Auditoría Con Un Enfoque Basado en Riesgos

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS.
DEFINICIONES
 La auditoria con un enfoque basado en riesgos trata sobre la identificación y
análisis de los riesgos relevantes para alcanzar los objetivos y determinar las
actividades de control.
 Una recopilación, acumulación y evaluación de evidencia sobre información de

una entidad, para determinar e informar el grado de cumplimiento entre la
información y los criterios establecidos.
 Un proceso sistemático para obtener y evaluar riesgos de manera objetiva, las

evidencias relacionadas con informes sobre actividades económicas y otras
situaciones que tienen una relación directa con las actividades que se desarrollan
en una entidad pública o privada. El fin del proceso consiste en determinar el
grado de precisión del contenido informativo con las evidencias que le dieron
origen, así como determinar si dichos informes se han elaborado observando
principios establecidos para el caso&.
 Es un proceso sistemático, esto quiere decir que en toda Auditoría debe existir un
conjunto de procedimientos lógicos y organizados que el auditor debe cumplir para
la recopilación de la información que necesita para emitir su opinión final. Sin
embargo cabe destacar que estos procedimientos varían de acuerdo a las
características que reúna cada empresa, pero esto no significa, que el auditor no
deba dar cumplimiento a los estándares generales establecidos por la profesión.
 La palabra Auditoría viene del latín AUDITORIUS, y de esta proviene auditor, que
tiene la virtud de oír, y el diccionario lo considera revisor de cuentas colegiado
pero se asume que esa virtud de oír y revisar cuentas está encaminada a la
evaluación de la economía, la eficiencia y la eficacia en el uso de los recursos, así
como al control de los mismos.
 La Auditoría puede definirse como un proceso sistemático para obtener y evaluar

de manera objetiva las evidencias relacionadas con informes sobre actividades
económicas y otros acontecimientos relacionados, cuyo fin consiste en determinar
el grado de correspondencia del contenido informativo con las evidencias que le
dieron origen, así como establecer si dichos informes se han elaborado
observando los principios establecidos para el caso.
 Es la investigación, consulta, revisión, verificación, comprobación y evidencia

aplicada a la Empresa. Es el examen realizado por el personal calificado e
independiente de acuerdo con Normas de Contabilidad; con el fin de esperar una
opinión que muestre lo acontecido en el negocio; requisito fundamental es la
independencia.
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS
 Se define también la Auditoría como un proceso sistemático, que consiste en

obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas a los
actos o eventos de carácter económico – administrativo, con el fin de determinar el
grado de correspondencia entre esas afirmaciones y los criterios establecidos,
para luego comunicar los resultados a las personas interesadas. Se practica por
profesionales calificados e independientes, de conformidad con normas y
procedimientos técnicos.
OBJETIVOS DE AUDITORIA BASADA EN RIESGOS
El Estándar Internacional de Auditoría ISA 200 establece: “El objetivo de la auditoría de

estados financieros es permitirle al auditor expresar una opinión respecto de si los
estados financieros están preparados, en todos los aspectos materiales, de acuerdo con
la estructura aplicable de información financiera”.
En la auditoría basada en riesgos el objetivo del auditor es “obtener seguridad razonable
de que en los estados financieros no existan declaraciones equivocadas materiales
causadas por fraude o error”.
Esto implica tres pasos clave:
 Valorar los riesgos de declaración equivocada material contenida en los estados

financieros;
 Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los

riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de
declaraciones materiales contenidas en los estados financieros; y
 Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos

de auditoría.
Esta Metodología basada en riesgos facilita y mejora la calidad de auditoría, transforma el

proceso de Auditoría tradicional en una nueva estructura para evaluar de qué manera se
administra los riesgos del negocio de una compañía.
La ventaja de este enfoque es que permite adquirir un entendimiento integral del

negocio, incluyendo las estrategias, los riesgos de negocio y los procesos para
administrarlos, lo que resulta en una auditoría efectiva y eficiente.
Se centra en claves del éxito y en los indicadores claves de rendimiento (valor

agregado, programas de calidad total) que impulsan a las compañías y que permite
agregar valor mediante auditoría.
FUNCIONES DE AUDITORIA BASADA EN RIESGOS
GRUPO No. 8 -1-

 Incorporar al universo de los asuntos de auditoría la visión de riesgo que tiene la

organización.
financieros.
 Desarrollar procesos de auditoría basada en riesgos e incorporarlos en los

planes anuales de la auditoría.
 Darle seguimiento al plan comercial y ajustar el plan de la auditoría ante cambios en

el primero.

declaraciones materiales contenidas en los estados financieros.
 Utilizar técnicas y procedimientos de riesgo cuando se realiza la auditoría.
 Informar a los administradores y responsables de la organización los resultados de

las auditorías con un lenguaje de riesgos y no de control interno.
 Identificar de manera conjunta los riesgos que pudieran afectar adversamente la

habilidad de la organización para alcanzar sus objetivos.
 Ayudar a evaluar el impacto que pudieran tener estos riesgos dentro de la

organización.
 Sugerir el tratamiento y/o las acciones que deberán establecerse para disminuir la
probabilidad de exposición a estos riesgos.
 Diseñar un programa de auditoría basada en los principales riesgos del

negocio.
 Evaluar la suficiencia y efectividad de los controles internos actuales.
 Obtener planes de acción de los responsables para corregir las fallas de control
identificadas.
 Dar a conocer los resultados a la Dirección General y a su Comité de Auditoría,

mediante reporte de auditoría redactado adecuadamente, basado en los hallazgos
de auditoría para una oportuna y adecuada toma de decisiones.
En conclusión podemos decir que la función de una auditoria basada en riesgos es:
GRUPO No. 8 -2-

