Embed Size (px)
Citation preview
EL NUEVO ENFOQUE DE AUDITORÍA BASADA EN RIESGOS, PLANES DE TRABAJO E INFORMES
Victor Manuel Mancilla CastroAuditor Corporativo
Grupo Financiero BanruralGuatemala
Índice• Auditoría Basada en Riesgos
– Definición
– Objetivos
– Fases
– Plan de Trabajo
– Informe
– Principales riesgos
– Conclusiones
AUDITORÍA BASADA EN RIESGOS
DEFINICIÓN
“La metodología que une las auditorías internas con el marcogeneral de la gestión de riesgo de una organización, permitiendo ala auditoría interna ofrecer garantías al Directorio de que losprocesos de gestión de riesgos son efectivamente aplicados enrelación con el apetito al riesgo”.
Qué persigueLas auditorías con base a riesgos, consisten en: Evaluar la adecuación de losprocesos de Gestión de Riesgos, verificando:
a) Que los objetivos de la organización están alineados con la estrategiade la empresa.
b) Que los riesgos significativos están identificados y bien evaluados.
c) Que se han seleccionado respuestas apropiadas a los riesgos de formaque estén en un entorno de aceptación.
d) Obtener oportuna información significativa sobre los riesgos críticos.
Objetivo del Plan Estratégico de la Organización
Definir el plan de auditoría interna que apoyará la consecución delos objetivos estratégicos de la Organización, partiendo de laidentificación de los riesgos que presenta la operación, laevaluación de los controles establecidos para mitigar dichosriesgos, así como la sugerencia de nuevos controles que fortalezcanel ambiente de control.
• Objetivos de la Auditoría Interna
ü Acompañar a la Administración en el cumplimiento de los objetivosdesde la correspondiente gestión de riesgos, control y gobierno,según la definición de Auditoría Interna.
ü Apoyar a la administración en el monitoreo de sus procesos, asícomo en la evaluación de sus controles, contribuyendo a fortalecersu ambiente de Control Interno.
ü Ejecutar el trabajo de la Función de Auditoría Interna, desde loslineamientos definidos en las Normas Internacionales emitidas porel Instituto de Auditores Internos.
Las fases sobre las que tendremos que trabajarson:
1. Analizar el Proceso de Gestión de Riesgos de la organización.2. Opinar sobre su efectividad (madurez y fiabilidad).3. Acceder al Mapa de Riesgos de la Organización.4. Conocer los apetitos a los riesgos de las principales amenazas.5. Identificar las acciones correctoras definidas por los gestores parareconducir riesgos residuales hacia la zona de tolerancia.
6. Identificar los procesos con mayor relación con los objetivosestratégicos de la organización.
7. Ordenar los procesos críticos según la visión de Auditoría Interna.
Las fases sobre las que tendremos que trabajarson:
La hoja de ruta expuesta anteriormente, se vería complementada con lossiguientes otros seis pasos:
8. Valoración del grado y eficacia del control existente en estos procesos.9. Priorización de los procesos según Auditoría.10. Definir ponderaciones y pesos de los distintos ítems a considerar.11. Ordenar los posibles trabajos por su grado de relevancia deducida.12. Cuantificar los recursos y trabajos a incluir en el plan Auditor.13. Gestionar la aprobación del Plan de Auditoría elaborado.
MAPA DE RIESGOS DE AUDITORÍA
Áreas de Alcance
Auditoría Operativa
Auditoría de Sistemas
Auditoría Financiera
Auditoría de Cumplimiento
Tecnología
Gestión de Riesgos
• Fases del trabajo
Planeación EjecuciónTerminación de la Auditoría y Emisión de Informes
FASE I FASE II FASE III FASE IV FASE V
Control de CalidadLineamientos
Fases del Trabajo
Planeación de la Auditoría
Lineamientos
FASE I
Planeación Control deCalidadLineamientos
FASE I FASE II FASE III FASE IV FASE V
Lineamientos Planeación EjecuciónTerminación de la Auditoría y Emisión de Informes
En esta fase desarrollamos:
ü Objetivos estratégicos de la Organización.
ü Marco Teórico / COSO.
ü Estatuto de Auditoría Interna.
ü Diseño de los protocolos de comunicación.
