Gestión de riesgos GRC: La guía para una empresa proactiva

La mayoría de los consejos sobre gestión de riesgos GRC se han quedado estancados en la década equivocada.

Indica a los líderes que refuercen las políticas, documenten los controles, superen las auditorías y actualicen los registros de incidencias. Eso no es una estrategia. Es papeleo disfrazado de jerga de gobernanza. Puede que satisfaga a un comité durante un trimestre, pero no detiene los problemas internos que perjudican a las empresas: mala conducta, conflicto de intereses, fraude laboral, fallos en las represalias, falta de integridad y decisiones de liderazgo tomadas demasiado tarde.

La debilidad es evidente. Los programas tradicionales de GRC (Gobierno, Riesgo y Cumplimiento) están diseñados para registrar lo sucedido, demostrar lo documentado y responder a posteriori. El riesgo del factor humano no espera a que se complete ese ciclo. Se manifiesta a través de las personas, los incentivos, las excepciones, el silencio y la supervisión fragmentada.

Los responsables de la toma de decisiones en Cumplimiento Normativo, Recursos Humanos, Asuntos Legales, Seguridad y Auditoría Interna deben dejar de tratar el riesgo humano como un asunto secundario. Es fundamental para la gestión moderna del riesgo GRC . Si su marco de trabajo no detecta las señales de alerta internas a tiempo, está incompleto. Si lo impulsa a adoptar prácticas invasivas, crea una segunda responsabilidad al intentar solucionar la primera.

La única vía racional es un modelo proactivo, ético, no intrusivo y operativamente útil. Esto implica prevención basada en IA, flujos de trabajo compartidos, responsabilidad compartida y un diseño alineado con la EPPA desde el primer día.

Más allá de la lista de verificación: Por qué falla la gestión tradicional de riesgos GRC

El consejo habitual es que una buena gestión de riesgos y cumplimiento normativo (GRC) comienza con políticas, bibliotecas de controles, preparación para auditorías y mapeo regulatorio. Esto suena sensato, pero muchos programas pasan por alto la verdadera causa del fracaso empresarial.

La gestión tradicional de riesgos GRC se basa en listas de verificación excesivas y ofrece poca información útil.

El contenido existente sobre GRC se centra en gran medida en el cumplimiento externo y la gestión del riesgo operativo, pero ofrece una guía limitada sobre la detección proactiva de amenazas internas. Esto crea un punto ciego, ya que los marcos actuales carecen de sistemas de inteligencia de amenazas internas en tiempo real que operen sin métodos invasivos, lo que obliga a las organizaciones a depender de investigaciones reactivas una vez descubierta la mala conducta, como señala Sprinto en su análisis delproceso de gestión de riesgos de GRC .

La actividad de cumplimiento no es un control de riesgos.

Una declaración jurada de política completa no indica si un gerente está abusando de su discreción.

Una auditoría superada no indica si está surgiendo un conflicto de intereses dentro de una función clave.

Un sistema de seguimiento de actualizaciones normativas no indica si los departamentos de Recursos Humanos, Asesoría Jurídica y Cumplimiento Normativo están observando las mismas señales de alerta internas.

Ese es el problema. La mayoría de los programas heredados miden la finalización de los procesos, pero no si la organización se está encaminando hacia un incidente de integridad interna.

El riesgo del factor humano es donde fallan los marcos

La mayoría de los fallos internos graves no comienzan como incidentes que acaparan los titulares. Comienzan como señales débiles.

Esas señales aparecen en todos los departamentos:

• El departamento de recursos humanos detecta problemas laborales que parecen aislados.

• El departamento de cumplimiento detecta excepciones a las políticas que parecen administrativas.

• El departamento legal observa patrones de exposición que parecen manejables.

• Auditoría Interna detecta deficiencias en los controles que parecen rutinarias.

• El equipo de seguridad detecta usos indebidos de acceso que parecen operativos.

Por separado, cada señal parece insignificante. Juntas, describen la concentración de riesgo.

Por eso el modelo antiguo no da los resultados esperados. Divide la responsabilidad entre distintos departamentos y espera a tener certeza antes de actuar. Cuando llega esa certeza, el daño ya es considerable.

Las investigaciones reactivas son un síntoma de un mal diseño.

Si su modelo operativo se activa solo después de una denuncia formal, un siniestro o una queja formal, su marco GRC no es preventivo, sino forense.