Apoyar a la organización a identificar sus riesgos financieros,

de operación y de cumplimiento con leyes y normatividades; a determinar el
impacto que pueden tener sobre los objetivos de la
organización, a priorizarlos y a determinar el tratamiento que se
deberá dar a cada uno de ellos y, a establecer un programa de monitoreo
permanente sobre los mismos.
Además, obtener evidencia adecuada de las afirmaciones de la dirección, contenidas en

las cuentas anuales, mediante la realización y evaluación de las pruebas de auditoría que
se consideren adecuadas, al objeto de obtener una base de juicio razonable sobre los
datos contenidos en las cuentas anuales que se examinan y poder expresar una opinión
respecto a las mismas.
CONCEPTUALIZACION DE RIESGO
¿Qué es el riesgo?
Cualquier obstáculo que se oponga al logro de los objetivos globales y específicos

dentro de una organización.
Situaciones adversas cuyas consecuencias para una organización es la pérdida de un

activo (tangible o intangible)
El riesgo ante el trabajo ordenado, es el riesgo de que el auditor exprese una conclusión
inapropiada. El auditor planea y realiza el trabajo entonces de manera tal que reduzca a
un nivel aceptable el riesgo de expresar una conclusión inapropiada. En general, esos
riesgos se pueden representar por los componentes que se presentan a continuación:
Riesgo Inherente
Susceptibilidad de la aserción a estar declarada equivocadamente, la cual podría ser

material individualmente o cuando se agrega con otras declaraciones equivocadas,
asumiendo que no hay controles relacionados.
Riesgo de fraude (Parte del riesgo inherente o posible riesgo de control)
El riesgo de un acto intencional cometido por uno o más individuos de la administración,

de quienes tengan a cargo el gobierno, empleados o terceros, que conlleva el uso de
engaño para obtener una ventaja injusta o ilegal.
Riesgo de control (¿Los controles internos existentes mitigan los riesgos

inherentes?).
Riesgo de que el sistema de control interno de la entidad no prevenga o no detectará,

sobre una base oportuna, la declaración equivocada que podría ser material,
individualmente o cuando se agrega con otras declaraciones equivocadas
GRUPO No. 8 -3-

Riesgo combinado
Es un término que se usa algunas veces para referirse a los riesgos valorados (riesgo
inherente y de control) de declaración equivocada tanto a nivel de estado financiero como
a nivel de aserción.
Riesgo de Detección
Es el riesgo de que el auditor no detectará la declaración equivocada que existe en una

aserción que podría ser material, ya sea individualmente o cuando se agrega con otras
declaraciones equivocadas.
El nivel aceptable del riesgo de detección para un nivel dado de riesgo de auditoría
equivale a la relación inversa con los riesgos de declaración equivocada material a nivel
de aserción.
DETERMINACION DEL RIESGO

Representa el riesgo de que ocurran errores importantes en un rubro específico de los
estados financieros, o en un tipo específico de negocio, en función de las características o
particularidades de dicho rubro (cuenta, saldo o grupo de transacciones) o negocio, sin
considerar el efecto de los procedimientos de control interno que pudieran existir.
El riesgo inherente toma en cuenta el hecho de que la probabilidad de que ocurran errores
importantes es mayor en algunos tipos de negocios, o en algunas cuentas o grupos de
transacciones.
Para la determinación del riesgo inherente, la auditoría se basa en la aplicación y

evaluación del Marco Integrado de Control Interno específicamente en lo que se refiere a
Actividades (MICICAM por Actividades).
Determinación del Riesgo de Control
El auditor debe efectuar un estudio y evaluación adecuados del control interno existente,
que le sirvan de base para determinar el grado de confianza que va depositar en él;
asimismo, que le permita determinar la naturaleza, extensión y oportunidad que va a dar a
los procedimientos de auditoría.
Los elementos que integran la estructura de control son los siguientes:
a) El ambiente de control.
b) La evaluación de riesgos.
c) Los sistemas de información y comunicación.
GRUPO No. 8 -4-

d) Los procedimientos de control.
e) La vigilancia.
Los procedimientos de auditoría recomendados para llevar a cabo el estudio

y evaluación del control interno durante el proceso de planeación de una
auditoría son los siguientes:
 Una prueba de cumplimiento es la comprobación de que uno o más

procedimientos de control interno estuvieron operando con efectividad durante el
periodo auditado.
 La naturaleza y oportunidad de aplicación de las pruebas de cumplimiento están

relacionadas entre sí. Existen procedimientos de control interno que producen
evidencia documental, la cual puede examinarse en cualquier momento. En
cambio, otros procedimientos no dejan evidencia documental; en estos casos, el
cumplimiento sólo puede determinarse mediante observación visual directa en el
momento en que esos procedimientos son ejecutados por el personal de la
entidad.
 Como regla general, las pruebas de cumplimiento deben concluirse antes de

