Documentos de Académico
Documentos de Profesional
Documentos de Cultura
30
Los riesgos que enfrentan las entidades son diversos y numerosos; algunos son
evidentes y pueden identificarse de inmediato; otros permanecen ocultos y se manifiestan
sólo bajo determinadas circunstancias que, en ocasiones, son ajenas a la voluntad de la
administración.
Los riesgos externos pueden tener un impacto sobre los recursos de la organización,
desestabilizarla y, eventualmente, provocar su terminación. Considerar que sí impactarán
a la organización, identificarlos y preparar la estructura a fin de enfrentarlos es parte
esencial del proceso para su administración.
Por otra parte, desde el punto de vista de la estructura de control interno implantada para
prevenir y mitigar los riesgos antes mencionados, es necesario considerar una
clasificación fundamental:
Para una adecuada elaboración del Plan es importante que Auditoría Interna conozca la
organización, sus operaciones y entorno, y esté familiarizada con los riesgos internos y
externos significativos. Para ello el responsable de Auditoría Interna debe tener acceso a
las actas y minutas sobre acuerdos tomados en comités como los siguientes:
adquisiciones, compensaciones, operaciones, ejecutivo de dirección, ética,
administración y finanzas, y prácticas societarias.
Los acuerdos que incluyen dichas actas y minutas enriquecen los conocimientos y las
percepciones del auditor interno sobre la naturaleza y materialidad de los riesgos, así
como respecto a los mecanismos de control que se han implantado o se tienen
proyectados para prevenirlos o mitigarlos.
También es necesario que el auditor interno lleve a cabo reuniones de trabajo con los
directores de área, para conocer sus puntos de vista sobre los riesgos internos y externos
El director general debe ser motivo de atención especial y continua por parte de Auditoría
Interna; en su carácter de líder del grupo directivo y primer responsable de la gestión del
negocio frente al Consejo de Administración, sus puntos de vista, inquietudes y
sugerencias en materia de riesgos, incluyendo los riesgos residuales y los riesgos del
negocio pueden ser una orientación de alto impacto sobre la jerarquización de las áreas
para propósitos del Plan de Auditoría.
Aunque el contacto con los miembros del gobierno corporativo contribuye a estructurar el
Plan de Auditoría basado en riesgos, el auditor interno también debe jerarquizar los
procesos de la organización con base en su participación en la generación de los ingresos
y los costos por los servicios de apoyo para que aquéllos puedan lograrse. La
ponderación de los riesgos de control, inherente y residual entre los procesos, así como
su posible impacto en la escala del tiempo deben formar parte de los objetivos de trabajo
del auditor para respaldar las prioridades de su Plan.
El Comité de Auditoría es un factor decisivo para definir los objetivos y alcances del Plan
de Auditoría. Puesto que en dicho comité participan consejeros independientes y
miembros del Consejo de administración, sus indicaciones al auditor interno tienen un
perfil global y de contenido estratégico que enriquecen el Plan, especialmente en materia
de riesgos de la operación.
Otro factor importante se relaciona con las recomendaciones al control interno de los
auditores independientes y su informe sobre el examen de los estados financieros de la
organización. Debido a que las normas internacionales de auditoría obligan a los
auditores externos a evaluar la suficiencia de los controles para prevenir riesgos de fraude
con efecto en los estados financieros, el contenido y alcance de dichos informes son un
referente indispensable para el Plan de Auditoría Interna.
La administración de los riesgos implica que la organización cuente con una matriz
actualizada que analice con base en su importancia los riesgos significativos que se
enfrentan en cada uno de los procesos para lograr los objetivos planteados.
Una vez que el auditor cuenta con el mapa de riesgos, está en posibilidad de identificar
y priorizar los procesos y controles que existen para prevenir y mitigar las amenazas
sobre el logro de objetivos. La estructura y complejidad de los procesos, así como el nivel
de importancia de los riesgos, varían de acuerdo con el giro, perfil y tamaño de la
organización. Bajo esta consideración los procesos con riesgos significativos deben ser
evaluados anualmente.
Identificados los procesos relevantes en relación con los riesgos, es necesario definir los
recursos humanos, técnicos y presupuestales que el auditor interno requiere para llevar
a cabo la evaluación del control interno.
Se deberá procurar presentar a la alta dirección los objetivos y alcance de las diversas
auditorías que se incluyen en el Plan, para obtener retroalimentación sobre aspectos
relevantes o estratégicos que pudieran ser incluidos en el desarrollo de las auditorías y,
en su caso, sugerencias sobre auditorías que para la alta dirección pudieran ser
relevantes o de alto impacto. Dichas proposiciones deben ponerse a consideración del
Comité de Auditoría o el órgano de reporte, quien es el único facultado para modificar el
Plan.