ü Directrices para la administración del trabajo.
Cadena de Valor
MODELO COSO ERM
Estatuto de Auditoría• CONTENIDO DEL ESTATUTO
I MISIÓNII OBJETIVOSIII ALCANCE IV RESPONSABILIDADESV INDEPENDENCIAVI AUTORIDADVII PROFESIONALISMO
Marco de ActuaciónNIEPAI• Las Normas sobre Atributos, tratan las
características de las organizaciones y laspersonas que prestan servicios de auditoríainterna.
• Las Normas sobre Desempeño, describen lanaturaleza de los servicios de auditoría interna yproporcionan criterios de calidad con los cualespuede evaluarse el desempeño de estosservicios.
• Las Normas de Implantación, amplían lasNormas sobre Atributos y Desempeño,proporcionando los requisitos aplicables a lasactividades de aseguramiento (A) y consultoría(C).
Fases del Trabajo
Planeación de la Auditoría
Planeación Control deCalidadLineamientosLineamientos Planeación Ejecución
Terminación de la Auditoría y Emisión de Informes
Durante la presente fase desarrollamos:
ü Entendimiento de la organización.
ü Elaboración del Mapa de Riesgos.
ü Definición del Plan Anual de Auditoría.
ü Aprobación oficial del Plan Anual de Auditoría.
FASE II
Planeación
¿Cómo se origina el riesgo?
EJEMPLOS DE CONTROLES
Factores de riesgo: Controles a implementar: Falta de conocimientos informáticos de la plantilla
Cursos de formación rápida
Inexistencia de aplicaciones estándar que sean de uso para la empresa
Contratación para el desarrollo de Software.
Dificultades para desvincular al personal existente
Negociación con sindicatos.
Formación del personal deslocalizado con el proceso
Cursos de formación in situ
Traslado de los productos terminados cumpliendo plazos
Acuerdo agencias transporte
Mapa de Riesgos
Empresa
Estrategia
Capital Humano
Medio Ambientales
Operacionales/Físicos
Organización
Macro Económicos
Políticos
Mercados
EXTERNOS
INTERNOS
El mapa de riesgos permite identificar riesgos estratégicos, financieros, operacionales, de cumplimientoy de tecnología, que pueden afectar el cumplimiento de los objetivos de la organización dentro del marcode la cadena de valor.
Adicionalmente también se evalúan aquellos riesgos externos que afectan el cumplimiento de losobjetivos, tales como políticos, macro económicos, de mercado y ambientales, entre otros.
RIESGOS…
RIESGOS…
APETITO DE RIESGO• El apetito al riesgo es el máximo riesgo quela Organización está en condiciones deaceptar para no interferir en la consecución delos objetivos.
• Del riesgo inherente pasamos al riesgoresidual, y de ahí a compararlo con el apetitoal riesgo adoptando una serie de medidas,todas ellas encaminadas a igualarlos, dentrode las siguientes posibilidades: Aceptarlos,Compartirlos, Reducirlos o Rechazarlos.
• La elección de alguna de estas cuatroalternativas dependerá del costo - beneficioesperado de ellas.
¿Cómo medimos el riesgo?
Probabilidad
IMPACTO
¿Cómo medimos el riesgo?
¿Cómo medimos el riesgo?
