theiia.org/globalassets/documents/content/articles/guidance/practice-guides/independence-and-objectivity/111032-prof-independenceobjectivity-pg-fnl.pdf
• Instituto de Auditores Internos (IIA). (2020). El Modelo de las Tres líneas. Recuperado de https://www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-spanish.pdf
• Instituto de Auditores Internos de España (La Fábrica del pensamiento). (2013). Marco de Relaciones de Auditoría Interna con otras Funciones de Aseguramiento: Guía Práctica. Recuperado de: https://documentacion.fundacionmapfre.org/documentacion/publico/es/media/group/1075977.do
• Instituto de Auditores Internos – Reino Unido e Irlanda. (2004). El Papel de la Auditoría Interna en la Gestión de Riesgos Empresariales. Recuperado de https://www.iia.org.uk/riskmanandinternalaudit
• Organización para la Cooperación y el Desarrollo Económico (OCDE). (2015). Gobernanza global y desarrollo: nuevos desafíos y prioridades de la cooperación internacional. Recuperado de https://www.cepal.org/es/publicaciones/38855-gobernanza-global-desarrollo-nuevos-desafios-prioridades-la-cooperacion
• Organización Internacional de Normalización. (2022). Gobernanza en las organizaciones, directrices. (Norma ISO nº 37001:2022).
• The Corporate Governance Council. (2012). Risk Governance Guidance for Listed Boards. Recuperado de Singapore-MAS-Code-of-Corporate-Governance-Risk-Governance-Guidance-for-Listed-Boards-10-5-2012.pdf (grcconsultingltd.com)