El documento describe el proceso de gestión de riesgos que debe seguir el director de auditoría interna para desarrollar un plan de auditoría basado en riesgos. El director debe considerar los riesgos inherentes y residuales identificados en el proceso de gestión de riesgos de la organización para determinar las prioridades de auditoría y asignar recursos a las áreas de mayor exposición al riesgo. El plan de auditoría debe centrarse en identificar áreas de alto riesgo inherente, alto riesgo residual y los controles clave que sustentan la organización.

1.
Uso del Proceso de Gestión de Riesgos en el Plan de
Auditoría Interna
Norma Principalmente Relacionada
2010‐ Planificación
El director ejecutivo de auditoría debe establecer un plan basado en riesgos, a fin de determinar las
prioridades de la actividad de Auditoría Interna. Dichos planes deberán ser consistentes con las
metas de la organización.
Interpretación:
El director ejecutivo de auditoría es responsable de desarrollar un plan basado en riesgos. Para ello,
debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de
aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la
organización. Si no existe tal enfoque, el director ejecutivo de auditoría utilizará su propio juicio sobre
los riesgos después de considerar las aportaciones de la alta dirección y el consejo, el director
ejecutivo de auditoria debe revisar y ajustar el plan cuando sea necesario como respuesta a los
cambios en el negocio de, los riesgos, las operaciones, los programas, los sistemas y los controles.
Consejo para la Práctica 2010‐2
1. La gestión de riesgos es una parte fundamental para la existencia de un gobierno sólido
que trate todas las actividades de la organización. Muchas organizaciones comienzan a adoptar
un enfoque holístico y coherente para la gestión de riesgos que, idealmente, debe encontrarse
plenamente integrado en la gestión de la organización. Este enfoque se aplica a todos los
niveles de la organización: unidades empresariales, unidades funcionales y unidades
comerciales. La alta dirección utiliza habitualmente un marco de gestión de riesgos para dirigir
las evaluaciones y documentar los resultados obtenidos.
2. Disponer de un proceso de gestión de riesgos efectivo facilita la identificación de
controles clave relacionados con los riesgos inherentes importantes. Gestión de riesgos
empresariales (ERM, por sus siglas en inglés) es un término de uso común. El committee of
sponsoring organizations (COSO) of the treadway commission define el ERM Como: ‘’un
proceso efectuado por el consejo, la alta dirección y restante personal de una entidad,
aplicable a la definición de estrategias en toda la empresa y diseñado para identificar
acontecimientos potenciales que pueden afectar a la entidad, gestionar sus riesgos dentro de
su apetito de riesgo y proporcionar una seguridad razonable sobre el logro de los objetivos de
la entidad’’. La implantación de controles es un método común que utiliza la dirección para la
gestión del riesgo dentro de su apetito de riesgo. Los auditores internos auditan los controles
clave y ofrecen aseguramiento en la gestión de riesgos significativos.