RIESGOS POR NIVEL DE IMPORTANCIA
Priorización de las Unidades Auditables
Unidades Auditables Ambiente de Control
Hallazgos de Auditoria previos
Administración
Interes/Preocupación
Comodidad con el
manejo de Operaciones
Cambios Internos
Cambios Externos Importancia Tamaño Fecha Ultima
Auditoria Puntos Totales
Sl.no Peso Riesgo Peso Riesgo Peso Riesgo Peso Riesgo Peso Riesgo Peso Riesgo Peso Riesgo Peso Riesgo Peso Riesgo
1 Riesgos -‐ Riesgo de Mercado y Liquidez 4 2 3 1 3 1 2 2 4 1 2 2 4 2 2 1 2 1 382 Riesgos -‐ Riesgo Operativo 4 2 3 1 3 3 2 2 4 1 2 2 4 1 2 1 2 1 403 Riesgo de Crédito -‐ Control 4 2 3 1 3 3 2 2 4 1 2 2 4 1 2 1 2 1 404 Riesgo de Crédito -‐ Manejo de Riesgo de cartera 4 3 3 3 3 3 2 2 4 2 2 1 4 2 2 2 2 2 605 Riesgos -‐ Seguridad de la Información 4 2 3 1 3 1 2 1 4 1 2 1 4 1 2 1 2 1 306 Cumplimiento -‐ Anti Lavado de Dinero 4 3 3 2 3 3 2 3 4 2 2 3 4 3 2 2 2 1 657 Finanzas -‐ Contabilidad 4 2 3 1 3 1 2 1 4 1 2 3 4 1 2 1 2 3 388 Finanzas -‐ Tesorería 4 1 3 1 3 1 2 1 4 1 2 2 4 1 2 1 2 1 289 Finanzas -‐ Presupuesto/Planeación/Control 4 2 3 3 3 3 2 3 4 2 2 3 4 3 2 2 2 3 6810 Finanzas -‐ Adecuación de Capital 4 2 3 1 3 3 2 2 4 2 2 2 4 3 2 2 2 1 5411 Captación -‐ Cuentas de ahorro, DPF, corrientes 4 2 3 1 3 2 2 2 4 2 2 1 4 1 2 1 2 1 3912 Captación -‐ Remesas 4 2 3 3 3 2 2 1 4 2 2 2 4 2 2 2 2 3 5513 Gobierno Corporativo 4 1 3 1 3 1 2 1 4 1 2 1 4 1 2 1 2 1 2614 Administración -‐ Compras 4 2 3 1 3 2 2 1 4 1 2 1 4 1 2 3 2 1 3715 Administración -‐ Pagos (Nacional e Internacional) 4 2 3 1 3 1 2 1 4 1 2 1 4 1 2 3 2 1 3416 Administración -‐ Outsourcing 4 2 3 3 3 1 2 3 4 2 2 1 4 1 2 3 2 1 4817 Administración -‐ Seguridad física 4 2 3 1 3 1 2 1 4 1 2 1 4 1 2 1 2 1 3018 Administración -‐ Activos fijos 4 3 3 2 3 1 2 2 4 1 2 1 4 1 2 2 2 1 4119 Administración -‐ Mercadeo 4 3 3 3 3 2 2 3 4 2 2 2 4 2 2 2 2 3 6320 Administración -‐ RRHH 4 3 3 1 3 3 2 3 4 3 2 3 4 3 2 3 2 1 6821 Administración -‐ Proyectos y Procesos 4 3 3 1 3 1 2 2 4 1 2 3 4 1 2 2 2 1 4222 Medios Electrónicos -‐ POS 4 3 3 3 3 3 2 3 4 3 2 3 4 3 2 1 2 3 7423 Medios Electrónicos -‐Agentes Corresponsales 4 2 3 1 3 2 2 3 4 3 2 3 4 3 2 1 2 1 5724 Medios Electrónicos -‐ ATM´s 4 3 3 1 3 3 2 3 4 3 2 3 4 3 2 1 2 1 6425 Medios Electrónicos -‐ Tarjetas Debito -‐ Crédito 4 3 3 1 3 2 2 3 4 3 2 3 4 3 2 1 2 1 6126 Medios Electrónicos -‐ Servicio e-‐banking 4 2 3 2 3 2 2 3 4 2 2 3 4 3 2 1 2 1 56
Matriz para Plan de Trabajo con Base en Riesgos
Mínim
o
Bajo
Medio
Mayor
Catastrófico
Óptimo
Bueno
Medio
Regular
Deficiente
Año x-‐1
Año x-‐2
Año x-‐3
Año x-‐4
Año x-‐5 o No
Buena
Con excepciones
Media
Mejorable
Deficiente
>90%
80-‐90%
70-‐80%
50-‐70%
<50%
Si Parcial
No
Mínim
a
Baja
Media
Alta
Muy alta
Mínim
a
Baja
Media
Alta
Muy alta
Mínim
a
Baja
Media
Alta
Muy alta
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 3 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
Ponderación
ColocaciónProspectaciónVinculaciónAnálisisAprobaciónFormalizaciónDesembolsoAdministración
5% 10% 15% 15% 10%
Procesos/Riesgos residuales
5% 5% 15% 20%
Mapa de Riesgos
Índice de criticidad
Mapa de Control Interno
Grado de efectividad
Auditoría realizada Importancia
estratégicaImportancia económica
Juicio del auditor
Recomendaciones críticas
Cumplimiento
Existencia de
procedimientos
Valoración Informes
MODELO DE MADUREZNivel de Madurez Característica Enfoque de Auditoría Interna
1. Incipiente No existe un enfoque de gestión del riesgo Promover la gestión de riesgos y establecer laplaneación de auditoría con base a una valoración deriesgos realizada por auditoría interna
2. Conocido Existen esfuerzos aislados de gestión de riesgos Promover el enfoque de gestión de riesgos a nivelorganizacional y establecer la planeación de auditoría conbase en una metodología interna
3. Definido Existe un enfoque formal de gestión de riesgos. Se tienedefinida y divulgada en toda la organización la estrategia,políticas y metodología de medición de la gestión deriesgos.
