Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DEFINICIONES
La auditoria con un enfoque basado en riesgos trata sobre la identificación y
análisis de los riesgos relevantes para alcanzar los objetivos y determinar las
actividades de control.
Es un proceso sistemático, esto quiere decir que en toda Auditoría debe existir un
conjunto de procedimientos lógicos y organizados que el auditor debe cumplir para
la recopilación de la información que necesita para emitir su opinión final. Sin
embargo cabe destacar que estos procedimientos varían de acuerdo a las
características que reúna cada empresa, pero esto no significa, que el auditor no
deba dar cumplimiento a los estándares generales establecidos por la profesión.
La palabra Auditoría viene del latín AUDITORIUS, y de esta proviene auditor, que
tiene la virtud de oír, y el diccionario lo considera revisor de cuentas colegiado
pero se asume que esa virtud de oír y revisar cuentas está encaminada a la
evaluación de la economía, la eficiencia y la eficacia en el uso de los recursos, así
como al control de los mismos.
Sugerir el tratamiento y/o las acciones que deberán establecerse para disminuir la
probabilidad de exposición a estos riesgos.
Obtener planes de acción de los responsables para corregir las fallas de control
identificadas.
En conclusión podemos decir que la función de una auditoria basada en riesgos es:
CONCEPTUALIZACION DE RIESGO
¿Qué es el riesgo?
El riesgo ante el trabajo ordenado, es el riesgo de que el auditor exprese una conclusión
inapropiada. El auditor planea y realiza el trabajo entonces de manera tal que reduzca a
un nivel aceptable el riesgo de expresar una conclusión inapropiada. En general, esos
riesgos se pueden representar por los componentes que se presentan a continuación:
Riesgo Inherente
Riesgo combinado
Es un término que se usa algunas veces para referirse a los riesgos valorados (riesgo
inherente y de control) de declaración equivocada tanto a nivel de estado financiero como
a nivel de aserción.
Riesgo de Detección
El nivel aceptable del riesgo de detección para un nivel dado de riesgo de auditoría
equivale a la relación inversa con los riesgos de declaración equivocada material a nivel
de aserción.
El riesgo inherente toma en cuenta el hecho de que la probabilidad de que ocurran errores
importantes es mayor en algunos tipos de negocios, o en algunas cuentas o grupos de
transacciones.
El auditor debe efectuar un estudio y evaluación adecuados del control interno existente,
que le sirvan de base para determinar el grado de confianza que va depositar en él;
asimismo, que le permita determinar la naturaleza, extensión y oportunidad que va a dar a
los procedimientos de auditoría.
a) El ambiente de control.
b) La evaluación de riesgos.
e) La vigilancia.
El riesgo de control representa el riesgo de que los errores importantes (que excedan a la
importancia relativa al agregarse a otros errores) que pudieran existir en un rubro
específico de los estados financieros, no sean prevenidos o detectados oportunamente
por el sistema de control interno contable en vigor.
La Auditoría lleva a cabo el estudio del control interno de las entidades mediante la
aplicación de sus Cuestionarios de Control Interno y de la Guía para la
El ‘Riesgo de auditoría’ representa la posibilidad de que el auditor pueda dar una opinión
sin salvedades, sobre unos estados financieros que contengan errores o desviaciones de
los principios de contabilidad, en exceso a la importancia relativa.
El riesgo de auditoría debe considerarse por el auditor al nivel de los estados financieros
tomados en su conjunto. Sin embargo, en virtud de que la mayoría de los procedimientos
de auditoría se aplican sobre saldos de cuentas o grupos de transacciones, el riesgo de
auditoría debe considerarse también a ese nivel, en sus tres componentes.
Durante la planeación se deberá evaluar el riesgo de un error importante (ya sea causado
por un error o fraude). El auditor deberá considerar el efecto de estas evaluaciones en la
estrategia de auditoría, así como en el alcance de las pruebas sustantivas. El
entendimiento que el auditor tenga del control interno de la entidad pudiera aumentar o
mitigar su preocupación acerca del riesgo de errores importantes.
