El órgano responsable de que exista un control interno y un sistema de gestión del riesgo adecuado y eficaz dentro de la organización es el Consejo de Administración. Por su parte, el equipo de dirección es el encargado de diseñar, implantar y poner en marcha este programa. La Comisión de Auditoría desempeñaría en este caso el papel de supervisor tanto de que el control interno como el sistema de gestión de riesgos se están aplicando correctamente siguiendo las políticas establecidas por la dirección y aprobadas por el Consejo de Administración.
Entre la principales funciones de la Comisión de Auditoría que establece la Ley de Sociedades de Capital (LSC) está la de identificar y evaluar las políticas y procesos de la sociedad y supervisar la eficacia del control interno, los sistemas de gestión de riesgos, así como discutir las debilidades significativas del control interno detectadas en el desarrollo de la auditoría.
Por su parte, el Código de Buen Gobierno (CBG) recomienda además que el Comité de Auditoría sea el encargado de hacer el seguimiento del proceso de elaboración de la información financiera relativa a la sociedad y, en su caso, al grupo, y de garantizar su integridad. Esto incluye la revisión del cumplimiento de los requisitos normativos, la adecuada delimitación del perímetro de consolidación y la correcta aplicación de los criterios contables.
En el ámbito internacional, la SEC considera que la supervisión del riesgo es una responsabilidad clave del Consejo. Por ello exige que se informe acerca del papel de éste en la supervisión del riesgo, es decir, si todo el Consejo participa en esta tarea o si la ejecuta una comisión en particular, por ejemplo. Las normas del NYSE resaltan el importante papel de la Comisión de Auditoría en la supervisión de aquellas áreas que presentan una exposición significativa a los riesgos financieros, así como en el análisis de las directrices y políticas necesarias para abordar dichas áreas.