Ser facilitador en la identificación y evaluación deriesgos y utilizar en la planeación de auditoría unametodología con base en riesgos, tomando en cuenta lasherramientas y taxonomía de la gestión de riegos
4. Administrado El proceso de gestión de riesgos se viene desarrollando ycomunicando paulatinamente de acuerdo a las prioridadesen la cadena de valor de la entidad. El límite o tolerancia alriesgo se tiene definido.
Auditar los procesos de la organización poniendoénfasis como complemento en la planeación de auditoríaa los controles débiles que resultan de la evaluación de lagestión de riesgos
5. Optimizado La gestión de riesgo y control interno están completamenteinmersos e identificados en todas las operaciones yprocesos de la cadena de valor de la organización. Existenindicadores para su medición y monitoreo.
Auditar y otorgar aseguramiento respecto a los procesosde gestión integral de riesgos y utilizar la valoración deriesgos de la administración donde sea apropiado comocomplemento a la planeación de auditoría.
Cronograma de TrabajoLOGO Cronograma del trabajo de auditoría del proceso XXXXX
ActividadResponsa
ble
MesXXXX XXXX
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
Semana 1 Semana II Semana III Semana IV Semana V Semana VI Semana VII Semana VIII
Planeación APL 8
Reunión de apertura y documentación 8
Reuniones de entendimiento 8 8
Diagramación del entendimiento 8
Diseño de pruebas y matriz
Aprobación del programa de Auditoría
Solicitud de información
Ejecución
Elaboración de Informe
Revisión del informe por la Gcia de AI
Validación de informe I nivel
Ajustes al informe
XXXXXX
Presentación de resultados II nivel
XXXXXX
Horas Diarias 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8
Total horas por día 0 8 8 8 8 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
Fin de Semana (Sábado y Domingo)Realizar actividades alternas a las de la auditoríaActividades a desarrollar
Nombre de Participantes Cargo InicialesAxxxxxx Pxxxxxx Lxxxxxxxxxxxx Gerente APL
Bxxxxxx Cxxxxxx DxxxxxxxxxxxLíder de Auditoría BCD
Cxxxxxx Nxxxxx Wxxxxxx Asistente CNW
Fases del Trabajo
Planeación de la Auditoría
Planeación Control deCalidadLineamientosLineamientos Planeación Ejecución
Terminación de la Auditoría y Emisión de Informes
FASE III
Ejecución
En esta fase desarrollamos:
ü Auditorías para los procesos con mayor nivel de riesgo.
ü Entendimiento de los procesos con sus controles clave.
ü Requerimiento de Información.
ü Diseño de pruebas para los controles clave.
Papeles de Trabajo
Fases del Trabajo
Planeación de la Auditoría
Planeación Control deCalidadLineamientosLineamientos Planeación Ejecución
Terminación de la Auditoría y Emisión de Informes
FASE IV
Terminación de la Auditoría y Emisión de Informes
En esta fase desarrollamos:
ü Validación del Informe Borrador con el dueño del proceso.
ü Solicitud de los planes de acción.
ü Emisión oficial del informe.