2.
3. Las normas internacionales para la práctica profesional de la auditoría interna (las
Normas) definen control como: ‘’cualquier medida que tome la dirección, el consejo y otras
partes para gestionar los riesgos y aumentar las probabilidades de alcanzar los objetivos y
metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones
suficientes para proporcionar una seguridad razonable de que se alcanzaran los objetivos y
metas”
4. Existen dos conceptos de riesgos fundamentales: el riesgo inherente y el riesgo residual
(también conocido como riesgo existente). Durante mucho tiempo, los auditores internos y
externos han definido el concepto de riesgo inherente como la susceptibilidad de la
información o datos frente a omisiones materiales, asumiendo que no existen controles de
mitigación. Las normas definen el riesgo residual como: ‘’el riesgo que permanece después de
que se hayan realizado las acciones para reducir el impacto y la probabilidad de un
acontecimiento adverso, incluyendo las actividades de control en respuesta a un riesgo’’. Por
su lado, el riesgo existente se define como el riesgo gestionado con los controles o sistemas de
control existentes.
5. Los controles clave pueden definirse como los controles o grupos de controles que ayudan
a reducir un riesgo inaceptable a un nivel tolerable. Los controles pueden ser principalmente
concebidos como procesos organizacionales elaborados para abordar los riesgos. En un
proceso de gestión de riesgos efectivo (con la documentación adecuada), los controles claves
pueden identificarse fácilmente tomando la diferencia entre el riesgo inherente y el riesgo
residual de los sistemas afectados diseñados para reducir la calificación de los riesgos
significativos. Si el riesgo inherente no recibe una calificación, el auditor interno la estimará.
Para identificar los controles clave (y suponiendo que el auditor interno ha dictaminado que el
proceso de gestión de riesgos es maduro y fiable), el auditor interno buscará:
 Factores de riesgo individuales en los que se experimente una reducción significativa
de riesgo inherente a riesgo residual (particularmente si el riesgo inherente era muy
alto). De esta forma se destacan los controles que son importantes para la
organización.
 Controles que sirven para mitigar un gran número de riesgos.
6. La planificación de auditoría interna necesita hacer uso del proceso de gestión de riesgos
organizacional, si este ha sido desarrollado. Al planificar un trabajo, el auditor interno tiene en
consideración los riesgos significativos de la actividad y los medios mediante los cuales la
dirección puede paliar el riesgo hasta un nivel aceptable. El auditor interno utiliza técnicas de
evaluación de riesgos en el desarrollo del plan de la actividad de auditoría interna, así como
para determinar prioridades a la hora de asignar recursos de auditoría interna. La evaluación de
riesgos se utiliza para examinar las unidades auditables y selecciona las áreas sujetas a análisis

3.
que deben incluirse en el plan de la actividad de auditoría interna y que tienen mayor
exposición al riesgo.
7. Los auditores internos podrían no estar cualificados para analizar cada categoría de riesgos
y el proceso ERM dentro de la organización (por ejemplo, auditorías internas de seguridad e
higiene en el lugar de trabajo, auditorias medioambientales o instrumentos financieros
complejos). El director ejecutivo de auditoría se asegurara de que se utilicen los auditores
internos o proveedores de servicios externos adecuados.
8. Los procesos y sistemas de gestión de riesgos no se estructuran de la misma manera en
todo el mundo. El nivel de madurez de una organización en relación con la gestión de riesgos es
diferente en cada organización. En las organizaciones con una actividad de gestión de riesgos
centralizada, el papel que esta actividad desempeña va desde la coordinación con la dirección
de la revisión periódica de la estructura de control interno a la actualización de la estructura
según la evolución del apetito de riesgo. Los procesos de gestión de riesgos que se utilizan en
diferentes partes del mundo pueden tener lógicas, estructuras y terminologías distintas. Por lo
tanto, los auditores internos evalúan el proceso de gestión de riesgos de la organización y
determinan que partes pueden utilizarse en el desarrollo del plan de la actividad de auditoría
interna y cuales pueden utilizarse para la planificación de trabajo individuales de auditoría
interna.
9. Entre los factores que el auditor interno tiene en consideración a la hora de desarrollar el
plan de auditoría interna, se incluyen:
 Riesgos inherentes ‐ ¿Se han identificado y evaluado?
 Riesgos residuales ‐ ¿Se han identificado y evaluado?
 Controles de mitigación, planes de contingencia y actividades de supervisión ‐
¿Están vinculados a los acontecimientos o riesgos individuales?
 Registros de riesgos ‐ ¿Son sistemáticos, completos y precisos?
 Documentación ‐ ¿Están documentados los riesgos y las actividades?
 Además, el auditor interno se coordinara con otros proveedores de aseguramiento, en
cuyo trabajo deberá confiar. Remitirse al consejo para la practica 2050‐2; mapas de
aseguramiento.
10. El estatuto de auditoría interna requiere normalmente que la actividad de auditoría
interna se centre en áreas de alto riesgo, incluyendo los riesgos residuales e inherentes. La
actividad de auditoría interna necesita identificar áreas de alto riesgo inherente, alto riesgo
residual y los sistemas de control claves en los que se sustenta la organización. Si la actividad
de auditoría interna identifica áreas de riesgo residual inaceptable, la dirección debe notificarlo
para que esta pueda abordarse.