Por otra parte se deben tomar en consideración los fraudes en la auditoria de los estados
financieros para lo cual definiremos los siguientes términos de irregularidad o fraude
como:
La gerencia a menudo utiliza medidas de desempeño para determinar el grado en que los
objetivos están siendo alcanzados. Puede ser útil utilizar la misma unidad de medida al
considerar el impacto eventual de un riesgo en el logro de un objetivo específico.
Los pasos a seguir en el tratamiento de los riesgos serán los que se describen a
continuación:
Identificación
Análisis
Evaluación
GRUPO No. 8 - 10 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Supervisión y Monitoreo
Comunicación y Consulta
Cuál es el riesgo
Cómo puede manifestarse
Por qué
Qué controles existen en ese momento para contrarrestar sus efectos.
Análisis.- Parte del análisis que se realiza, a los riesgos identificados, en cuanto a las
consecuencias y probabilidades de ocurrencia de los mismos.
Probabilidad
Impacto
Aceptable
Moderado
Inaceptable
Las fuentes de información que pueden ser utilizadas para estos fines son:
Datos estadísticos
Experiencias
Práctica diaria
Datos relevantes de publicaciones
Comprobaciones efectuadas por investigación de mercado
Resultados de experimentos
Modelos establecidos
Opiniones y juicios de expertos y especialistas
GRUPO No. 8 - 11 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Las técnicas para analizar los riesgos, entre otras, puede ser:
Entrevistas
Grupos de expertos
Cuestionarios individuales
Supervisión y Monitoreo.
Es preciso que los riesgos y la efectividad de las medidas de control de cada uno, sea
monitoreado y supervisado para tener la seguridad de que las condiciones cambiantes,
tanto internas como del entorno, no alteren las prioridades del tratamiento de los mismos.
Además contribuye a la identificación de las nuevas fuentes de riesgos y por consiguiente
el comienzo del tratamiento de los nuevos riesgos identificados.
Comunicación y Consulta.
En cada paso del proceso de administración de los riesgos es importante mantener una
adecuada comunicación de los interesados. En cada paso debe existir una forma en que
se comunique el trabajo que se está realizando con los riesgos.
Para efectuar el diagnóstico del proceso de auditoría Interna e identificar los riesgos en el
proceso, debe efectuarse el estudio partiendo de las tareas previstas para cada
subproceso, y determinar los riesgos.
Conocidos los riesgos, debe iniciarse el proceso de evaluación de los mismos, lo que
requiere los siguientes pasos:
GRUPO No. 8 - 12 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Para ello:
Leve (L)
Moderado (M)
Grande (G)
Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles actuales, siguiendo
los procedimientos de rutina.
GRUPO No. 8 - 13 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Para evaluar, se utiliza el Estándar, donde se identifican todos los riesgos de cada uno de
los subprocesos diagnosticados anteriormente, y se evalúan en conformidad con lo
previsto anteriormente.
Impacto Probabilidad
(6) (7) Nivel de
No. Riesgo E I
Riesgo
L M G F M PF
Luego de evaluado todos los riesgos, se sitúan en el cuadrante del Mapa que le
corresponde según la MATRIZ. Resulta una técnica conocida y muy usada, como
herramienta de trabajo, la representación gráfica.
Se ilustra a continuación:
MATRIZ DE RIESGOS
Poco
Aceptable Moderado Inaceptable
Frecuente
IMPACTO
GRUPO No. 8 - 14 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Como puede observarse, el gráfico anterior ilustra los cuadrantes donde según su
Impacto y Probabilidad de Ocurrencia se sitúan estos Riesgos, y su color identifica la
Evaluación del mismo, lo que no significa que en el Plan de Medidas no se tengan en
cuenta todos los Riesgos, pues deberá mantenerse el seguimiento de todos los
identificados y el Plan de acción de cada uno.