iniciar las pruebas sustantivas. Lo anterior permite ajustar eficientemente el
alcance de las pruebas sustantivas, si las pruebas de cumplimiento demuestran
que determinados controles no están, de hecho operando o lo están haciendo en
forma deficiente.
El riesgo de control representa el riesgo de que los errores importantes (que excedan a la
importancia relativa al agregarse a otros errores) que pudieran existir en un rubro
específico de los estados financieros, no sean prevenidos o detectados oportunamente
por el sistema de control interno contable en vigor.
El riesgo de control disminuye en la medida en que aumenta la efectividad con que el

sistema de control interno alcanza los objetivos, tanto generales como Específicos
establecidos. Sin embargo, el riesgo de control nunca desaparece totalmente, aun cuando
se alcancen todos los objetivos del sistema de control interno, debido a las limitaciones
inherentes a cualquier sistema de este tipo.
Los riesgos inherentes y de control, existen en forma independiente de la auditoría, la

función del auditor consiste simplemente en evaluarlos adecuadamente, lo cual en la
práctica pude hacerse en forma independiente o combinada.
La Auditoría lleva a cabo el estudio del control interno de las entidades mediante la
aplicación de sus Cuestionarios de Control Interno y de la Guía para la
GRUPO No. 8 -5-

Determinación del Riesgo de Auditoría.
Determinación del Riesgo de Detección
El ‘Riesgo de auditoría’ representa la posibilidad de que el auditor pueda dar una opinión
sin salvedades, sobre unos estados financieros que contengan errores o desviaciones de
los principios de contabilidad, en exceso a la importancia relativa.
Riesgo de detección.- Representa el riesgo de que los procedimientos aplicados por el

auditor no detecten los posibles errores importantes que hayan escapado a los
procedimientos de control interno.
El riesgo de detección lo establece el auditor al determinar la naturaleza, alcance
y oportunidad de sus pruebas sustantivas.”.
El riesgo de detección se debe establecer en relación inversa a los riesgos inherentes y

de control.
Riesgo de control Alto Medio Bajo
Riesgo inherente Riesgo de detección
Alto Bajo Bajo Medio
Medio Bajo Medio Alto
Bajo Medio Alto Alto
En la fase de planeación el auditor considera estos conceptos para asegurarse de que

obtendrá la evidencia suficiente y competente que le servirá para que, en la fase de
evaluación de resultados, pueda juzgar si, en su opinión, los estados financieros están
presentados razonablemente de acuerdo con principios de contabilidad generalmente
aceptados.
El riesgo de auditoría debe considerarse por el auditor al nivel de los estados financieros
tomados en su conjunto. Sin embargo, en virtud de que la mayoría de los procedimientos
de auditoría se aplican sobre saldos de cuentas o grupos de transacciones, el riesgo de
auditoría debe considerarse también a ese nivel, en sus tres componentes.
Durante la planeación se deberá evaluar el riesgo de un error importante (ya sea causado
por un error o fraude). El auditor deberá considerar el efecto de estas evaluaciones en la
estrategia de auditoría, así como en el alcance de las pruebas sustantivas. El
entendimiento que el auditor tenga del control interno de la entidad pudiera aumentar o
mitigar su preocupación acerca del riesgo de errores importantes.
GRUPO No. 8 -6-

Cuando el auditor ha concluido que existe un riesgo importante de errores significativos

dentro de los estados financieros, el auditor deberá considerar esta conclusión para
determinar la naturaleza, oportunidad y alcance de los procedimientos; la asignación de
personal; y los requerimientos de niveles apropiados de supervisión.
Al evaluar el riesgo de auditoría para una cuenta o grupo de transacciones, el auditor

evalúa el ambiente de control, el riesgo inherente y el riesgo de control y establece el
riesgo de detección, como ya se explicó anteriormente.
El término “error” se refiere a fallas involuntarias en la información financiera, tales como:
 Errores aritméticos que los empleados cometen en los registros y en la

información contable.
 Equivocaciones en la aplicación de principios de contabilidad.
 Falta de criterio o mala interpretación de los hechos existentes a la fecha en que
se preparan los estados financieros, por parte del empleado, funcionario o
encargado de ello.
Por otra parte se deben tomar en consideración los fraudes en la auditoria de los estados
financieros para lo cual definiremos los siguientes términos de irregularidad o fraude
como:
Distorsiones provocadas en el registro de las operaciones y en la información financiera o

actos intencionales para sustraer activos (robos), u ocultar obligaciones que tienen o
pueden tener un impacto significativo en los estados financieros sujetos a examen.
Considerando los resultados de la evaluación del riesgo inherente y riesgo de control a

que hacen referencia los dos incisos anteriores utilizando las herramientas
correspondientes, el auditor establecerá el riesgo de detección que a su juicio le permita
obtener la evidencia suficiente y competente para sustentar sus hallazgos y su opinión
sobre la razonabilidad de los estados financieros. Las fórmulas y cálculos empleados para
la estimación de los resultados deberán plasmarse y conservarse en los papeles de
trabajo de la auditoría.
Determinación del ambiente de control
De acuerdo con el Boletín 3050, El Ambiente de Control representa la combinación de

factores que afectan las políticas y procedimientos de una entidad, fortaleciendo o
debilitando sus controles.
Dichos factores son los siguientes:
GRUPO No. 8 -7-

a) Actitud de la administración hacia los controles establecidos.
b) Estructura de organización de la entidad.
c) Funcionamiento del consejo de administración y sus comités.
d) Métodos para asignar autoridad y responsabilidad.
e) Métodos de control administrativo para supervisar y dar seguimiento al cumplimiento