Contenido del Informe
1. Objetivo 2. Alcance del Plan Inicial3. Porcentaje de Realizaciones4. Actuaciones previstas no atendidas. 5. Auditorías realizadas6. Auditorías en Proceso7. Recomendaciones 8. Planes de Acción9. Resultados del PAMC
Logo XYZ
Marzo xxx
1. Objetivo
ü Presentar al Comité de Auditoría Interna yal Directorio los resultados de la gestiónrealizada en el año 2016 por la Direcciónde Auditoría Interna , así como los planesde acción implementados por laAdministración y los resultados del Plande Aseguramiento y Mejora de la Calidad(PAMC).
Logo XYZ
Marzo xxx
2. Alcance del Plan InicialLas actividades programadas en el Plan Anual de Auditoría 201X, se pueden clasificar de acuerdo con la siguiente agrupación:
ü Auditorías seleccionadas según resultados del modelo de gestión de riesgos.
ü Auditorías solicitadas por el Comité de Auditoría
ü Auditorías incluidas con base a la petición de la alta dirección y las gerencias.
ü Trabajos de supervisión derivados de requerimientos de los supervisores.
ü Verificación del grado de implementación de los planes de acción.
ü Plan de formación de los profesionales del departamento de Auditoría
ü Programa de Aseguramiento y mejora de la calidad de la función auditora.
ü Atención de trabajos de supervisión sobrevenidos a lo largo del ejercicio
3. Porcentaje de Realizaciones
§ Auditorías seleccionadas según resultados del modelo de gestión de riesgos X%
§ Auditorías solicitadas por el Comité de Auditoría X%
§ Auditorías incluidas en base a la petición de la alta dirección y las gerencias. Z%
§ Trabajos de supervisión derivados de requerimientos de los supervisores.
§ Verificación del grado de implementación de los planes de acción.
§ Plan de formación de los profesionales del departamento de Auditoría
§ Programa de Aseguramiento y mejora de la calidad de la función auditora.
§ Atención de trabajos de supervisión sobrevenidos a lo largo del ejercicio
Porcentaje
4. Actuaciones previstas no atendidas
Para las actuaciones previstas para su realización en elejercicio 2016, que no ha sido posible atender en el ejercicio, seestima conveniente actuar de la siguiente manera:
v Reprogramarlas para atenderlas en el 2017,
v Desestimarlas
5. Auditorías Realizadas
Logo XYZ
Nivel de Riesgo Alto Nivel de Riesgo Medio Nivel de Riesgo Bajo
Fecha de la Evaluación Proceso Auditado Nivel de Riesgo
xx -‐ xx-‐ 201X XXXXXXXXXX
xx -‐ xx-‐ 201X XXXXXXXXXX
xx -‐ xx-‐ 201X XXXXXXXXXX
*Se sugiere explicar los aspectos más relevantes que permitieron concluir las calificaciones y las cuales deben estar alienadas a los resultados entregados en los informes.
§ Del total de las auditorías programadas en el Plan Anualde Auditoría 2016, se ejecutaron el XX% de las mismas. Lasiguiente es la calificación del nivel de riesgo de lasauditorías realizadas al momento de la evaluación:
Marzo xxx
6. Auditorías en ProcesoLogo XYZ
q El XX% del Plan Anual de Auditoría se encuentra en etapa de validación, así:
ü Proceso xxxxxxxxxxxxxxxxxxü Proceso xxxxxxxxxxxxxxxxxxü Proceso xxxxxxxxxxxxxxxxxxü Proceso xxxxxxxxxxxxxxxxxx
Marzo de xxx
En el año 2016 se emitieron un total de XXXrecomendaciones, de las cuales fueron implementadas elXX %:
7. Recomendaciones
Logo XYZ
Para las recomendaciones que no fueronimplementadas, la administración estableció planesalternos, por lo cual en el seguimiento a realizar enel año 2017, se evaluará la efectividad de lasmismas.
74%
26%
Recomendaciones
Recomendaciones Implementadas
Recomendaciones no implementadas
Marzo de xxx
0
500
1,000
1,500
2,000
2,500
3,000
Extremo Alto Moderado
Bajo Mínimo Sin criticidad
Total por Riesgo 165 2,532 969 255 40 36
Implementadas / Pendientes de Cerrar 24 71 56 17 5 5
Cerradas 70 1896 697 112 8 21
Pendientes 71 565 216 126 27 10
Cantidad
Incidencias Totales -‐ Nivel de Atención y RiesgoDel 1 de enero al 31 de diciembre de 2015
8. Planes de Acción
Logo XYZ
PromociónInstitucional
De un total de XXX planesde acción que estabansujetos a revisión en el año2016, el XX% fueronimplementados, el XXfueron parcialmenteimplementados y el X% nofue implementado.