Esto tiene consecuencias. Las investigaciones consumen tiempo de los líderes, generan complejidad legal, desestabilizan a los equipos y obligan a tomar medidas correctivas apresuradas bajo presión. El impacto en las operaciones y la reputación es considerable, por lo que los líderes deben analizar el verdadero costo de las investigaciones reactivas .

La cruda realidad es simple. La mayoría de las organizaciones no tienen primero un problema de políticas, sino un problema de detección temprana.

La lista de verificación GRC no puede resolver eso porque no fue diseñada para ello. Fue diseñada para documentar, probar y defender. Las organizaciones modernas necesitan algo más: un marco que identifique el riesgo del factor humano con la suficiente antelación para prevenir su escalada, al tiempo que protege la dignidad de los empleados y se mantiene dentro de los límites legales.

Deconstruyendo el riesgo de gobernanza y el cumplimiento normativo

Muchos equipos hablan de GRC como si fueran tres departamentos separados con un mismo acrónimo. Esa es una de las razones por las que la gestión de riesgos de GRC se vuelve lenta, fragmentada y políticamente complicada.

Una perspectiva más acertada es la siguiente: la gobernanza establece la dirección. La gestión de riesgos identifica lo que podría desviarla. El cumplimiento normativo mantiene a la organización dentro de los límites requeridos durante su desarrollo. Si un pilar es débil, todo el sistema se tambalea.

Si necesita una base sencilla antes de profundizar, la explicación de Escrow Consulting Group sobre ¿Qué es la gestión de riesgos? es una útil introducción externa. La cuestión crucial para los líderes empresariales no es la definición, sino la integración.

La gobernanza decide quién es el responsable del problema.

La gobernanza no es una diapositiva de la junta directiva. Es un modelo de rendición de cuentas.

Responde a preguntas que muchas organizaciones evitan durante demasiado tiempo:

• ¿Quién es responsable del riesgo del factor humano a nivel empresarial?

• ¿Qué señales requieren una revisión interdisciplinaria?

• ¿Cuándo un problema de recursos humanos se convierte en un problema de riesgo?

• ¿Cuándo requiere una intervención legal un problema de cumplimiento normativo?

• ¿Quién decide las medidas de mitigación y quién verifica su cumplimiento?

Sin una gobernanza clara, el riesgo interno queda atrapado en la toma de decisiones locales. Los gerentes protegen su función. Los equipos minimizan la incertidumbre. La escalada de problemas se produce tarde.

La buena gobernanza hace lo contrario. Asigna la responsabilidad antes de que ocurra el incidente.

La gestión de riesgos debe incluir personas, no solo procesos.

Muchas empresas afirman gestionar los riesgos empresariales, pero siguen tratando el riesgo humano interno como un asunto de recursos humanos, un asunto de la línea directa de ética o un asunto de gestión de casos. Eso es demasiado limitado.

El riesgo del factor humano se incluye dentro del riesgo empresarial porque las personas crean, eluden, debilitan o refuerzan los controles. Las políticas no actúan por sí solas. Lo hacen los gerentes, los empleados, los proveedores y los ejecutivos.

Eso significa que su modelo de riesgo debe conectar:

• Sensibilidad de rol con autoridad para tomar decisiones

• Excepciones a la política con presión empresarial

• Patrones de conflicto con actividades de adquisiciones, finanzas o liderazgo.

• Preocupaciones sobre la conducta en el lugar de trabajo con exposición a la gobernanza

• Problemas de remediación reiterados con debilidad en el control

Muchos marcos de trabajo fallan en este punto, ya que capturan categorías pero no relaciones.

En este marco GRC se describe una estructura integrada y práctica, especialmente para organizaciones que intentan conectar la supervisión, la respuesta y la rendición de cuentas.

El cumplimiento es el límite, no la estrategia completa.

El cumplimiento normativo es fundamental. Protege a la organización de infringir los requisitos legales, reglamentarios e internos.

Pero el cumplimiento normativo no es el objetivo de GRC. Es una condición límite. Si toda tu estrategia se basa en demostrar el cumplimiento, siempre estarás mirando hacia atrás.