de las políticas y procedimientos, incluyendo la función de auditoría interna.
f) Políticas y prácticas de personal.
g) Influencias externas que afectan las operaciones y prácticas de la entidad.”
Para planear la auditoría se necesita obtener un conocimiento suficiente del ambiente de

control. Este conocimiento comprende las condiciones bajo las que están diseñados, se
implementan y funcionan, tanto el sistema contable de la entidad como sus
procedimientos de control. Basado en este conocimiento el auditor debe evaluar si el
ambiente de control promueve sistemas confiables y procedimientos de control efectivos.
Si basado en su conocimiento del ambiente de control, el auditor tiene dudas fundadas

respecto de la efectividad de la estructura del control interno, juzgará si es adecuado o no
confiar en ella durante la auditoría. Si el auditor concluye que el ambiente de control
promueve un control interno efectivo, se puede confiar en los controles durante la
auditoría, siempre y cuando estos se prueben y sean efectivos.
La auditoría efectúa el estudio y evaluación del Ambiente de Control de las entidades

fiscalizadas mediante la aplicación del Marco Integrado de Control
Interno Institucional (MICICAM Institucional) su resultado permite precisar el porcentaje de

alcance que se dará a las pruebas sustantivas o de detalle dentro del rango que
corresponde al riesgo de detección determinado previamente.
La apreciación de riesgos permite a una entidad considerar cómo los acontecimientos

eventuales podrían afectar el logro de los objetivos. La gerencia aprecia los
acontecimientos desde dos perspectivas: probabilidad e impacto.
La probabilidad representa la posibilidad de que un acontecimiento dado ocurra, mientras

que el impacto representa su efecto en caso de que ocurriera.
GRUPO No. 8 -8-

Las estimaciones de probabilidad e impacto de riesgo a menudo son determinadas

usando datos sobre acontecimientos pasados observables, los que pueden proveer una
base más objetiva que las estimaciones exclusivamente subjetivas.
Los datos generados internamente basados en la propia experiencia de una entidad

pueden reflejar menos prejuicios personales subjetivos y proveer mejores resultados que
datos de procedencia externa. Sin embargo, aún cuando los datos generados
internamente son un insumo importante, los datos externos pueden ser útiles como un
punto de control o para fortalecer el análisis. Los usuarios deben ser cautelosos cuando
utilizan acontecimientos pasados para hacer predicciones sobre el futuro ya que los
factores que influyen en los acontecimientos cambian con el transcurso del tiempo.
La metodología de apreciación del riesgo de una entidad normalmente comprende una

combinación de técnicas cuantitativas y cualitativas. La gerencia a menudo utiliza técnicas
de apreciación cualitativa cuando los riesgos no se prestan a la cuantificación o cuando
los datos confiables y en cantidad suficiente requeridos para la apreciación cuantitativa no
están en la práctica disponibles o cuando el proceso de obtención y análisis de datos no
es costo-beneficioso. Las técnicas cuantitativas normalmente tienen más precisión y son
utilizadas en actividades más complejas y sofisticadas para complementar las técnicas
cualitativas. No es necesario que una entidad utilice técnicas de apreciación comunes en
todas las unidades de negocios.
Por el contrario, la elección de técnicas debe reflejar la necesidad de precisión y la cultura

de la unidad de negocios. En cualquier caso, los métodos utilizados por las unidades de
negocios individuales deben facilitar la apreciación global de los riesgos de la entidad.
La gerencia a menudo utiliza medidas de desempeño para determinar el grado en que los
objetivos están siendo alcanzados. Puede ser útil utilizar la misma unidad de medida al
considerar el impacto eventual de un riesgo en el logro de un objetivo específico.
Cuando existen cadenas de acontecimientos que se combinan e interactúan dando lugar

a probabilidades e impactos significativamente distintos, la gerencia puede apreciar cómo
se relacionan los acontecimientos. Mientras que el impacto de un acontecimiento aislado
podría ser leve, una secuencia de acontecimientos podría tener un impacto más
significativo. En caso que los acontecimientos eventuales no estén directamente
relacionados, la gerencia los aprecia individualmente; en caso que la ocurrencia de
riesgos sea probable en múltiples unidades de negocios, la gerencia puede apreciar y
agrupar los acontecimientos identificados en categorías comunes.
Existe normalmente un rango de posibles resultados asociados a un acontecimiento

eventual y la gerencia los considera como una base para desarrollar una respuesta al
riesgo. A través de la apreciación del riesgo, la gerencia considera las consecuencias
GRUPO No. 8 -9-

positivas y negativas de los acontecimientos eventuales, individualmente o por categoría,

a través de la entidad.
En virtud de que los riesgos son apreciados en el contexto de la estrategia y de los

objetivos de una entidad, la gerencia a menudo tiende a centrarse en riesgos con
horizontes temporales de corta a mediana duración. Sin embargo, algunos elementos de
la orientación y de los objetivos estratégicos se extienden hasta el largo plazo.
Como consecuencia, la gerencia necesita tener conocimiento de marcos temporales más

largos y no ignorar riesgos que podrían estar más lejanos en el tiempo. La apreciación de
riesgos es aplicada en primera instancia al riesgo inherente – el riesgo para la entidad en
ausencia de cualesquiera acciones que la gerencia podría tomar para modificar la
probabilidad del riesgo o su impacto. Una vez que se han desarrollado las respuestas al
riesgo, la gerencia utiliza técnicas de apreciación de riesgo para determinar el riesgo
residual – el riesgo remanente luego de la acción de la gerencia para modificar
la probabilidad o impacto del riesgo.
El diseño para diagnosticar o determinar los riesgos en el proceso de Auditoría Interna

consiste en:
a) Definir criterios de valoración de los riesgos
b) Realizar el diagnóstico del ejercicio de la Auditoría Interna
1. Detallar las tareas a ejecutar en cada subproceso

