La Norma 2010.A1 –Planificación- del Marco Internacional para la Práctica Profesional de la Auditoría Interna establece que “el plan de trabajo de la actividad de Auditoría Interna debe estar basado en una evaluación de riesgos documentada, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de alta dirección y del Consejo”.
Además, la Guía de Implementación 2010 del IAI establece que “esta revisión del enfoque con la que la organización aborde la gestión de riesgos, puede ayudar al DAI a decidir cómo organizar o actualizar el universo auditable, que consiste en todas las áreas de riesgos que podrían ser objeto de auditoría, y que se materializa en la lista de los posibles trabajos de auditoría que se pueden realizar. El universo auditable incluye proyectos e iniciativas relacionadas con el plan estratégico de la organización, y puede ser estructurado en unidades de negocio, líneas de productos o servicios, procesos programas sistemas o controles. Para estructurar el universo auditable y priorizar riesgos, se aconseja al DAI que vincule los riesgos críticos con objetivos específicos y con procesos de negocio”.
El enfoque con el cual cada organización realice su gestión de riesgos puede diferir en función de la forma en que se encuentre organizada: por procesos, por departamentos, por líneas de productos o servicios, por proyectos, de forma matricial,… El hecho fundamental, independientemente del enfoque, es que el modelo de gestión de riesgos identifique todos los riesgos (estratégicos, de mercado, financieros y operacionales) que tenga la organización que pudiera impedir la consecución del plan estratégico.
Las organizaciones deberían realizar una identificación y evaluación de riesgos documentada, al menos una vez al año. No obstante, la particularidad de determinado sectores con cambios constantes en tecnología y procesos, puede requerir que ese plazo anual se reduzca para reflejar la realidad del entorno y la organización.
