Buenas prácticas de Auditoría Interna para identificar los nuevos

riesgos en las organizaciones

Los ejemplos aquí enunciados no pretenden abarcar todas las situaciones. Es

necesario que se realice un análisis y se determine la mejor práctica de acuerdo
con la naturaleza del negocio.

Práctica SI NO N/A

Evaluar si la organización cuenta con proyectos

de transformación digital alineados con los
objetivos y planes de negocio.

Evaluar el diseño e implementación de los

procesos digitalizados.

Identificar y evaluar los riesgos asociados a los

procesos digitalizados.

Evaluar el impacto de los proyectos de

tecnología en la estrategia de la organización y
sus correspondientes objetivos.

Conocer el marco regulatorio que impacta a la

organización en todos sus procesos.

Revisar el cumplimiento de la regulación frente

a la protección de datos, así como los riesgos
emergentes.

Revisar el cumplimiento de la regulación fiscal y

de los controles establecidos.

Evaluar el cumplimiento de los compromisos de

los socios comerciales y proveedores.
 Práctica SI NO N/A

Realizar seguimiento a los riesgos y

oportunidades de mejora asociados a temas
tecnológicos, considerando los cambios de la
industria, para las nuevas recomendaciones.

Tener conocimiento de los últimos desarrollos

tecnológicos aplicados en los procesos de la
organización, así como en la arquitectura de las
bases de datos.

Tener experiencia en la gestión del cambio y

transformación digital de las organizaciones.

Fortalecer la consolidación, procesamiento y

análisis de los datos para desarrollar el trabajo.

Evaluar los proyectos de la organización desde

ISO 21500.

Conocer por parte de todo el equipo de

auditores, la misión, visión, estrategia y
objetivos de la organización.

Realizar una evaluación del gobierno

corporativo.

Evaluar el proceso de comunicación interna y la

toma de decisiones de la organización.

Evaluar los procesos de gestión de riesgo de

fraude y los protocolos de la organización.
 Práctica SI NO N/A

Promover el lenguaje único en gestión de

riesgos.

Evaluar la operación de los servicios en la nube,

incluyendo su configuración de acuerdo con la
normatividad.

Validar las certificaciones que deben tener los

servicios prestados en la nube.

Evaluar los proveedores que prestan servicios

en la nube, incluyendo su cubertura y
responsabilidades, entre otros.

Revisar los acuerdos de niveles de servicios

para los proveedores de la nube y demás
servicios tecnológicos.

Evaluar los riesgos de ciberseguridad y los

modelos de seguridad implementados en la
organización.

Realizar pruebas de acceso a los sistemas de

información de la organización, para la
identificación de brechas en los sistemas de
seguridad.

Revisar si el diseño de la organización desde la

perspectiva de tecnología corresponde al
tamaño y operación de la organización.

Evaluar el sistema de gestión de crisis de la

organización y la preparación de los
 Práctica SI NO N/A

colaboradores en diferentes niveles para dar

respuesta ante una crisis.

Evaluar los riesgos de procesos de fusiones,

venta y/o adquisiciones.

Considerar analizar y evaluar los informes de

inventarios, cuentas por pagar y por cobrar.

Evaluar los controles para cálculos financieros.

Evaluar los resultados financieros desde el

apetito de riesgo de la organización.

Revisar la administración de efectivo y el flujo

de liquidez.

Evaluar los contratos con las entidades

financieras, de tal forma que se puedan obtener
mejores acuerdos de comisiones bancarias.

Tener conocimiento en la reglamentación

financiera y fiscal.

Evaluar los resultados de los indicadores de la

organización, junto con la metodología para su
cálculo.

Conocer prácticas y tendencias a nivel mundial

de la industria en tecnología, cumplimiento y
continuidad de negocio.
 Práctica SI NO N/A

Evaluar los procesos de selección y retención de

talento.

Evaluar la madurez del plan de sucesión.

Tener un equipo de auditoría multidisciplinario,

con experiencia en tecnología, finanzas y
controles.