2. Identificar los riesgos en cada subproceso
3. Evaluar los riesgos de cada subproceso
4. Confeccionar el Mapa de los Riesgos.
c) Diseñar el Modelo de Organización del proceso de Auditoría Interna, con enfoque de

riesgo
a) Definición de los criterios de valoración de los riesgos
Los pasos a seguir en el tratamiento de los riesgos serán los que se describen a
continuación:
 Identificación
 Análisis
 Evaluación
GRUPO No. 8 - 10 -
 Supervisión y Monitoreo
 Comunicación y Consulta
Identificación.- Los riesgos serán identificados, en los puntos vulnerables de cada

subproceso, atendiendo a las diversas fuentes que pueden originarlos y las posibles
manifestaciones de ocurrencia de los mismos. Se detallará si su fuente es interna o
externa. Deberá entenderse quedar registrado:
 Cuál es el riesgo
 Cómo puede manifestarse
 Por qué
 Qué controles existen en ese momento para contrarrestar sus efectos.
Análisis.- Parte del análisis que se realiza, a los riesgos identificados, en cuanto a las
consecuencias y probabilidades de ocurrencia de los mismos.
 Probabilidad
 Impacto
Se analizan los riesgos combinando las estimaciones de impacto y su probabilidad de

ocurrencia, en el contexto de las medidas de control existentes, valorando las fortalezas y
debilidades de cada uno. Si algún riesgo resulta excluido se debe mencionar en el
análisis. Al combinar las consecuencias de ocurrir un evento con las probabilidades de
que ocurra se llega a determinar un nivel de riesgo Evaluación.
Los Niveles de Riesgo en la Dirección de Auditoría Interna serán los siguientes:
 Aceptable
 Moderado
 Inaceptable
Las fuentes de información que pueden ser utilizadas para estos fines son:
 Datos estadísticos
 Experiencias
 Práctica diaria
 Datos relevantes de publicaciones
 Comprobaciones efectuadas por investigación de mercado
 Resultados de experimentos
 Modelos establecidos
 Opiniones y juicios de expertos y especialistas
GRUPO No. 8 - 11 -
Las técnicas para analizar los riesgos, entre otras, puede ser:
 Entrevistas
 Grupos de expertos
 Cuestionarios individuales
Supervisión y Monitoreo.
Es preciso que los riesgos y la efectividad de las medidas de control de cada uno, sea
monitoreado y supervisado para tener la seguridad de que las condiciones cambiantes,
tanto internas como del entorno, no alteren las prioridades del tratamiento de los mismos.
Además contribuye a la identificación de las nuevas fuentes de riesgos y por consiguiente
el comienzo del tratamiento de los nuevos riesgos identificados.
Comunicación y Consulta.
En cada paso del proceso de administración de los riesgos es importante mantener una
adecuada comunicación de los interesados. En cada paso debe existir una forma en que
se comunique el trabajo que se está realizando con los riesgos.
Esta comunicación debe preverse en ambas direcciones, es decir, solamente no estará

concebida esta como un flujo de información hacia los interesados, debe existir la
retroalimentación del emisor con los criterios de todos los involucrados, de manera que
exista comunicación sobre el control ejercido, es decir información de los Supervisores
hacia los niveles correspondientes, incluido el auditor, y asesoría con el fin de lograr
mejoras en el ejercicio de la auditoría Interna.
b) Diagnóstico del proceso de Auditoría Interna
b.1. Tareas a ejecutar en cada subproceso e identificación de los riesgos
Para efectuar el diagnóstico del proceso de auditoría Interna e identificar los riesgos en el
proceso, debe efectuarse el estudio partiendo de las tareas previstas para cada
subproceso, y determinar los riesgos.
Para ello se debe utilizar un Estándar el que se muestra a continuación:
Subprocesos Tareas Riesgos de control
Conocidos los riesgos, debe iniciarse el proceso de evaluación de los mismos, lo que
requiere los siguientes pasos:
GRUPO No. 8 - 12 -
b.2. Clasificación de los riesgos
Evaluación.- Es el resultado de comparar los niveles de riesgo establecidos, con los

criterios que se tienen preestablecidos para su evaluación. En este caso los criterios son
los siguientes:
a) Probabilidad de ocurrencia del Riesgo
b) Impacto ante la ocurrencia del Riesgo.
Para ello:
Las probabilidades de ocurrencia deberán determinarse en:
 Poco Frecuente (PF)

 Moderado (M)
 Frecuente (F)
Poco Frecuente: cuando el Riesgo ocurre sólo en circunstancias excepcionales.
Moderado: Puede ocurrir en algún momento.
Frecuente: Se espera que ocurra en la mayoría de las circunstancias.
El Impacto ante la ocurrencia sería considerado de:
 Leve (L)
 Moderado (M)
 Grande (G)
Leve: Perjuicios tolerables. Baja pérdida financiera.
Moderado: Requiere de un tratamiento diferenciado: Pérdida financiera media.
Grande: Requiere tratamiento diferenciado. Alta pérdida financiera.
La evaluación del Riesgo sería de:
Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles actuales, siguiendo
los procedimientos de rutina.
Moderado: (Riesgo Medio). Se consideran riesgos Aceptables con Medidas de Control.