Los programas más sólidos utilizan el cumplimiento normativo como un insumo para el juicio empresarial, no como un sustituto del mismo. Se preguntan:

Por eso, una gestión de riesgos GRC madura no puede limitarse a un mero ejercicio de documentación. Gobernanza, riesgo y cumplimiento deben funcionar como un único sistema operativo. De esta forma, los líderes pueden identificar las vulnerabilidades internas con antelación, asignar responsabilidades rápidamente y actuar antes de que un problema evitable se convierta en un problema para el consejo de administración.

El cambio proactivo de la investigación forense reactiva a la inteligencia preventiva

El modelo tradicional sigue vigente. Llega una queja. Se produce una pérdida. Un informante denuncia. Una anomalía se vuelve demasiado evidente como para ignorarla. Entonces, la organización moviliza a abogados, investigadores, recursos humanos, auditores y directivos.

Eso no es una gestión de riesgos GRC sólida. Es una respuesta tardía disfrazada de control.

El problema de fondo es legal y ético. La literatura sobre GRC rara vez aborda la tensión entre la identificación proactiva de riesgos internos y los derechos de privacidad de los empleados según regulaciones como la Ley de Protección de Empleados contra el Polígrafo (EPPA). Esta brecha empuja a las organizaciones hacia el cumplimiento reactivo o la monitorización intrusiva, ambas generando responsabilidad. Kraft Business señala que el GRC moderno necesita IA ética y compatible con la EPPA para la detección de riesgos internos, a fin de resolver esta paradoja, en su análisis de qué es el GRC .

¿Por qué la investigación forense reactiva sigue fallando?

La ciencia forense reactiva tiene tres fallos estructurales.

En primer lugar, empieza demasiado tarde. Para cuando un asunto se formaliza, el problema ya se ha extendido a través de personas, registros, aprobaciones y niveles de gestión.

En segundo lugar, es costoso de una manera equivocada. El dinero gastado después de una escalada rara vez restablece la confianza, la moral o la credibilidad del liderazgo. En su mayoría, se destina a financiar la contención.

En tercer lugar, perjudica la cultura organizacional. Los empleados perciben interrupciones, restricciones de confidencialidad y demoras en la respuesta. Los líderes ven fricción y exposición. Nadie ve medidas preventivas.

Un enfoque reactivo también genera confusión operativa. Recursos Humanos puede tener información que el departamento Legal desconoce. Auditoría puede estar al tanto de fallos en controles adyacentes. Cumplimiento puede conocer la dimensión de la política. Seguridad puede comprender el uso indebido del acceso. Sin una capa de inteligencia preventiva, cada función trabaja con una visión parcial.

La inteligencia preventiva es el nuevo estándar.

La inteligencia preventiva no significa tratar a los empleados como objetivos. Significa desarrollar un método disciplinado para reconocer indicadores de riesgo significativos con anticipación, canalizarlos y responder de manera proporcional.

Eso requiere:

• Recepción interfuncional para que las señales de RR. HH., Cumplimiento, Legal y Auditoría no queden atrapadas en colas separadas.

• Revisión del riesgo contextual para que los problemas aislados puedan entenderse como parte de un patrón más amplio.

• Modelos de respuesta gradual para que no todas las señales se conviertan en una investigación completa.

• Flujos de trabajo de mitigación documentados para que los líderes puedan actuar con anticipación sin improvisar.

A continuación se presenta una forma práctica de entender este cambio.

¿Qué deberían cambiar los líderes ahora?

Los líderes deberían dejar de preguntarse si un problema es lo suficientemente grave como para escalarlo solo cuando la evidencia es obvia. Deberían diseñar sistemas que identifiquen patrones preocupantes antes de que la certeza se convierta en daño.

Eso implica cambiar los supuestos operativos:

1. Trate el riesgo humano interno como un riesgo empresarial. No lo deje confinado a una sola función.

2. Implemente flujos de trabajo de alerta temprana. Si su primera acción formal comienza después de que se presenta el daño, rediséñela.

3. Utilice vías de mitigación, no decisiones binarias. La mayoría de los problemas deben pasar por un proceso de revisión, aclaración, apoyo, ajuste de controles o intervención específica antes de convertirse en hechos legales.

4. Adopte herramientas que fomenten la prevención ética. Un ejemplo práctico de cómo este enfoque vincula la identificación de riesgos con la acción se describe en este recurso sobre riesgos y mitigación .

