Cumplimientonoviembre 25, 2025

La creciente importancia de la auditoría interna en la gestión de los riesgos operativos

Autor: TeamMate

El riesgo operativo se ha convertido en un área de interés primordial para las organizaciones que buscan resiliencia en un entorno cada vez más complejo. Desde violaciones de la ciberseguridad hasta interrupciones en la cadena de suministro y amenazas internas, los riesgos operativos amenazan la estabilidad financiera, la reputación de la organización y el cumplimiento normativo. Si bien el equipo directivo y los responsables del riesgo son los principales responsables de la gestión del riesgo operativo, la auditoría interna desempeña un papel complementario a la hora de garantizar que los marcos de control interno sean sólidos, que se apliquen controles eficaces y que los riesgos se mitiguen adecuadamente.

Este artículo incluye los conceptos básicos de la gestión del riesgo operativo (ORM), explica varios marcos importantes y explora cómo encaja la auditoría interna en el debate sobre la ORM.

¿Quieres estar al día de Expert Insights?

Suscríbete a nuestro boletín para recibir mensualmente Expert Insights en tu bandeja de entrada.
Suscríbase ahora

¿Qué es el riesgo operativo?

Al considerar todos los riesgos de una organización, solemos utilizar cinco categorías de riesgo comunes: riesgos financieros, normativos, operativos, estratégicos y tecnológicos. En la práctica, los riesgos operativos suelen ser minimizados o descartados por los auditores, que se centran más en las áreas de riesgo financiero y tecnológico. Si bien los riesgos operativos abarcan una amplia variedad de temas, suelen clasificarse en una de estas cuatro categorías:

  • Riesgo humano: errores humanos, fraude, conducta indebida o problemas de personal. (Ejemplo: cualquier empleado que haga clic en un correo electrónico de phishing).
  • Riesgo de procesos: cuando los procesos no funcionan o son ineficaces. (Ejemplo: un proceso de gestión de proveedores deficiente que interrumpe la cadena de suministro).
  • Riesgo de sistemas: fallos tecnológicos y ciberataques. (Ejemplo: caída de un sistema crítico).
  • Riesgo de acontecimientos externos: riesgos que escapan completamente a su control. (Ejemplo: desastres naturales, pandemias, agitación política).

La auditoría interna revisa cómo se gestionan estos riesgos y busca puntos débiles que deban reforzarse. Los riesgos operativos pueden ser difíciles de controlar debido a la naturaleza manual del trabajo que se realiza dentro de una organización. A continuación se presentan algunos ejemplos de riesgos operativos:

  • Fallos en los procesos: errores en los flujos de trabajo rutinarios, como errores en la introducción de datos, errores de facturación o interrupciones en la cadena de suministro, a menudo causados por procedimientos mal diseñados u obsoletos.
  • Errores humanos: errores cometidos por los empleados, ya sea por falta de formación, por estar sobrecargados de trabajo o por negligencia. Esto puede incluir falta de comunicación, incumplimiento de los procedimientos o acciones no autorizadas.
  • Incidentes de ciberseguridad: violaciones de datos, ataques de ransomware y esquemas de phishing que comprometen información confidencial o detienen las operaciones.
  • Riesgo de terceros/proveedores: dependencia de proveedores de servicios externos que pueden incumplir sus obligaciones, introducir vulnerabilidades de seguridad o participar en prácticas poco éticas.
  • Fraude y conducta indebida: actividades fraudulentas internas o externas, como malversación, soborno o colusión, que provocan pérdidas económicas o de reputación.
  • Acontecimientos externos: Desastres naturales, pandemias, disturbios políticos o perturbaciones en la cadena de suministro que afectan a las operaciones y escapan al control de la organización.
  • Incidentes de salud y seguridad: accidentes laborales, condiciones inseguras o incumplimiento de las normas de seguridad en el trabajo.
  • Riesgo de modelos de IA: modelos y herramientas inexactos o mal utilizados con datos incompletos, lo que da lugar al uso de información errónea en la toma de decisiones.

Los ejemplos anteriores demuestran que los riesgos operativos son tan importantes de controlar como cualquier otro riesgo de la organización y deben someterse a una gestión de riesgos. 

¿Qué es la gestión del riesgo operativo?