Se deben acometer acciones de reducción de daños y especificar las responsabilidades
de su implantación y supervisión.
GRUPO No. 8 - 13 -
Inaceptable: (Riesgo Alto). Deben tomarse de inmediato acciones de reducción de

Impacto y Probabilidad para atenuar la gravedad del riesgo. Se especificará el
responsable y la fecha de revisión sistemática.
Si se quisiera evaluar el Impacto de los Riesgos en un subproceso, se utiliza un Estándar

el que se muestra a continuación:
Para evaluar, se utiliza el Estándar, donde se identifican todos los riesgos de cada uno de
los subprocesos diagnosticados anteriormente, y se evalúan en conformidad con lo
previsto anteriormente.
UAI: Clasificación del Riesgo
Impacto Probabilidad
(6) (7) Nivel de
No. Riesgo E I
Riesgo
L M G F M PF
La evaluación de riesgos proporciona la lista de prioridades para el tratamiento de los

riesgos por medio de las acciones a seguir en cada caso.
Se deben tener en cuenta los objetivos de la organización y el grado de oportunidad que

se puede alcanzar como resultado de tratar el riesgo. Se tendrá en cuenta, también, el
grado de beneficio para las partes involucradas.
b.3. Mapa de los Riesgos
Luego de evaluado todos los riesgos, se sitúan en el cuadrante del Mapa que le
corresponde según la MATRIZ. Resulta una técnica conocida y muy usada, como
herramienta de trabajo, la representación gráfica.
Se ilustra a continuación:
MATRIZ DE RIESGOS
Frecuente Inaceptable Inaceptable Inaceptable
PROBABILIDAD Moderado Moderado Moderado Inaceptable
Poco
Aceptable Moderado Inaceptable
Frecuente
Leve Moderado Grande
IMPACTO
GRUPO No. 8 - 14 -
Niveles de Riesgo (Matriz)
Como puede observarse, el gráfico anterior ilustra los cuadrantes donde según su
Impacto y Probabilidad de Ocurrencia se sitúan estos Riesgos, y su color identifica la
Evaluación del mismo, lo que no significa que en el Plan de Medidas no se tengan en
cuenta todos los Riesgos, pues deberá mantenerse el seguimiento de todos los
identificados y el Plan de acción de cada uno.
Las opciones a tener en cuenta para acometer acciones de reducción de riesgos pueden
ser:
 Evitarlo
 Reducir probabilidad de ocurrencia
 Reducir consecuencias
 Transferir el riesgo
 Retener el riesgo
Luego estas opciones deberán evaluarse y tener en cuenta el costo beneficio de la

decisión de tratamiento del riesgo.
Se confeccionarán planes de tratamiento de riesgos. En los mismos se tendrá en cuenta:
 El riesgo en orden de prioridad

 Opciones posibles de tratamiento
 Nivel que adquiere el riesgo luego de ser tratado
 Resultado del análisis costo beneficio
 Responsable de acometer la acción
 Calendario de implementación
 Forma en que se va a monitorear
Y desde luego muchas otras, que puedan derivarse de un análisis casuístico en una UAI.
El Plan de Acción estaría en correspondencia con el tipo de riesgo, con la organización
donde se realiza el servicio, con el tipo de auditoría, con el subproceso que se realice y
por supuesto con el auditor o auxiliar que la ejecute.
Vital importancia reviste el dominio de la actividad, el monitoreo en la ejecución sucesiva

sobre el manejo de futuras acciones y la supervisión sistemática en diferentes momentos
de realización de las auditorías en correspondencia sobre la incidencia de los riesgos
pasados o reiterados en los subprocesos con mayores impactos.
Las Organizaciones de Auditoría Interna deben elaborar planes de Acción que

contribuyan a la preparación del auditor sobre el cumplimiento del ejercicio de la
profesión.
Plan de Acción
GRUPO No. 8 - 15 -
El Plan de Acción estaría en correspondencia con el tipo de riesgo, con la organización

donde se realiza el servicio, con el tipo de auditoría, con el subproceso que se realice y
por supuesto con el auditor o auxiliar que la ejecute. Vital importancia reviste el dominio
de la actividad, el monitoreo en la ejecución sucesiva sobre el manejo de futuras acciones
y la supervisión sistemática en diferentes momentos de realización de las auditorías en
correspondencia sobre la incidencia de los riesgos pasados o reiterados en los
subprocesos que mayores impactos se han observados.
Por el impacto que hoy produce la ocurrencia de los riesgos observados en la

investigación, debe elaborarse un Plan de Acción en el que se proponga,
fundamentalmente
 El diseño de un Sistema Organizativo de ejecución para cada uno de los