Las opciones a tener en cuenta para acometer acciones de reducción de riesgos pueden
ser:
Evitarlo
Reducir probabilidad de ocurrencia
Reducir consecuencias
Transferir el riesgo
Retener el riesgo
Y desde luego muchas otras, que puedan derivarse de un análisis casuístico en una UAI.
El Plan de Acción estaría en correspondencia con el tipo de riesgo, con la organización
donde se realiza el servicio, con el tipo de auditoría, con el subproceso que se realice y
por supuesto con el auditor o auxiliar que la ejecute.
Plan de Acción
GRUPO No. 8 - 15 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Responsables:
Departamento de Auditoría
Supervisor
Jefe de Grupo
Auditor
Estándares:
Consiste en Guías, con determinado aspectos a evaluar, por cada subproceso, el cual
debe concluir con una evaluación, la que deberá clasificar según la probabilidad de
ocurrencia y el Impacto ante la misma.
Controles:
GRUPO No. 8 - 16 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Los riesgos se evalúan con un doble enfoque: riesgo inherente y riesgo residual.
La dificultad asociada con el riesgo del negocio es su evaluación, ya que algunos de sus
atributos son cualitativos o tal vez se expresan en términos muy generales y con poca
precisión. El proceso de valoración del riesgo incluye su cuantificación, y cuando ésta no
es posible, se hace necesario, entonces, discutir el concepto, el alcance y las
consecuencias del riesgo con el propósito, al menos, de formarse una idea de su
severidad y frecuencia.
b) Su medición involucra factores tales como la ética del trabajo, la idoneidad del
personal, la cuantía de los activos, la complejidad de las operaciones, los
resultados de auditoría previa y otros.
GRUPO No. 8 - 17 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Respuesta al riesgo
Una vez que el modelo global de auditoría ha sido definido, una vez que los factores de
riesgo y su clasificación por importancia han sido determinados, la auditoría interna
puede enfocarse en aquellos procesos que individualmente representan las mayores
amenazas para la institución. Para ello debe tener claras las tres dimensiones del riesgo:
la severidad con la que se presenta, la frecuencia con la que ocurre y la vulnerabilidad de
la empresa ante el riesgo. La conjunción de las tres dimensiones definen la gestión de los
riesgos y la estrategia para su auditoría.
GRUPO No. 8 - 18 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Seguridad razonable
El auditor no puede dar seguridad absoluta debido a las limitaciones inherentes del
trabajo llevado a cabo, los juicios humanos que se requieren, y la naturaleza de la
evidencia examinada. La siguiente muestra resalta algunas de las limitaciones de la
auditoría.
Limitaciones Razones
Limitaciones del control interno Aún los controles mejor diseñados y más
efectivos pueden ser eludidos o negados por la
administración o por colusión entre los
empleados.
Fraude que permanece sin ser detectado Dado que el fraude está diseñado para no ser
descubierto, siempre hay la posibilidad de que
no será descubierto.
GRUPO No. 8 - 19 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Riesgo de auditoría
El auditor debe planear y ejecutar la auditoría para reducir el riesgo de auditoría a un nivel
bajo aceptable que sea consistente con el objetivo de la auditoría.
Para reducir el riesgo de auditoría a un riesgo bajo aceptable, el auditor tiene que:
Aserciones
• C = Completitud (totalidad);
• E = Existencia, la cual incluye ocurrencia;
• A = Exactitud, que incluye inicio, clasificación y derechos y obligaciones; y
• V = Valuación
De los auditores se requiere que valoren los riesgos de declaración equivocada material
en dos niveles.
GRUPO No. 8 - 20 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
El primero es el nivel del estado financiero en general, que se refiere a los riesgos
de declaración equivocada material que se relacionan de manera generalizada con
los estados financieros como un todo y que potencialmente afectan muchas
aserciones.
GRUPO No. 8 - 21 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Notas:
El auditor debe planear y ejecutar la auditoría con una actitud de escepticismo profesional,
reconociendo que pueden existir circunstancias que causen que los estados financieros
estén declarados equivocadamente en forma material.