La gestión del riesgo operativo consiste en identificar, evaluar, mitigar y supervisar los riesgos que surgen de las actividades comerciales diarias. A diferencia de los riesgos financieros o estratégicos, los riesgos operativos son inherentes a las operaciones de una organización y pueden afectar a todos los departamentos y funciones. Además, para que la ORM sea eficaz, la gestión de riesgos debe incluir la identificación y evaluación de los procesos de mitigación. La gestión de estos riesgos requiere la participación de personas familiarizadas con los procesos implicados y un profundo conocimiento del diseño de los controles.

La gestión del riesgo operativo está diseñada para proporcionar un enfoque estructurado que ayude a las organizaciones a prevenir y responder a posibles interrupciones y mejore la toma de decisiones, el cumplimiento y la resiliencia general. Mediante la identificación y el control proactivos de los riesgos, el objetivo es minimizar la probabilidad y el impacto de los fallos operativos. Muchos seguirán un marco de gestión del riesgo operativo para mantener este enfoque estructurado.

¿Qué es un marco de gestión de riesgos operativos (ORM)?

En esencia, un marco de gestión de riesgos operativos es el sistema que crea una organización para identificar, medir, gestionar y supervisar los riesgos operativos. Dado que los riesgos operativos están presentes en todas las organizaciones, resulta especialmente práctico utilizar un marco sencillo que se adapte a casi cualquier contexto. Un marco de riesgos básico suele incluir cinco pasos guiados por cuatro estrategias:

Cinco pasos para la gestión del riesgo operativo:

  • Identificación de riesgos: documentar los riesgos conocidos y su origen.
  • Evaluación de riesgos: medir el impacto de los riesgos.
  • Respuesta al riesgo: Implementar controles para prevenir o minimizar los riesgos.
  • Supervisión y revisión de riesgos: seguimiento de los controles para garantizar que siguen siendo eficaces a lo largo del tiempo.
  • Comunicar y ajustar: Asegurarse de que todos conozcan su función en relación con los controles implementados.

Cuatro estrategias de gestión de riesgos:

  • Evitar: Eliminar la situación que presenta el riesgo.
  • Transferir: Trasladar el riesgo a otra parte, por ejemplo, mediante la externalización y los seguros.
  • Mitigar: Reducir el impacto o la probabilidad del riesgo mediante la implementación de controles.
  • Aceptar: Aceptar el riesgo y sus posibles consecuencias. 

La auditoría interna suele centrarse en los riesgos que el equipo directivo ha decidido mitigar mediante controles internos. De este modo, la auditoría interna trabaja codo con codo con el equipo de gestión de riesgos y debe abordar los riesgos operativos, así como los riesgos estratégicos, de cumplimiento, financieros y tecnológicos

En última instancia, el objetivo de la gestión del riesgo operativo es más que evitar errores. La gestión de riesgos ayuda a la organización a equilibrar el coste y el esfuerzo de los controles con el nivel de riesgo que está dispuesta a asumir, y luego recuperarse rápidamente cuando algo sale mal.

Un vistazo rápido a dos marcos principales de gestión del riesgo operativo: NIST RMF y COSO ERM

De los marcos de gestión de riesgos operativos disponibles, dos destacan por su facilidad de uso: el marco de gestión de riesgos del NIST y el marco de gestión de riesgos empresariales del COSO.

Marco de gestión de riesgos (RMF) del NIST

Creado por el Instituto Nacional de Estándares y Tecnología, el RMF del NIST se orientó originalmente a los sistemas federales, pero desde entonces se ha adoptado ampliamente en todo tipo de organizaciones.

El RMF del NIST guía a las organizaciones a través de siete pasos:

  1. Preparación mediante el establecimiento de prioridades
  2. Categorizar los sistemas y procesos en función de su criticidad
  3. Seleccionar los controles adecuados
  4. Implementar esos controles
  5. Evaluar la eficacia de los controles
  6. Autorizar oficialmente los sistemas y procesos para su uso
  7. Supervisar y actualizar los controles de forma continua

Además de estos siete pasos, este marco de gestión del riesgo operativo hace hincapié en la comunicación dentro de la organización, desde los puestos operativos hasta el equipo de gestión de riesgos y el equipo directivo.

NIST RMF

Ver una demo

TeamMate+ Audit

Como líder mundial en software de gestión de auditoría, TeamMate ha revolucionado la industria, potenciando los departamentos de auditoría de todos los tamaños. Vea esta demostración de los beneficios más potentes de TeamMate+ Audit que lideran la evolución de la auditoría.

Duración: 2 minutos, 54 segundos
Ver demostración

Marco de gestión de riesgos empresariales (ERM) del COSO

Mientras que el NIST RMF se diseñó en torno al riesgo informático, el marco COSO ERM se creó para una aplicación más amplia. El COSO ERM abarca los riesgos estratégicos, operativos, financieros, reputacionales y de cumplimiento.

