Norma 2010

Sl tuto d
Auditores Internos
‘de Colombia

3. Las normas internacionales para la práctica profesional de la auditoría interna (las
Normas) definen control como: “cualquier medida que tome la dirección, el consejo y otras
partes para gestionar los riesgos y aumentar las probablidades de alcanzar los objetivos y
metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones
suficientes para proporcionar una seguridad razonable de que se alcanzaran los objetivos y

4. Existen dos conceptos de riesgos fundamentales: el riego inherente y el riesgo residual
(también conocido como riesgo existente). Durante mucho tiempo, los auditors internos y
externos han definido el concepto de riesgo inherente como la susceptibilidad de la
información o datos frente a omisiones materiales asumiendo que no existen controles de
mitigación. Las normas definen el riesgo residual como: “el riesgo que permanece después de
que se hayan realizado las acciones para reducir el impacto y la probabilidad de un
acontecimiento adverso incluyendo las actividades de contol en respuesta a un riesgo”. Por
sulado, el riesgo existente se define como el riesgo gestionado con los controles o sistemas de
control existentes.

5. Los controles lave pueden deiirse como los controles o grupos de controles que ayudan
à reduce un riesgo inaceptable a un nivel tolerable. Los controles pueden ser principalmente
concebidos como procesos organizacionales elaborados para abordar los riesgos. En un
proceso de gestión de riesgos efectivo (con la documentación adecuada), les controles claves
pueden identifcarse fácimente tomando la diferencia entre el riesgo inherente. y el riesgo
residual de los sistemas afectados diseñados para reducir la calfcación de los riesgos
signicatvos. SI el riesgo inherente no recibe una calificación, el auditor interno la estimará
Para identificarlos controles clave (y suponiendo que el auditor interno ha dictaminado que el
proceso de gestión de riesgos es maduro y fable, el auditor interno buscará:

+ Factores de riesgo individuales en los que se experimente una reducción significativa
de riesgo inherente a riesgo residual (particularmente si el riesgo inherente era muy,
alto), De esta forma se destacan los controles que son importantes para la
organización

+ Controles que ven para mitigar un gran número de riesgos.

6. La planicación de auditoria interna necesita hacer uso del proceso de gestión de riegos
‘organizacional si est ha ido desarollao, Al planifica un trabajo, el auditor interno tiene en
consideración los riesgos significativos de la actividad y los medios mediante los cuales la
sirecién puede paliar el riesgo hasta un nivel aceptable. El auditor interno utliza técnicas de
evaluación de riegos en el desarrollo del plan de la actividad de auditoría interna, así como
para determinar prioridades la hora de asignar recursos de auditoría interna. La evaluación de
riesgos se utliza para examinar as unidades auditaes y seleccionala áreas sujets a análisis

WA.

Auditores.
‘de Colombia

tuto d

‘que deben incluirse en el plan de la actividad de auditoría interna y que tienen mayor
exposición alriesgo.

7. Los auditores internos podran no star cualificados para analizar cada categoría de riesgos
y el proceso ERM dentro dela organización (or ejemplo, auditorías internas de seguridad e
higiene en el lugar de trabajo, auditorias medioambientales o instrumentos financieros
complejos). El director ejecutivo de auditoría se asegurara de que se utlicen los auditores
internos 0 proveedores de servicios externos adecuados.

8, Los procesos y sistemas de gestión de riesgos no se estructuran de la misma manera en
odo el mundo, El nivel de madurez de una organización en relación con la gestión de riesgos es
diferente en cada organización. En las organizaciones con una actividad de gestión de riesgos
centralizada, el papel que esta actividad desempeña va desde la coordinación con la dirección
de la revisión periódica de la estructura de control interno la actualización de la estructura
según la evolución del apetito de riesgo. Los procesos de gestión de riesgos que se utilizan en
diferentes partes del mundo pueden tener lógicas, estructuras y terminología distintas. Por lo
tanto, los auditores internos evalian el proceso de gestión de riesgos de la organización y
determinan que partes pueden utilizarse en el desarrollo del plan de la actividad de auditoria
interna y cuales pueden utilizarse para la planificación de trabajo individuales de auditoría
interna.

9. Entre ls factores que el auditor interno tiene en consideración a la hora de desarrollar el
plan de auditoría Interna, se incluyen:
+ Riesgos inherentes - ¿Se han identificado y evaluado?
+ Riesgos residuales ¿Se han Identfcado y evaluado?
+ Controles de mitigación, planes de contingencia y actividades de supervision
¿Están vinculados alos acontecimientos o riesgos individuales?
+ Registros de riegos - ¿Son sistemáticos completos y precisos?
+ Documentación - ¿Están documentados ls riesgos y las actividades?
+ Además, el auditor interno se coordinara con tros proveedores de aseguramiento, en
cuyo trabajo deberá contar. Remise al consejo para la practica 20502; mapas de
aseguramiento.