GRUPO No. 8 - 22 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Presentación de reportes.
Abajo se destacan las diversas tareas que corresponden a cada una de esas fases.
Notas:
1. Refiérase a ISA 230 para una lista más completa de la documentación que se requiere
2. Planeación es un proceso continuo e interactivo a través de la auditoría
3. RDEM = riesgos de declaración equivocada material
Las auditorías basadas en riesgo requieren que los profesionales en ejercicio entiendan la
entidad y su entorno, incluyendo el control interno. El propósito es identificar y valorar los
riesgos de declaración equivocada material de los estados financieros.
Dado que las valoraciones del riesgo requieren considerable juicio profesional, esta fase
probablemente requerirá tiempo del socio de auditoría y del personal principal de la
auditoría para identificar y valorar los diversos tipos de riesgo y desarrollar entonces la
respuesta de auditoría que sea apropiada.
La fase de la auditoría denominada valoración del riesgo conlleva los siguientes pasos:
GRUPO No. 8 - 23 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
El tiempo que conlleva aplicar los procedimientos de valoración del riesgo a menudo
puede ser compensado por la reducción, o aún por la eliminación, del trabajo de auditoría
en las áreas de riesgo bajo. El conocimiento y las luces que se ganan también se pueden
usar para hacerle a la administración de la entidad comentarios y recomendaciones
prácticos sobre cómo minimizar o reducir el riesgo.
Un proceso efectivo de valoración del riesgo requiere que todos los miembros del equipo
del contrato participen y se comuniquen efectivamente. El equipo de auditoría1 se debe
reunir o hablar regularmente para compartir sus luces.
Esto se puede lograr mediante:
Planeación de las reuniones del equipo para discutir la estrategia general de
auditoría y detallar el plan de auditoría, hacer lluvias de ideas sobre cómo podría
ocurrir el fraude, y diseñar procedimientos de auditoría que puedan detectar si tal
fraude de hecho ocurrió; y
Reuniones del equipo (durante o al final del trabajo de campo) para discutir las
implicaciones de los hallazgos de auditoría, identificar cualesquiera indicadores de
fraude y determinar la necesidad (si la hay) de aplicar cualesquier procedimientos
de auditoría adicionales.
GRUPO No. 8 - 24 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Algunos de los asuntos que el auditor debe considerar cuando planea los procedimientos
de auditoría incluyen:
Aserciones que no pueden ser tratadas únicamente con procedimientos
sustantivos. Esto puede ocurrir cuando haya procesamiento altamente
automatizado de las transacciones con poca o ninguna intervención manual.
Existencia de control interno que, si se prueba, podría reducir la necesidad/alcance
de otros procedimientos sustantivos.
El potencial de procedimientos analíticos sustantivos que reducirían la
necesidad/alcance de otros tipos de procedimientos.
La necesidad de incorporar un elemento de impredecibilidad en los procedimientos
aplicados.
La necesidad de aplicar procedimientos de auditoría adicionales para tratar el
potencial de que la administración eluda los controles u otros escenarios de
fraude.
La necesidad de aplicar procedimientos específicos para tratar los "riesgos
significantes" que han sido identificados.
Los procedimientos de auditoría diseñados para cubrir los riesgos valorados podrían
incluir una mezcla de:
Pruebas de la efectividad operacional del control interno; y
Procedimientos sustantivos tales como pruebas de los detalles y procedimientos
analíticos.
