Uso de un enfoque basado en riesgos, partiendo de

Uso de un enfoque basado en riesgos, partiendo de

 Uso de un enfoque basado en riesgos, partiendo de los
más significativos (Topdown, Risk-based Approach)
para identificar los controles que van a ser evaluados
en el trabajo de auditoría interna
Norma principalmente relacionada 2200 – Planificación del trabajo Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance, objetivos, tiempo y asignación de recursos. Consejo para la Práctica 2200‐2 1. Léase este Consejo para la Práctica junto a los Consejos para la Práctica 2010‐2: Uso del proceso de gestión de riesgos en la planificación de auditoría interna, 2210‐1: Objetivos del Trabajo, y 2210.A1‐1: Evaluación de Riesgos en la Planificación del Trabajo y la Guía práctica GAIT para riesgos de negocio y de TI (GAIT‐R). 2. Este Consejo para la Práctica asume que se han establecido los objetivos del trabajo de auditoría interna y se han identificado los riesgos a tratar en el proceso de planificación de auditoría interna. Proporciona una guía con un enfoque basado en los riesgos de mayor a menor significatividad (top‐down) que se utiliza para identificar e incluir en el alcance de la auditoría interna (por la Norma 2220) los controles clave para gestionar los riesgos. 3. “Top‐down” significa basar la definición del alcance en los riesgos más significativos para la organización. Esto contrasta con el desarrollo del alcance basado en los riesgos de una localización específica, que pueden no ser significativos para la organización en su totalidad. Un enfoque top‐down garantiza que la auditoría interna se centre, tal y como señala el Consejo para la Práctica 2010‐2, en “proporcionar aseguramiento en la gestión de los riesgos significativos”. 4. Por lo general, un sistema de control interno incluye tanto los controles manuales como los automáticos. (Téngase en cuenta que esto se aplica a los controles en todos los niveles ‐ entidad, proceso de negocio y controles generales de tecnologías de la información (TI) ‐, y en cada nivel dentro del marco del control; por ejemplo, las actividades en el entorno de control, supervisión o los niveles de evaluación de riesgos también pueden automatizarse). Ambos tipos de controles necesitan ser evaluados para determinar si los riesgos de negocio son gestionados con efectividad. Concretamente, el auditor interno necesita evaluar la existencia de una combinación de controles adecuada, incluyendo aquellos relacionados con las TI, para mitigar los riesgos de negocio dentro de la tolerancia al riesgo de la organización. El auditor interno necesita considerar la inclusión de procedimientos para evaluar y confirmar que las tolerancias de riesgo son actuales y adecuadas. 5. Es necesario incluir en el alcance de auditoría interna todos los controles necesarios para proporcionar un aseguramiento razonable de que los riesgos se gestionan con efectividad (sujeto a los comentarios del apartado 9, más adelante). Estos controles son los denominados controles clave, aquellos necesarios para gestionar riesgos relacionados con un objetivo de negocio crítico. Solo los controles clave necesitan ser evaluados, aunque el auditor interno puede elegir incluir una evaluación de controles no claves (por ejemplo, controles redundantes, duplicativos) si supone un valor para el negocio proporcionar dicho aseguramiento. El auditor interno puede también debatir con la alta dirección si los controles no claves son necesarios. 6. Téngase en cuenta que donde la organización tenga un programa de gestión de riesgos consolidado y efectivo, los controles clave para gestionar cada riesgo habrán sido identificados. En estos casos, el auditor interno necesita evaluar si la identificación y evaluación de la alta dirección sobre los controles clave son adecuados. 7. Los controles clave pueden ser:  Controles a nivel de entidad (por ejemplo, los empleados reciben formación y realizan un examen para confirmar su comprensión del código de conducta). Los controles a nivel de entidad pueden ser manuales, totalmente automáticos, o parcialmente automáticos.  Controles manuales dentro de un proceso de negocio (por ejemplo, la realización de un inventario físico).  Controles totalmente automáticos dentro de un proceso de negocio (por ejemplo, combinar o actualizar cuentas en el libro mayor).  Controles automáticos parciales dentro de un proceso de negocio (también llamados controles “híbridos” o dependientes de TI), donde un control que de otra manera sería manual pasa a depender de una aplicación como un informe de excepción. Si no se detectara un error en esa funcionalidad, el control al completo sería inefectivo. Por ejemplo, un control clave para detectar pagos duplicados podría incluir el análisis de un informe generado por el sistema. La parte manual del control no garantizaría que el informe estuviera completo. Por lo tanto, la aplicación que generó el informe debería estar en el alcance. El auditor interno puede usar otros métodos o marcos de referencia, siempre que los controles clave para gestionar los riesgos sean identificados y evaluados, incluyendo los controles manuales, automatizados y los controles dentro de los procesos de control generales de TI. 8. Los controles automatizados total o parcialmente, tanto a nivel de entidad como dentro de un proceso de negocio, generalmente dependen de un diseño apropiado y de una operación efectiva de los controles generales de TI. GAIT‐R trata el proceso recomendado para identificar los controles clave generales de TI. 9. La evaluación de los controles clave debe realizarse en un trabajo de auditoría interna único e integrado o en una combinación de trabajos de auditoría interna. Por ejemplo, un trabajo de auditoría interna puede tratar los controles clave realizados por los usuarios de procesos de negocio, mientras otro cubre los controles clave generales de TI, y un tercero evalúa los controles relacionados que operan a nivel de entidad. Esto suele ocurrir cuando se depende de los mismos controles (sobre todo aquellos a nivel de entidad o dentro de los controles generales de TI) para más de un área de riesgo. 10. Tal y como se señala en el apartado 5, antes de dar una opinión sobre la gestión efectiva de los riesgos cubiertos por el alcance de la auditoría interna, es necesario evaluar la combinación de todos los controles clave. Incluso si se realizan múltiples trabajos de auditoría interna, cada uno tratando algunos controles clave, el auditor interno necesita incluir en el alcance de al menos un trabajo de auditoría interna una evaluación del diseño de los controles clave en su totalidad (esto es, a través de todos los trabajos de auditoría interna relacionados) y si este es suficiente para gestionar riesgos dentro de la tolerancia al riesgo de la organización. 11. Si el alcance de auditoría interna (teniendo en cuenta otros trabajos de auditoría interna como los mencionados en el apartado 9) incluye algunos, pero no todos los controles clave necesarios para gestionar los riesgos fijados, debería considerarse una limitación del alcance y comunicar esta con claridad en la notificación de auditoría interna y en el informe final.