COSO ERM

El COSO ERM se basa en cinco componentes:

  1. Gobernanza y cultura
  2. Estrategia y establecimiento de objetivos
  3. Rendimiento
  4. Revisión y modificación
  5. Información, comunicación y presentación de informes

La auditoría interna suele utilizar el COSO ERM como marco de gestión de riesgos operativos para determinar si los esfuerzos de gestión de riesgos de una organización se ajustan a su estrategia y si la información sobre riesgos fluye adecuadamente hacia el equipo directivo.

El papel de la auditoría interna en la gestión del riesgo operativo

La auditoría interna desempeña un papel fundamental como proveedor independiente de aseguramiento dentro del modelo de gobernanza de la organización. Al ofrecer información y asesoramiento objetivos, los auditores evalúan la eficacia de las prácticas de gestión del riesgo operativo (ORM) y apoyan la mejora continua de la supervisión del riesgo.

Evaluación del marco de gestión de riesgos operativos

El primer paso para la auditoría interna es determinar si la organización ha establecido un marco formal de ORM que se ajuste a sus objetivos estratégicos, requisitos normativos y estándares del sector. Esta evaluación implica revisar cómo la organización identifica, evalúa y responde a los riesgos. Los auditores examinan las metodologías utilizadas para la identificación de riesgos, los criterios aplicados en las evaluaciones de riesgos y la calidad de la documentación relativa a las respuestas a los riesgos. Además, revisan el uso de indicadores clave de riesgo (KRI), los protocolos para la notificación y escalada de riesgos, y la asignación de funciones y responsabilidades para la propiedad de los riesgos.

Prueba de los controles operativos

Los auditores internos suelen tener más experiencia en la evaluación del diseño y la eficacia de los controles internos. En esta fase, los auditores revisan la documentación de los procesos, realizan simulacros y llevan a cabo pruebas de control para determinar si los controles operativos clave funcionan según lo previsto. Identifican las deficiencias o ineficiencias de los controles y ofrecen recomendaciones para mejorar el entorno de control.

Evaluación de la cultura de riesgo y la gobernanza

Una cultura de riesgo saludable influye en la eficacia de la gestión del riesgo operativo. La auditoría interna evalúa la cultura de riesgo de la organización analizando el tono en la cúpula directiva, la concienciación de los empleados y los esfuerzos de formación, el proceso de escalamiento de los problemas de riesgo y la capacidad de respuesta del equipo directivo ante los riesgos identificados. Una cultura de riesgo sólida favorece una mejor toma de decisiones y la asunción de riesgos en toda la organización.

Validación de las evaluaciones de riesgos

La auditoría interna revisa cómo se llevan a cabo las evaluaciones de riesgos en toda la organización y cuestiona los supuestos subyacentes cuando es necesario. Esto incluye verificar la documentación relacionada con las evaluaciones de riesgos para garantizar la coherencia y la justificación de las calificaciones de riesgo, asegurarse de que se incorporen los riesgos emergentes y confirmar que el apetito de riesgo y los umbrales de tolerancia estén claramente definidos y se respeten. Estas validaciones ayudan a alinear las evaluaciones de riesgos con las exposiciones reales de la empresa.

Asesoramiento sobre estrategias de riesgo operativo

Sin perder su independencia, la auditoría interna puede proporcionar un apoyo proactivo para reforzar las estrategias de riesgo operativo. Los auditores pueden participar en grupos de trabajo sobre gestión de riesgos, aportar ideas para el diseño de estructuras de información sobre riesgos y proporcionar información sobre los riesgos emergentes. Estas contribuciones pueden ayudar a mejorar la madurez y la capacidad de respuesta de la postura de la organización frente al riesgo.

Retos a los que se enfrenta la auditoría interna en la gestión del riesgo operativo

La gestión del riesgo operativo abarca un amplio espectro de temas, lo que plantea varios retos para la auditoría interna. Una cuestión clave es la rápida evolución del riesgo, especialmente en áreas impulsadas por la tecnología, como la inteligencia artificial o el blockchain, donde el ritmo del cambio puede superar los enfoques de auditoría tradicionales. Además, los recursos limitados hacen que los auditores no puedan ser expertos en todas las áreas. También es difícil encontrar el equilibrio entre ofrecer apoyo consultivo y mantener la independencia. Por último, la recopilación de datos fiables y completos sobre los riesgos sigue siendo un obstáculo, ya que la información suele estar fragmentada o incompleta.