70%
25%
5%
Planes de Acción
Planes de Accion Implementados
Planes de Acción Parcialmente Implementados
Planes de Acción No Implementados
Marzo de xxx
8.1 Planes de Acción No Implementados
Logo XYZ
Las siguientes son las áreas y procesos auditados que noimplementaron el plan de acción, así como el nivel deriesgo que les fue asignado al momento de la evaluación.
Fecha de la Evaluación Proceso Auditado Debilidad Plan de Acción
Nivel de Riesgo
Asignado a la Debilidad
xx - xx- 201X XXXXXXXXXX
xx - xx- 201X XXXXXXXXXX
xx - xx- 201X XXXXXXXXXX
*Se sugiere realizar una breve descripción de la debilidad y el plan de acción.
Nivel de Riesgo Alto Nivel de Riesgo Medio Nivel de Riesgo Bajo
Marzo de xxx
9. Indicadores del PAMC
Logo XYZ
Como resultado del Programa de Aseguramiento y Mejorade la Calidad (PAMC) desarrollado por el Departamento deAuditoría Interna dentro del marco de las NormasInternacionales de Auditoría Interna, se evaluaron lossiguientes indicadores por parte de la firma xxxxxxx:
Marzo de xxx
ü Encuestas de satisfacción anualesü Entrenamiento de los auditoresü Cumplimiento de políticas y procedimientosü Innovaciónü Personal
Fases del Trabajo
Planeación de la Auditoría
Planeación Control deCalidadLineamientosLineamientos Planeación Ejecución
Terminación de la Auditoría y Emisión de Informes
En esta fase desarrollamos:
ü Validación de la documentación.
ü Archivo y custodia de los papeles de trabajo.
ü Cierres de bases de información.
FASE V
Control de Calidad
Principales riesgos que enfrentan las organizaciones
– Seguridad de la información – Gestión del cambio estratégico – El cambio climático – La inestabilidad geopolítica – Protección de datos – Uso de terceros – Gestión de cumplimiento – Riesgo de cultura corporativa – Planificación estratégica de la fuerza
laboral – Marketing digital
Fuente: E&Y
• Signos de una cultura corporativa tóxica
– Favoritismo– Caminando sobre cáscaras de huevo– Mal comportamiento– Falta de desarrollo– Centralización de la información– Falta de rendición de cuentas
RIESGOS GLOBALES 2016
Europa Canadá EEUURusia y Asia
Central
Asia Oriental y Pacífico
Asia SurLatinoamérica y Caribe
Oriente Medio y Africa Norte
Africa SubSahari
ana
Precios energíaDesempleoCrisis fiscalesBurbujasConflicto interestatalAtaques cibernéticosFalta de gobernabilidadRiesgos ambientalesInflaciónAtaques terroristasFalta de planificación urbanaFalta de infraestructura básica
Fuente: Worl Economic Forum 2016
Conclusiones• La adecuada gestión de los riesgos es el factor que genera
el mayor valor agregado en la gestión empresarial
• El enfoque de la Gestión Basada en Riesgos es unaestrategia efectiva para las organizaciones exitosas
• La Auditoría Basada en Riesgos es una mejor práctica deobligada implementación en las organizaciones ya sea pornormativa o por necesidad de sobrevivencia
• La administración debe definir claramente su apetito deriesgo y sus niveles de tolerancia al riesgo
• La auditoría basada en riesgos debe asegurar a laadministración que los riesgos están adecuadamentegestionados y bajo control los riesgos críticos
• El tono de la auditoría basada en riesgos debe estaracorde al nivel de madurez del modelo de gestión deriesgos de la organización
• Es preciso identificar claramente la relación causa- riesgo–efecto –mitigador para elaborar un adecuado mapa deriesgos
• Es necesario ponderar y priorizar los riesgos por nivel decriticidad para asignar apropiadamente los recursos deauditoría, que son escasos