10. El estatuto de auditoría interna requiere normalmente que la actividad de auditoría
interna se centre en áreas de ato riesgo, Incluyendo los riesgos residuales e inherentes. La
actividad de auditoria interna necesita identificar áreas de alo riego inherente, alto riesgo
residual y los sistemas de contol claves en los que se sustenta la organización. Sila actividad
de auditoría interna identifica áreas de riesgo residual inaceptable, la dirección debe notíficalo
para que esta pueda abordarse,

WA.

Auditores.
‘de Colombia

tuto d

‘Como consecuencia debe llevara cabo un proceso de planificación estratégica de auditoria, el
‘auditor interno será capa de identificar diferentes tipos de actividades que serán inlidas en
el plan dela actividad de auditoría interna. Entre otras

+ Actividades de andlss/ aseguramiento de control: el auditor interno analiza la
adecuación y eficacia de los sistemas de control y ofrece la seguridad de que los
controles funcionan y os riesgos son gestionados de manera efectiva

+ Actividades de investigación: la gestión organizacional tiene un nivel inaceptable de
incertidumbre sobre los controles relacionados con la actividad del negocio o área de
riesgo identificada, el auditor interno lleva a cabo procedimientos para obtener un
mejor entendimiento de los riesgos residuales.

+ Actividades de consulta: el auditor interno aconseja la gestión organizacional en el
¿desarrollo de sistemas de contol para mitigar riesgos actuales inaceptables.

+ Loa auditores internes también tratan de identificar controles innecesarios,
redundantes, excesvos o complejos que reducen el riego de manera ineficiente. En
estos casos, el coste de control puede llegar a ser mayor que el beneficio obtenido y,
por o tanto, hay una oportunidad para que el diseño del contro! gane eficiencia,

11. Para asegurar que ls riesgos relevantes son identificados, el enfoque para la identificación
de riesgos es sistemático y está documentado con caridad La documentación abarcara desde
el uso de una hoja de cálelo en una organización pequeña hasta el software para suministros
de un proveedor en una organización más sofisticada. Lo esenciales que el marco de la gestión
de iesgos este integramente documentado,

12. La documentación de la gestión de riesgos en una organización puede estar a varios
niveles por debajo del proceso de gestión de riesgos. Muchas organizaciones han desarrollado
registros de resgos para documentar los rlesgos Inferiores al nivel estratégico, proporcionando.
“documentación sobre riesgos significativos en un área y calificaciones de riesgos inhereates y
residuales relacionados, controles clave y factores de mitigación. Entonces, puede
‘emprenderse un ejercicio de alineamiento para identificarlos vínculos más directos ente las
“categorías” de riesgos y” aspectos” descritos enel registro de riesgos y, cuando corresponda,
los elementos incluidos en el universo de la auditoria documentados por la actividad de
auditoria interna.

13. Algunas organizaciones pueden identicar varas áreas de alto (o más alto) riesgo,
inherente. Aunque estos riegos pueden garantizar la atención de la actividad de auditoria
interna, no siempre es posible analizrios todos. Cuando el registro de riesgos presente una
calificación alta, o superior, de riesgo inherente en un área particular, el riesgo residual
permanexca intacto durante un largo tiempo y la dirección no tome medida ni se planifique
una actividad de auditoría interna, e director ejecutivo de auditoria informará al consejo

independientemente sobre dichas áreas, aportando información sobre el andlis de riesgos y
las razones par la carencia de controles internos ola inefectvidad de éstos

14. En el plan de actividad de auditoría interna debe incluirse periódicamente una selección
de auditorias de sucursales o unidades de negocio con bajo nivel de riesgo para ofrecerles
obertura y confirmar que sus riegos no han cambiado, Además, la actividad de auditoría
interna establece un método para priorizar los riesgos que están por resolver y que aún no
‘estén sujetos a una auditoría interna.

15. Un plan de actividad de auditoría Interna, se centra en
+ Resgos existentes inaceptables para los que se requiere intervención de la dección.
Se tratara de áreas con controles lave o factores de mitigación mínimos que la ata
dirección desea auditar de inmediato.
+ Sistemas de control de los que depende la organización
+ Areas con una gran diferencia entre riesgo inherente y riego residual.
+ Areas con un riesgo inherente muy alto.

16, A la hora de planificar auditorías internas individuales, el auditor interno identifica y
evalúa ls riesgos relevantes en el área objeto de análisis