subprocesos de la auditoría.
 Capacitar a los profesionales de la auditoría en la formación teórico-práctica
que garantice la calidad en el ejercicio de sus funciones.
 Evaluar los resultados de las supervisiones
 Mantener la vigilancia de la posible comisión de riesgos en el desarrollo
sistemático del ejercicio de las auditorías.
 Monitorear el cumplimiento de la Cadena de Valores por cada profesional.
 Etc.
Responsables:
 Departamento de Auditoría
 Supervisor
 Jefe de Grupo
 Auditor
Estándares:
Consiste en Guías, con determinado aspectos a evaluar, por cada subproceso, el cual
debe concluir con una evaluación, la que deberá clasificar según la probabilidad de
ocurrencia y el Impacto ante la misma.
Deberá además de resumirse, representarse en un gráfico, con el fin de elaborar el

consecuente Plan de Acción para reducir la probabilidad de ocurrencia.
Controles:
Frecuentemente debe evaluarse el comportamiento de cada subproceso y por cada área

de trabajo.
GRUPO No. 8 - 16 -
Resulta importante establecer un sistema de control en esa Cadena de Valores, donde

todos los subprocesos en Auditoría son necesarios para lograr un servicio eficaz, y
eficiente, con los requerimientos de calidad esperada. Una administración eficiente de los
Riesgos, sería entonces una aproximación científica de su comportamiento, anticipando
posibles pérdidas accidentales con el diseño e implementación de procedimientos que
minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan
ocurrir.
FACTORES DE RIESGO QUE DEBEN EVALUARSE

La evaluación de riesgos:
Es el proceso mediante el cual se identifican, analizan y valoran los medios de control

diseñados para manejar y minimizar las posibilidades y errores o irregularidades que
se producen y afectan la eficiencia, efectividad y economía en el manejo y use de
los recursos asignados para la ejecución de las operaciones.
La evaluación de riesgos permite a una entidad considerar con que los

eventos potenciales impactan en la consecución de los objetivos. La dirección
evalúa estos acontecimientos desde una doble perspectiva — probabilidad e impacto
— y normalmente usa una combinación de métodos cualitativos y cuantitativos. Los
impactos positivos y negativos de los eventos potenciales deben examinarse,
individualmente o por categoría, en toda la entidad.
Los riesgos se evalúan con un doble enfoque: riesgo inherente y riesgo residual.
La dificultad asociada con el riesgo del negocio es su evaluación, ya que algunos de sus
atributos son cualitativos o tal vez se expresan en términos muy generales y con poca
precisión. El proceso de valoración del riesgo incluye su cuantificación, y cuando ésta no
es posible, se hace necesario, entonces, discutir el concepto, el alcance y las
consecuencias del riesgo con el propósito, al menos, de formarse una idea de su
severidad y frecuencia.
a) El primer paso en el análisis del riesgo es su evaluación. Antes de diseñar

procedimientos para su administración, el riesgo tiene que ser identificado, medido
y asignado a un nivel de prioridad. Para su identificación se puede aplicar el
enfoque del activo, el enfoque del entorno externo o el enfoque de amenaza.
b) Su medición involucra factores tales como la ética del trabajo, la idoneidad del
personal, la cuantía de los activos, la complejidad de las operaciones, los
resultados de auditoría previa y otros.
c) La cuantificación del riesgo implica la transformación de información cualitativa y

subjetiva en números ya sea mediante métricas avanzadas —scoring— o
ponderaciones de factores. También se puede expresar en términos de
probabilidades, de tablas normativas o de comparaciones —ranking—.
La asignación de prioridades —risk ranking— permite a la organización, en general, y a
GRUPO No. 8 - 17 -
la auditoría, en particular, fijar su atención en los riesgos de mayor severidad. La eficacia

en la administración del riesgo dependerá, en buena medida, del enfoque global —o
macro— que de los riesgos se llegare a hacer. Sin embargo, y esto es muy importante, la
gestión del riesgo, entendida como su control, eliminación, minimización o transferencia,
es una función exclusiva y única de la administración de la organización. La función de la
auditoría en este caso está directamente relacionada con el análisis que debe llevar a
cabo en proporción con la magnitud de los riesgos que se han identificado.
Un ejemplo simple se puede desarrollar al considerar, dentro del proceso de

identificación de los riesgos de una organización, aquellos relacionados con los
siguientes factores:
 Riesgo de política corporativa: es el riesgo de que el diseño de la política sea

deficiente y que no coincida con los objetivos y con la realidad del entorno.
 Riesgo operativo: es el riesgo de que la puesta en marcha de la política

corporativa esté condicionada por procesos y procedimientos inadecuados.
 Riesgo presupuestario: es el riesgo de no asociar correctamente los objetivos, las

metas y los planes con la disponibilidad de fondos o bien que por controles
insuficientes, deficientes o ausentes, el presupuesto no se administre bien e
impida alcanzar los objetivos y las metas.
 Riesgo de reputación: es el riesgo de que la pérdida de confianza en la

organización o en sus administradores impida el correcto uso de los fondos o que
no se le tenga confianza a lo que se está haciendo, todo ello en detrimento de la
consecución de los planes.
Respuesta al riesgo
Es la manera en que se va a contrarrestar los riesgos ya sea evitarlos,

