La Norma 2010 –Planificación- del IAI establece que “el director de Auditoría Interna debe establecer un plan basado en los riesgos, a fin de determinar las prioridades de la actividad de Auditoría Interna…”.
La Norma 2120 –Gestión de Riesgos- del IAI establece que “la actividad de Auditoría Interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos.”
La Norma 2120.A1 –Gestión de Riesgos- del IAI establece que “la actividad de Auditoría Interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización en relación a lo siguiente:
- Fiabilidad de integridad de la información financiera y operativa;
- Protección de activos; y
- Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.”
El riesgo reputacional mide un intangible que en su derivada puede provocar impactos directos sobre la capacidad de funcionamiento y de hacer negocios de una organización. Por ello, los riesgos reputacionales deben estar contemplados en el “Mapa de Riesgos” sobre el que el responsable de Auditoría Interna se basa para establecer el “Plan Anual de Auditoría”.
Dentro de los trabajos de auditoría, se debe:
-Evaluar la eficacia y eficiencia de los controles establecidos para evitar la materialización de riesgos reputacionales.
-Y también, comprobar que la organización dispone de procedimientos de mitigación probados (planes de contingencia, de respuesta, de crisis o similar) ante la materialización de riesgos reputacionales con impactos operacionales, como pudieran ser, por ejemplo, la pérdida de confianza en el equipo directivo, posibles pérdidas de ventas, disminución del valor de la acción, dificultad de accedo a financiación ajena, multas o sanciones por incumplimientos normativos, etc.
