Por: CP Iván Rodríguez. Colaborador de Auditool
En un entorno empresarial caracterizado por la volatilidad, la disrupción tecnológica y la creciente complejidad regulatoria, la gestión de riesgos empresariales (ERM) ha dejado de ser un ejercicio meramente reactivo o de cumplimiento. Hoy se posiciona como un elemento estratégico clave para la generación de valor y la resiliencia organizacional. Frente a esta nueva realidad, el auditor debe asumir un rol transformador. No se debe limitar a evaluar controles; su papel abarca ahora ser asesor estratégico, facilitador de cultura de riesgo y garante de la alineación entre riesgos y objetivos organizacionales. Toda vez que el ERM ha evolucionado hacia un enfoque estructurado y sistémico que integra riesgos estratégicos, operativos, financieros y de cumplimiento, corresponde al auditor moderno comprender que su contribución, más que en detectar fallas, está en mejorar la capacidad de la organización para anticiparse y adaptarse.
El auditor no se debe limitar a evaluar controles; su papel abarca ahora ser asesor estratégico, facilitador de cultura de riesgo y garante de la alineación entre riesgos y objetivos organizacionales.
Uno de los pilares de una ERM efectiva es la construcción de una mentalidad informada en riesgos desde la alta dirección hasta los niveles operativos. Esto implica para el auditor, entre otras actividades:
Construir una mentalidad informada en riesgos
• Evaluar si el gobierno corporativo incorpora el riesgo en la toma de decisiones.
• Verificar que el consejo de administración participe activamente en discusiones basadas en riesgos.
• Promover programas de sensibilización sobre riesgos en toda la organización.
El auditor no solo revisa la cultura, sino que contribuye a fortalecerla mediante recomendaciones prácticas que integren el riesgo en la estrategia.
🔍 Visión integral del riesgo
De otra parte, la optimización de la estrategia de riesgos exige una visión completa del entorno interno y externo de la organización. En ese sentido, corresponde al auditor:
• validar la metodología de identificación y evaluación de riesgos,
• revisar la participación de múltiples partes interesadas en la evaluación y
• analizar la calidad de la información utilizada para la toma de decisiones.
El auditor debe asegurar que la organización no opere con una visión fragmentada del riesgo, sino con un mapa integral y dinámico del mismo.
⚖️ Alineación del apetito y la tolerancia al riesgo
Un tema que debe tenerse en cuenta es la alineación del apetito y la tolerancia al riesgo. Las organizaciones deben definir con claridad el nivel de riesgo que están dispuestas a asumir. Por su parte, le corresponde al auditor:
• evaluar la consistencia entre el apetito de riesgo y la estrategia empresarial,
• verificar que las decisiones operativas reflejen dicha tolerancia así como
• identificar desviaciones entre el riesgo asumido y el riesgo permitido.
También es conveniente que promueva una visión moderna del riesgo, entendida no solo como amenaza, sino también como oportunidad de generación de valor.
Eventos de alto impacto: los "cisnes negros"
Uno de los aportes más relevantes del enfoque actual en la gestión de riesgos es el reconocimiento de los eventos de alto impacto y baja probabilidad, conocidos como "cisnes negros". Esto representa un desafío para el auditor, quien debe:
• cuestionar los modelos tradicionales basados exclusivamente en probabilidad,
• evaluar la existencia de planes de contingencia robustos y
• analizar la capacidad de resiliencia organizacional ante escenarios extremos.
El auditor debe impulsar una transición hacia un enfoque basado en impacto y resiliencia, más que en probabilidades históricas.
Ahora bien, la gestión de riesgos no puede realizarse de forma aislada ni en silos departamentales. En un entorno empresarial cada vez más complejo e interconectado, se requiere un enfoque colaborativo, transversal e integrado que involucre activamente a todas las áreas de la organización. Solo mediante la coordinación entre departamentos es posible obtener una visión completa y realista de los riesgos que afectan a la entidad en su conjunto. En este contexto, el auditor interno adquiere un rol estratégico como integrador organizacional. Sus principales responsabilidades incluyen:
🔗 Evaluar la integración de áreas
Evaluar la integración de diferentes áreas en el proceso de gestión de riesgos, verificando que existan mecanismos formales de coordinación y que las decisiones de riesgo no se tomen de manera fragmentada.
📡 Analizar el flujo de información
Analizar la calidad del flujo de información entre departamentos, identificando posibles cuellos de botella, duplicidades o brechas en la comunicación que puedan distorsionar la percepción del riesgo real.
👥 Verificar la inclusión de perspectivas
Verificar la inclusión de diversas perspectivas en la identificación, evaluación y respuesta a los riesgos. Esto implica comprobar que se escuchen las voces de las distintas unidades de negocio, áreas de soporte y niveles jerárquicos, evitando sesgos derivados de visiones parciales.
Gracias a esta labor, el auditor no solo cumple una función de control, sino que promueve activamente una visión sistémica del riesgo. Se convierte en un facilitador que ayuda a la organización a entender que los riesgos no respetan fronteras departamentales y que su gestión efectiva depende de la capacidad de trabajar de forma coordinada y alineada con los objetivos estratégicos. De otra parte y teniendo en cuenta que la tecnología se ha consolidado como un habilitador clave para mejorar la eficiencia, la calidad y la oportunidad de la gestión de riesgos, el auditor debe prestar especial atención al rol que juega la tecnología en el modelo de gestión de riesgos.
Importa mencionar que el enfoque moderno de ERM se estructura en tres fases: recopilación de datos, análisis/priorización y generación de informes. Frente a ello, el rol del auditor en cada fase es (o debe ser) el siguiente:
La gestión de riesgos no busca evitar el fracaso, sino impulsar la agilidad, la visión y el crecimiento organizacional. En este sentido, el auditor aporta valor cuando anticipa riesgos emergentes, conecta el riesgo con la estrategia, facilita la toma de decisiones informadas y promueve la resiliencia organizacional.
El auditor del siglo XXI contribuye a que las organizaciones no solo sobrevivan a la incertidumbre, sino que la transformen en una ventaja competitiva sostenible.
Como se aprecia, el auditor del siglo XXI es un actor clave en la optimización de la estrategia de riesgos empresariales. Su rol trasciende la verificación para convertirse en un aliado estratégico de la alta dirección y del gobierno corporativo. Al fomentar una cultura de riesgo, evaluar el uso de tecnología, integrar perspectivas organizacionales y promover una visión proactiva del riesgo, el auditor contribuye a que las organizaciones no solo sobrevivan a la incertidumbre, sino que la transformen en una ventaja competitiva sostenible.
CP Iván Rodríguez - CIE AF
Colaborador de Auditool
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Y luego Agregar a la pantalla de inicio.
Escribir un comentario