Las empresas que sobresaldrán en la gestión de riesgos GRC no serán las que tengan los manuales de políticas más extensos, sino las que puedan detectar los riesgos del factor humano con antelación, actuar con ética y reducir la necesidad de costosas correcciones.

Implementación de un marco ético de gestión de riesgos GRC

El mercado se mueve rápidamente, pero la mayoría de las organizaciones no. El mercado global de GRC (Gobierno, Riesgo y Cumplimiento) alcanzó un valor de 48.700 millones de dólares en 2023 y se prevé que llegue a 179.500 millones de dólares en 2032 , con una tasa de crecimiento anual compuesta (CAGR) del 15,6% entre 2024 y 2032. Sin embargo, según el informe de Zion Market Research sobre el mercado de gobernanza, gestión de riesgos y cumplimiento , solo el 36% de las organizaciones implementan actualmente un programa formal de ERM (Gestión de Riesgos Empresariales). La demanda de plataformas integradas está creciendo, pero la madurez en su implementación no.

Esa brecha es donde se estancan la mayoría de los programas de gestión de riesgos GRC .

Comience con un modelo de riesgo que incluya a las personas.

Muchos proyectos de implementación fracasan porque comienzan con controles, no con la exposición a riesgos.

Una secuencia más fuerte es:

1. Mapea las categorías de riesgo interno relacionadas con el factor humano. Incluye preocupaciones sobre la integridad, conflictos de intereses, exposición a conductas indebidas, acceso restringido según el rol, riesgo de represalias y escenarios de fraude en el lugar de trabajo.

2. Defina las fuentes de señales. Utilice datos de entrada empresariales aprobados, como registros de casos, flujos de trabajo de políticas, declaraciones, historial de investigaciones, contexto de roles y excepciones de gobernanza.

3. Establezca umbrales de escalamiento. Decida qué se mantiene a nivel local, qué requiere una revisión interfuncional y qué pasa a la supervisión de la alta dirección.

No se trata de generar ruido. Se trata de asegurar que la organización sepa lo que busca.

Construir una capa operativa que abarque todas las funciones.

El mayor error de implementación consiste en asignar a cada equipo su propio flujo de trabajo y esperar que la colaboración surja más adelante.

No lo hace.

Los departamentos de Cumplimiento Normativo, Recursos Humanos, Asesoría Jurídica, Seguridad y Auditoría Interna necesitan una plataforma operativa compartida con permisos claros, reglas de enrutamiento definidas y medidas de mitigación documentadas. Una opción en este ámbito es Logical Commander Software Ltd. , cuya plataforma E-Commander centraliza la inteligencia de riesgos internos, los flujos de trabajo de cumplimiento normativo y las medidas de mitigación, incluyendo el módulo de Riesgos y Recursos Humanos para escenarios de integridad, ética, mala conducta, conflicto de intereses, abuso interno y fraude laboral.

El requisito práctico va más allá de la elección de una sola plataforma. Su marco de trabajo debe convertir la colaboración en algo habitual, no en una hazaña heroica.

Utilice medidas correctivas antes de las acciones de crisis.

Demasiadas organizaciones pasan directamente de la falta de visibilidad a la escalada formal sin un paso intermedio. Eso es un mal diseño.

Un marco ético necesita una escala de respuesta:

• Aclaración y revisión de cuestiones ambiguas

• Ajuste del control cuando la debilidad del proceso es el problema

• Intervención política específica cuando el comportamiento y las normas divergen.

• Escalada de liderazgo cuando aumenta la gravedad del patrón

• Tramitación formal del caso solo cuando sea necesario

Establecer un ritmo de gobernanza

Un marco preventivo fracasa si solo se activa durante los incidentes.

Utilice una estructura de revisión permanente. No para crear burocracia, sino para fomentar un juicio disciplinado e interfuncional. Cada revisión debe responder a tres preguntas:

Los líderes no necesitan más paneles de control. Necesitan decisiones más claras, mayor responsabilidad e intervención temprana. Eso es lo que debería ofrecer una implementación ética de la gestión de riesgos GRC .

El papel de la IA en la gestión ética de riesgos y cumplimiento normativo (GRC) y la detección de amenazas internas.

La IA es o bien un multiplicador del criterio o un atajo hacia la responsabilidad. En la gestión de riesgos GRC , hay muy poco término medio.