GRUPO No. 8 - 25 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Presentación de reportes
Resumen
GRUPO No. 8 - 26 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
GRUPO No. 8 - 27 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
CONCLUCIONES
Después del análisis del trabajo realizado se puede observar en líneas generales que el
riesgo en cualquier grado siempre es latente, esto aunque la empresa revise
constantemente los niveles de control interno, derivado de las debilidades que puedan
existir por no cumplir con la normativa interna como externa del control interno. Según los
análisis estadísticos ejercidos en diferentes épocas señalan que el riesgo puede ser
combatible siempre y cuando se ejerzan acciones que subsanen todas las debilidades de
control interno. Las estadísticas generalizadas también muestran una tendencia a calificar
un determinado riesgo en calificación de impacto, tal como lo es el riesgo alto, mostrando
el total interés que la empresa tiene para minimizar la debilidad y fortalecer mayor control
sobre los posibles riesgos existentes
Es notable resaltar que la mayoría de los riesgos se derivan del mal empleo del control
interno ejercido sobre cualquier tipo de empresa, sin embargo la empresa que se puede
estar estudiando le puede brindar toda la posibilidad para poder erradicar el posible
impacto que pueda tener sobre la misma.
Dentro de los aspectos evaluados solo dos temas tienen un cierto grado de madurez para
mitigar cualquier tipo de riesgos que puedan presentarse en las diferentes evaluaciones al
control interno de cada dependencia, y a continuación se detallan las dos propuestas con
el fin de contrarrestar el riesgo medio y alto en cualquier grado de dificultad
GRUPO No. 8 - 28 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
RECOMENDACIONES
Como nos podemos dar cuenta en el trabajo desarrollado nos da varios pasos y claves
para poder desarrollar eficazmente nuestra profesión en el tema la Auditoria con un
enfoque basado en riegos, por lo que les hacemos las siguientes recomendaciones:
5. Elaborar y llevar a cabo un control interno adecuado para determinar las áreas de
mayor riesgo en la empresa y así evitar contingencias que afecten a la misma.
7. Hacer pruebas de cumplimiento que esto nos ayuda a la comprobación de que uno
o más procedimientos de control interno estuvieron operando con efectividad
durante el periodo auditado.
9. Tomar en cuenta como regla general que las pruebas de cumplimiento deben
concluirse antes de iniciar las pruebas sustantivas. Lo anterior permite ajustar
eficientemente el alcance de las pruebas sustantivas, si las pruebas de
GRUPO No. 8 - 29 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
BIBLIOGRAFIA
Monografias.com
Gestiopolis.com
Material de Apoyo: Presentación y Análisis de Riesgos (PriceWaterHouse 2009)
Dirección Corporativa de Riesgos del Banco Nacional de Costa Rica.
Tesis 2955 USAC: Auditoria de Estados Financieros con Enfoque basado en
riesgos. Suly Araceli Martínez Hernández (CPA) Guatemala, mayo 2007.
NORMAS Y PROCEDIMIENTOS DE AUDITORIA Y NORMAS Y NORMAS PARA
ATESTIGUAR, Vigésima sexta Edición, Edita: Instituto Mexicano de Contadores
Públicos, A.C. México, D.F. 2005
www.cemla.org/pdf
http://www.monografias.com/trabajos39/riesgos-en-auditoria/riesgos-en-
auditoria2.shtml
http://web.ifac.org/download/AuditorAsa_Financiera_de_PYMES
Metodología de Auditoría de KPMG (KPMG Audit Methodogy KAM)
ROLDAN DE MORALES, Esperanza. Apuntes de Auditoría IV. Material de Apoyo.
25 Junio 2010
ANEXO 1
GRUPO No. 8 - 30 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
ANEXO 2
GRUPO No. 8 - 31 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
ANEXO 3
Algunos Tipos de Riesgos
GRUPO No. 8 - 32 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Fuego Automóviles
Negligencia
Leyes laborales
Procedimientos de acceso
Caídas de sistemas
Confidencialidad
Aspectos técnicos
Leyes tributarias
Procedimientos publicitarios
Leyes económicas
Derechos de propiedad
GRUPO No. 8 - 33 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
Información inexacta
ANEXO 4
EVALUACION DEL RIESGO DE
AUDITORIA
GRUPO No. 8 - 34 -
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
IMPROTENTE
IMPORTANTES
GRUPO No. 8 - 35 -