Para hacer frente a estos retos, muchos equipos de auditoría interna están invirtiendo en la mejora de las competencias, aprovechando el análisis de datos y estableciendo relaciones de trabajo más estrechas, pero independientes, con sus homólogos de gestión de riesgos. El establecimiento de relaciones más sólidas fuera de la auditoría crea una colaboración más abierta y comprensiva. Estos esfuerzos son esenciales para garantizar que la auditoría interna siga siendo un socio relevante y estratégico en la supervisión del riesgo operativo.

¿Hacia dónde se dirige la auditoría interna?

El papel de la auditoría interna en la gestión del riesgo operativo no es estático, sino que está creciendo y cambiando rápidamente. Algunas de las tendencias que configurarán el futuro son:

  • Hacer frente a los riesgos tecnológicos emergentes, como las vulnerabilidades de la IA y el SaaS.
  • Hacer frente a un mayor escrutinio regulatorio, especialmente en sectores críticos.
  • Avanzar hacia una gestión integrada de riesgos que conecte los riesgos operativos, estratégicos y de cumplimiento.
  • Adoptar la auditoría ágil para mantener la flexibilidad y la capacidad de respuesta

Los equipos de auditoría que acepten estos cambios sin renunciar a sus principios fundamentales de aseguramiento ayudarán a sus organizaciones a prosperar en tiempos de incertidumbre.

La auditoría interna como aliada estratégica en la gestión de riesgos operativos (ORM)

Los riesgos operativos no van a desaparecer. De hecho, cada vez son más complejos. Las empresas pueden gestionarlos adecuadamente con marcos sólidos, un liderazgo claro y un esfuerzo de aseguramiento inteligente. La auditoría interna no se limita a detectar errores. Se trata de garantizar que las medidas de gestión de riesgos funcionen, ayudar a las empresas a evitar desastres costosos y convertir la gestión eficaz de riesgos en una ventaja competitiva. En un mundo en el que las perturbaciones son habituales, contar con la auditoría interna como socio estratégico en la gestión de riesgos operativos no solo es beneficioso, sino que supone una ventaja estratégica.

Suscríbase a continuación para recibir mensualmente Perspectivas de expertos en su bandeja de entrada.

¿No puede ver el formulario más adelante?

Es necesario que cambie la configuración de cookies para ver el formulario. Haga clic en el botón a continuación para actualizar sus preferencias y aceptar todas las cookies. Si desea obtener más información, revise nuestra Política de privacidad y cookies.

TeamMate
TeamMate
Para los auditores que se enfrentan al reto de mejorar la productividad de la auditoría a la vez que proporcionan valores estratégicos, TeamMate ofrece soluciones expertas, junto con servicios profesionales de primera calidad, a auditores de todo el mundo y de todos los sectores.
SOLUCIONES
TeamMate+ Audit
Gestión de la auditoría
Más Información
El software de gestión de auditorías líder mundial: permite a los departamentos de auditoría de todos los tamaños brindar mejores servicios
Más Información
Ver la Demo
Contacto

Artículos relacionados

  • Informe o contenido editorial
    Cumplimiento
    octubre 13, 2025

    ¿Cómo puede la auditoría interna ayudar a gestionar el riesgo en informática?

    En este artículo, revisaremos los conceptos básicos de la gestión de riesgos en informática e identificaremos las mejores prácticas con un marco de gestión de riesgos en informática.
    Más información
  • Informe o contenido editorial
    Cumplimiento
    septiembre 22, 2025

    Preparar la auditoría interna para el futuro: abordar las disrupciones tecnológicas emergentes

    Las tecnologías emergentes están avanzando a un ritmo sin precedentes, ofreciendo posibilidades transformadoras al tiempo que exponen a las organizaciones a nuevos riesgos.
    Más información
  • Informe o contenido editorial
    Cumplimiento
    septiembre 05, 2025

    El impacto revolucionario de la evaluación de riesgos basada en IA en la auditoría interna

    Descubra cómo la evaluación de riesgos basada en IA complementa la auditoría interna al transformar los enfoques de auditoría tradicionales.
    Más información
  • Informe o contenido editorial
    Cumplimiento
    agosto 29, 2025

    Debilidades del control interno: Identificación y soluciones para los auditores internos

    Comprenda las deficiencias de control interno a través de ejemplos reales y soluciones de prevención eficaces.
    Más información
Back To Top