Bien utilizada, la IA ayuda a los equipos a conectar señales de riesgo, respaldar la alineación de políticas, priorizar la respuesta y reducir el trabajo manual. Cuando se usa incorrectamente, empuja a las organizaciones hacia prácticas invasivas, sistemas de puntuación poco transparentes y afirmaciones legalmente peligrosas sobre las personas.

La distinción importa.

¿Qué debería hacer la IA ética?

La IA tiene cabida en la gestión de riesgos y cumplimiento normativo (GRC) cuando ayuda a los responsables de la toma de decisiones sin menoscabar la dignidad de los empleados.

Eso significa que la IA debería ayudar con tareas como:

• Reconocimiento de patrones en datos empresariales aprobados

• Priorización del flujo de trabajo para que las señales graves se revisen más rápidamente.

• Apoyo a la alineación de políticas mediante el procesamiento del lenguaje natural.

• Asistencia para la evaluación de riesgos vinculada a normas de gobernanza documentadas

• Preparación de la clasificación de casos para revisión humana

No debe considerarse una máquina que juzgue el carácter, determine la honestidad o reemplace la autoridad formal para la toma de decisiones. Muchos proveedores pierden la disciplina en este aspecto. Comercializan certeza donde solo existe un contexto de riesgo. Eso no es innovación. Eso es riesgo legal.

En este artículo sobre la detección temprana de riesgos internos mediante IA ética se describe una visión más fundamentada de la IA ética para el manejo temprano de señales.

El argumento operativo a favor de la IA ya es sólido.

Según la guía de Diligent sobre GRC, la monitorización continua impulsada por IA en GRC puede reducir la fatiga de auditoría hasta en un 50 % , y las plataformas conectadas demostraron una mejora del 35 % en la velocidad de toma de decisiones y una reducción del 25 % en las tasas de fallos de control en los análisis comparativos de 2026, mientras que las herramientas avanzadas utilizan análisis predictivos para la puntuación de riesgos y PLN para la alineación de políticas .

Esto es importante porque la mayoría de las organizaciones se ven abrumadas por la información fragmentada. La IA puede distinguir la información relevante del ruido más rápidamente que la revisión manual. Además, puede mantener la coherencia cuando varios equipos participan en la clasificación de problemas.

La cuestión no es la automatización por sí misma, sino la prevención disciplinada.

Qué rechazar de inmediato

Quienes toman las decisiones deben rechazar las herramientas y prácticas que generan riesgos innecesarios, incluso si parecen avanzadas.

Evite cualquier enfoque que dependa de:

• Métodos coercitivos o de alto riesgo presentados como información valiosa.

• Conclusiones opacas sobre individuos sin lógica explicable.

• Modelos secretos de observación de empleados que generan exposición laboral y reputacional.

• Resultados de IA independientes sin gobernanza, revisión ni vía de apelación.

Así es como luce un modelo de IA sólido.

Un modelo robusto de gestión de riesgos GRC basado en IA tiene cuatro características.

En primer lugar, funciona dentro de los límites de las políticas explícitas.

En segundo lugar, apoya la revisión humana en lugar de reemplazarla.

En tercer lugar, utiliza datos de entrada no intrusivos vinculados a un propósito comercial legítimo.

En cuarto lugar, canaliza las acciones a través de flujos de trabajo documentados que involucran a los departamentos de Recursos Humanos, Legal, Cumplimiento Normativo, Seguridad o Auditoría, según corresponda.

Por eso, la IA ya no es una característica secundaria. Se está convirtiendo en el motor práctico de la gestión de riesgos y cumplimiento normativo (GRC) moderna. Pero solo cuando se diseña para la prevención, la rendición de cuentas y el uso lícito. Cualquier otro uso es simplemente otro riesgo sin gestionar.

Indicadores clave de rendimiento (KPI) para la medición del éxito en GRC proactivo

La mayoría de los sistemas de evaluación GRC se basan en análisis retrospectivos. Contabilizan casos cerrados, acciones pendientes, hallazgos de auditoría e infracciones documentadas. Si bien estas métricas son útiles, no permiten a los líderes determinar si la gestión de riesgos GRC se está volviendo más preventiva.

Necesitas indicadores que muestren si la organización detecta los riesgos con mayor antelación, coordina con mayor rapidez y reduce la necesidad de intervenciones en fases avanzadas.

