Cómo comunicar la aceptación de riesgos según el IIA: Norma 11.5 NOGAI

¿Qué significa realmente “aceptación de riesgos”?

En gestión de riesgos, la aceptación ocurre cuando:

• Se identifica un riesgo.

• Se evalúa su impacto y probabilidad.

• Se decide no mitigarlo ni reducirlo más.

• La dirección asume las consecuencias potenciales.

Esto es completamente válido dentro de un modelo de gestión de riesgos.
El problema aparece cuando:

• El riesgo supera el apetito aprobado por el consejo.

• No existe documentación clara.

• La decisión no está formalmente escalada.

Aquí es donde entra la Norma 11.5 de las Normas Globales de Auditoría.

¿Cuándo debe intervenir la auditoría interna?

No cada vez que haya un riesgo.

El auditor debe actuar cuando:

• El riesgo residual es significativamente alto.

• La aceptación contradice políticas aprobadas.

• Puede comprometer la reputación, el cumplimiento o la sostenibilidad.

• Existe falta de evidencia o análisis suficiente.

La norma no convierte al auditor en “dueño del riesgo”, pero sí garantiza que el órgano de gobierno esté informado.

Ejemplo: Riesgo tecnológico aceptado por presión operativa

Una empresa detecta vulnerabilidades críticas en su sistema ERP. El equipo de TI propone actualizarlo, pero la dirección decide posponer la inversión por presupuesto.

Auditoría interna evalúa:

• Impacto potencial alto (ciberseguridad, datos financieros).

• Riesgo residual significativo.

• Ausencia de plan alternativo robusto.

La dirección acepta el riesgo.

Según la Norma 11.5 NOGAI, el Director de Auditoría debe:

1. Documentar la evaluación.

2. Confirmar que la aceptación fue formal.

3. Escalar al comité de auditoría si considera que el riesgo excede el apetito aprobado.

Esto permite garantizar una gobernanza responsable.

El desafío real: Cómo comunicar sin romper la relación

Muchos auditores temen que escalar un riesgo aceptado genere tensiones, pero la clave está en el enfoque en su comunicación asertiva:

❌ Incorrecto:
“La gerencia está tomando una mala decisión.”

✅ Correcto:
“Se ha identificado un riesgo cuyo nivel residual podría superar el apetito definido. Se informa al comité para su conocimiento y evaluación.”

La comunicación debe ser:

• Objetiva

• Basada en evidencia

• Documentada

• Alineada con políticas

Para documentar correctamente la aceptación de riesgos , estas son buenas prácticas alineadas con la Norma 11.5 NOGAI:

1. Evidencia del análisis del riesgo.

2. Posición formal de la dirección.

3. Comparación con el apetito de riesgo.

4. Registro en papeles de trabajo.

5. Comunicación formal al comité cuando corresponda.

📊 Aquí es donde la tecnología marca la diferencia . Cuando el seguimiento de riesgos aceptados se hace en hojas dispersas o correos, se pierde visibilidad.

Con una herramienta especializada en auditoría interna puedes:

• Registrar formalmente riesgos aceptados.

• Vincularlos al apetito de riesgo aprobado.

• Generar trazabilidad automática.

• Preparar reportes estructurados para el comité.

• Mantener evidencia organizada ante revisiones externas.

👉 Agenda una demo de Dynaudit y descubre cómo estructurar la comunicación de riesgos aceptados con trazabilidad y soporte documental inmediato del ciclo completo de auditoría interna.

¿Qué dice la Norma 11.5 NOGAI y por qué es tan relevante?

La Norma 11.5 de las Normas Globales de Auditoría – Comunicar la aceptación de los riesgos establece que cuando la alta dirección decide aceptar un nivel de riesgo que el auditor interno considera inaceptable o superior al apetito de riesgo definido, el director de auditoría interna debe comunicarlo al nivel apropiado de gobierno.

En términos simples: si la dirección decide asumir un riesgo significativo, la auditoría interna no puede quedarse en silencio para proteger la gobernanza.

Esta norma refuerza tres principios clave:

• Independencia de auditoría interna

• Responsabilidad frente al órgano de gobierno

• Transparencia en la gestión del riesgo

Y aquí está el punto crítico: la auditoría sabe detectar riesgos, pero no siempre cómo comunicar formalmente la aceptación de esos riesgos sin generar fricción innecesaria.

Si trabajas en auditoría interna, gobierno corporativo o gestión de riesgos y quieres entender de forma clara las nuevas exigencias del Marco NOGAI del IIA, suscríbete a nuestro blog. Publicamos análisis prácticos, guías aplicables y ejemplos reales para fortalecer tu función de auditoría.

👉 Suscríbete aquí y recibe contenidos especializados en auditoría interna.

Beneficios a corto plazo:

Mejor soporte ante comités.

• Reducción de reprocesos.

• Mayor claridad en decisiones sensibles.

• Protección de la independencia del auditor.

Impacto estratégico de aplicar bien la Norma 11.5

Cuando esta norma se aplica correctamente:

• Se fortalece el gobierno corporativo.

• Se protege la independencia del director de auditoría.

• Se mejora la transparencia organizacional.

• Se reduce la exposición a riesgos no controlados.

• Se eleva el rol estratégico de auditoría interna.

Y algo aún más importante: El auditor deja de ser visto como “detector de fallas”
Y pasa a ser el que garantiza las decisiones informadas.

Conclusión: La Norma 11.5 trata de responsabilidad

La aceptación de riesgos es parte natural del negocio, pero comunicar adecuadamente esa aceptación cuando supera límites estratégicos es parte esencial del rol de auditoría interna según el IIA y las áreas que la aplican con criterio suelen ganar mayor credibilidad frente al comité y la alta dirección.

📚 ¿Quieres seguir profundizando en NOGAI y buenas prácticas de auditoría interna?

Explora más artículos prácticos explorando nuestro blog para fortalecer tu función con contenido especializado:

• Programas de trabajo en auditoría: cómo supervisar y mejorar desempeño según IIA

• Priorización de unidades auditables: guía práctica para auditoría interna

• Auditoría continua: qué es y cómo aplicarla

Suscribete a la Ruta del Auditor

No te pierdas más guías, consejos y actualizaciones que potenciarán tu carrera.