La gestión de riesgos es el proceso que atraviesa una empresa para identificar, evaluar y priorizar los riesgos. Durante una auditoría de gestión de riesgos, la empresa empleará a un individuo interno o externo para revisar los pasos de gestión de riesgos que ha tomado una empresa. Los auditores revisarán los planes específicos de gestión de riesgos para garantizar que sean relevantes, oportunos y efectivos. Las empresas utilizarán auditorías como parte del proceso de gestión de riesgos para garantizar que el plan o los procedimientos no se vencen si no se usan con frecuencia.

La separación de la función de gestión de riesgos de la auditoría de gestión de riesgos permite a una empresa tener un segundo par de ojos para revisar los planes de gestión de riesgos. Esto también crea una segregación natural de los deberes dentro de la empresa. La segregación de funciones garantiza que un empleado no tenga demasiada responsabilidad o control sobre una función comercial interna. Otra ventaja de esta separación es garantizar que varios empleados tengan conocimiento del plan de gestión de riesgos de una empresa. Esto asegura que la ausencia de un empleado no cree un riesgo en sí mismo o dentro de la organización.

El uso de un auditor externo para la auditoría de gestión de riesgos puede mejorar aún más este proceso para garantizar que la empresa haya creado un plan adecuado para la gestión de riesgos. Las empresas en algunas industrias también pueden beneficiarse del conocimiento de un auditor externo de una industria y la capacidad de ofrecer sugerencias para revisar el plan de gestión de riesgos. Las empresas que necesitan certificación de una agencia externa también se beneficiarán de una auditoría externa de gestión de riesgos. Por ejemplo, las empresas que buscan fondos de bancos o prestamistas pueden necesitar proporcionar una declaración del auditor que detalle el plan de la compañía para administrar y evitar riesgos.

El proceso de auditoría de gestión de riesgos generalmente seguirá unos pocos pasos básicos, aunque las auditorías suelen ser individuales para cada empresa. La auditoría comenzará con una reunión para discutir el alcance de la auditoría y determinar qué riesgos cree el equipo gerencial de la compañía que son más peligrosos para la compañía. Después de esta reunión inicial, los auditores diseñarán un plan escrito para seleccionar una muestra y los métodos de prueba para determinar qué tan efectivo parece ser el plan de gestión de riesgos de la compañía en comparación con la posibilidad de cada riesgo.

La realización de una auditoría generalmente no es un proceso frecuente. Las auditorías son largas y costosas, que son dos inconvenientes importantes para este proceso. La mayoría de las empresas realizan una revisión informal de su plan de gestión de riesgos internamente. Las auditorías formales representan un evento anual o semestral que permite a la compañía someterse a una revisión exhaustiva. La mayoría de las veces, esta auditoría será independiente de la auditoría financiera de la compañía, ya que los procedimientos son diferentes para cada tipo de auditoría.