Según MetricStream, en 2025, el 45 % de los profesionales de GRC identificaron el fortalecimiento de la gestión de riesgos empresariales (ERM) como su principal prioridad. Sin embargo, solo el 48 % de los departamentos de auditoría interna monitorean los indicadores clave de riesgo (KRI) y apenas el 18 % utiliza procesos automatizados para la recopilación de datos de riesgo de TI , como se analiza en las conclusiones de su encuesta para líderes de riesgo y cumplimiento de GRC . El mensaje es claro: muchos equipos afirman que la prevención es importante, pero sus modelos de medición aún son deficientes.

Mida los indicadores principales, no solo los daños.

Un cuadro de mando práctico debe incluir indicadores clave de riesgo (KRI), indicadores clave de rendimiento (KCI) e indicadores clave de rendimiento (KPI) que reflejen las acciones tomadas con antelación.

Algunos ejemplos son:

• Es hora de revisar las señales de riesgo para que los equipos sepan si la recepción de datos es lo suficientemente rápida.

• Tasa de excepciones repetidas a las políticas para revelar áreas de control débiles

• Finalización de la escalada interfuncional para comprobar si se están rompiendo los silos.

• Seguimiento de las medidas de mitigación para confirmar el cierre de las acciones asignadas.

• Finalización de la formación en puestos sensibles donde la reducción del riesgo depende del cumplimiento específico del puesto.

Estas medidas permiten a los responsables determinar si el modelo operativo se está volviendo más eficaz.

Construir una narrativa en torno a la prevención en la junta directiva.

Los consejos de administración no necesitan una avalancha de indicadores de actividad. Necesitan pruebas de que la organización está controlando la exposición al riesgo antes de que se vuelva significativa.

Utilice informes que respondan a las siguientes preguntas:

Mantén la disciplina en el marcador.

No crees un panel de control sobrecargado.

Seleccione un conjunto compacto de métricas que sean explicables, prácticas y estén vinculadas a la responsabilidad. Luego, revíselas periódicamente con los equipos que pueden influir en los resultados. Así es como la gestión proactiva de riesgos de GRC se vuelve visible, controlable y defendible.

Su camino hacia la gestión moderna de riesgos GRC

La versión anterior de la gestión de riesgos GRC no está fallando por desinterés de los líderes, sino porque el modelo es demasiado limitado. Da demasiada importancia a la administración de políticas, subestima la exposición al factor humano y se activa demasiado tarde.

Eso ya no es aceptable para las organizaciones reguladas y con altos niveles de responsabilidad.

Un programa moderno y fiable cumple cuatro funciones clave: trata el riesgo humano interno como un riesgo empresarial; utiliza IA ética para detectar señales relevantes de forma temprana; coordina Recursos Humanos, Asuntos Legales, Cumplimiento Normativo, Seguridad y Auditoría mediante un único modelo operativo; y actúa antes de que un problema evitable se convierta en un incidente legal, financiero o que dañe la reputación.

El mercado también se está moviendo en esta dirección. Los compradores no necesitan otro repositorio estático de controles. Necesitan software de evaluación de riesgos , flujos de trabajo internos para la detección de amenazas y una plataforma compatible con la EPPA que respalde la gestión ética de riesgos y la mitigación de riesgos humanos mediante IA sin traspasar límites legales ni éticos.

La decisión es sencilla. O bien, seguir financiando análisis forenses reactivos y una supervisión fragmentada, o bien, avanzar hacia una inteligencia preventiva que sea operativamente útil y defendible.

Los líderes que actúen ahora construirán una gobernanza más sólida y vías de resolución de conflictos más claras. Los líderes que esperen seguirán pagando las consecuencias de la demora.

Si su organización está lista para modernizar la gestión de riesgos GRC , comience con Logical Commander Software Ltd. Puede solicitar una demostración, iniciar una prueba gratuita, explorar las opciones de implementación empresarial o unirse al ecosistema PartnerLC si desea generar oportunidades de consultoría, reventa o implementación en torno a una plataforma interna de gestión de riesgos ética e impulsada por IA. Para los responsables de la toma de decisiones en Cumplimiento, Riesgos, Recursos Humanos, Asuntos Legales, Seguridad y Auditoría Interna, este es el siguiente paso práctico hacia la prevención proactiva en lugar de la corrección reactiva.