4.
Como consecuencia debe llevar a cabo un proceso de planificación estratégica de auditoría, el
auditor interno será capaz de identificar diferentes tipos de actividades que serán incluidas en
el plan de la actividad de auditoría interna. Entre otras:
 Actividades de análisis/ aseguramiento de control: el auditor interno analiza la
adecuación y eficacia de los sistemas de control y ofrece la seguridad de que los
controles funcionan y los riesgos son gestionados de manera efectiva.
 Actividades de investigación: la gestión organizacional tiene un nivel inaceptable de
incertidumbre sobre los controles relacionados con la actividad del negocio o área de
riesgo identificada, el auditor interno lleva a cabo procedimientos para obtener un
mejor entendimiento de los riesgos residuales.
 Actividades de consulta: el auditor interno aconseja la gestión organizacional en el
desarrollo de sistemas de control para mitigar riesgos actuales inaceptables.
 Loa auditores internos también tratan de identificar controles innecesarios,
redundantes, excesivos o complejos que reducen el riesgo de manera ineficiente. En
estos casos, el coste de control puede llegar a ser mayor que el beneficio obtenido y,
por lo tanto, hay una oportunidad para que el diseño del control gane eficiencia.
11. Para asegurar que los riesgos relevantes son identificados, el enfoque para la identificación
de riesgos es sistemático y está documentado con claridad. La documentación abarcara desde
el uso de una hoja de cálculo en una organización pequeña hasta el software para suministros
de un proveedor en una organización más sofisticada. Lo esencial es que el marco de la gestión
de riesgos este íntegramente documentado.
12. La documentación de la gestión de riesgos en una organización puede estar a varios
niveles por debajo del proceso de gestión de riesgos. Muchas organizaciones han desarrollado
registros de riesgos para documentar los riesgos inferiores al nivel estratégico, proporcionando
documentación sobre riesgos significativos en un área y calificaciones de riesgos inherentes y
residuales relacionados, controles clave y factores de mitigación. Entonces, puede
emprenderse un ejercicio de alineamiento para identificar los vínculos más directos entre las
‘’categorías’’ de riesgos y ‘’ aspectos’’ descritos en el registro de riesgos y, cuando corresponda,
los elementos incluidos en el universo de la auditoria documentados por la actividad de
auditoría interna.
13. Algunas organizaciones pueden identificar varias áreas de alto (o más alto) riesgo
inherente. Aunque estos riesgos pueden garantizar la atención de la actividad de auditoría
interna, no siempre es posible analizarlos todos. Cuando el registro de riesgos presente una
calificación alta, o superior, de riesgo inherente en un área particular, el riesgo residual
permanezca intacto durante un largo tiempo y la dirección no tome medidas ni se planifique
una actividad de auditoría interna, el director ejecutivo de auditoría informará al consejo

5.
independientemente sobre dichas áreas, aportando información sobre el análisis de riesgos y
las razones para la carencia de controles internos o la inefectividad de éstos.
14. En el plan de actividad de auditoría interna debe incluirse periódicamente una selección
de auditorías de sucursales o unidades de negocio con bajo nivel de riesgo para ofrecerles
cobertura y confirmar que sus riesgos no han cambiado. Además, la actividad de auditoría
interna establece un método para priorizar los riesgos que están por resolver y que aún no
están sujetos a una auditoría interna.
15. Un plan de actividad de auditoría interna, se centra en:
 Riesgos existentes inaceptables para los que se requiere intervención de la dirección.
Se trataría de áreas con controles clave o factores de mitigación mínimos que la alta
dirección desea auditar de inmediato.
 Sistemas de control de los que depende la organización.
 Áreas con una gran diferencia entre riesgo inherente y riesgo residual.
 Áreas con un riesgo inherente muy alto.
16. A la hora de planificar auditorías internas individuales, el auditor interno identifica y
evalúa los riesgos relevantes en el área objeto de análisis.