compartirlos, reducirlos o aceptarlos."Una vez evaluados los riesgos relevantes, la
dirección determina como responder a ellos. Las respuestas pueden ser las de evitar,
reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la dirección evalúa
su efecto sobre la probabilidad e impacto del riesgo, así como los costes y beneficios,
y selecciona aquella que situé el riesgo residual dentro de las tolerancias al riesgo
establecidas. La dirección identifica cualquier oportunidad que pueda existir y asume
una perspectiva de la cartera de riesgos, determinando si el riesgo residual global
concuerda con el riesgo aceptado por la entidad".
Una vez que el modelo global de auditoría ha sido definido, una vez que los factores de
riesgo y su clasificación por importancia han sido determinados, la auditoría interna
puede enfocarse en aquellos procesos que individualmente representan las mayores
amenazas para la institución. Para ello debe tener claras las tres dimensiones del riesgo:
la severidad con la que se presenta, la frecuencia con la que ocurre y la vulnerabilidad de
la empresa ante el riesgo. La conjunción de las tres dimensiones definen la gestión de los
riesgos y la estrategia para su auditoría.
GRUPO No. 8 - 18 -
EVALUACION DE LA UNIDAD OBJETO DE ESTUDIO A TRAVES DE LA

AUDITORIA EXTERNA CON UN ENFOQUE BASADO EN RIESGOS
En la auditoría basada en riesgos el objetivo del auditor es obtener seguridad razonable
de que en los estados financieros no existan declaraciones equivocadas materiales
causadas por fraude o error. Esto implica tres pasos clave:

financieros;
 Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos
de auditoría.
Seguridad razonable
El auditor no puede dar seguridad absoluta debido a las limitaciones inherentes del
trabajo llevado a cabo, los juicios humanos que se requieren, y la naturaleza de la
evidencia examinada. La siguiente muestra resalta algunas de las limitaciones de la
auditoría.
Limitaciones Razones
Uso de pruebas Cualquier muestra menor que el 100% de la

población introduce algún riesgo de que la
declaración equivocada no sea detectada.
Limitaciones del control interno Aún los controles mejor diseñados y más
efectivos pueden ser eludidos o negados por la
administración o por colusión entre los
empleados.
Fraude que permanece sin ser detectado Dado que el fraude está diseñado para no ser
descubierto, siempre hay la posibilidad de que
no será descubierto.
Naturaleza de la evidencia de auditoría La mayoría de la evidencia de auditoría tiende

disponible a ser de carácter persuasiva, más que
conclusiva
Disponibilidad de la evidencia de auditoría Para llegar a conclusiones absolutas sobre

aserciones especificas tales como lo estimados
hechos a valor razonable.
Confianza en los hechos por el auditor Se requiere juicio profesional para:
GRUPO No. 8 - 19 -
 Identificar y tratar de manera apropiada

los factores de riesgo;
 Decidir qué evidencia obtener;
 Valorar los estimados hechos por la
administración; y
 Obtener conclusiones con base en la
evidencia y las representaciones de la
administración.
Dificultad para asegurar la completitud Riesgo de que alguna información importante
no se conozca, no se obtenga o le haya sido
ocultada al auditor.
Riesgo de auditoría
El auditor debe planear y ejecutar la auditoría para reducir el riesgo de auditoría a un nivel
bajo aceptable que sea consistente con el objetivo de la auditoría.
El riesgo de auditoría contiene dos elementos clave:
 El riesgo de que los estados financieros contengan una declaración equivocada

material (riesgo inherente y de control);
 El riesgo de que el auditor no detectará tal declaración equivocada (riesgo de
detección o del contrato).
Para reducir el riesgo de auditoría a un riesgo bajo aceptable, el auditor tiene que:
 Valorar el riesgo de declaración equivocada material; y

 Limitar el riesgo de detección. Esto también se puede lograr mediante la aplicación
de procedimientos que respondan a los riesgos valorados en los niveles de estado
financiero, clases de transacciones, saldos de cuenta y aserción.
Aserciones
Se relacionan con el reconocimiento, medición, presentación y revelación de los diversos

elementos (cantidades y revelaciones) contenidos en los estados financieros.
A continuación alguna de las aserciones que se presentan en ISA 500:
 • C = Completitud (totalidad);
 • E = Existencia, la cual incluye ocurrencia;
 • A = Exactitud, que incluye inicio, clasificación y derechos y obligaciones; y
 • V = Valuación
De los auditores se requiere que valoren los riesgos de declaración equivocada material
en dos niveles.
GRUPO No. 8 - 20 -
 El primero es el nivel del estado financiero en general, que se refiere a los riesgos
de declaración equivocada material que se relacionan de manera generalizada con
los estados financieros como un todo y que potencialmente afectan muchas
aserciones.
 El segundo se relaciona con los riesgos identificables con aserciones específicas a

nivel de clase de transacciones, saldos de cuenta, o revelación. Esto significa que
para cada saldo de cuenta, clase de transacciones y revelación, se debe hacer la
valoración del riesgo (como alto, moderado o bajo) para cada aserción individual
(C, E, A, y V en el diagrama que se presenta abajo) que se esté tratando. La
diferencia entre el riesgo valorado a nivel de estado financiero en general y a nivel
de aserción se ilustra abajo (solamente de manera parcial).
GRUPO No. 8 - 21 -
Interrelaciones entre los componentes del riesgo de auditoría
Notas:
 El término "controles a nivel de entidad" incorpora muchos elementos de los

componentes del control interno ambiente de control, valoración del riesgo y
monitoreo.
 Muchos riesgos de negocio también pueden ser riesgos de fraude. Por ejemplo, un
sistema de ventas pobremente controlado puede derivar en riesgos de declaración
equivocada y también ofrecen la oportunidad de que ocurra el fraude. Por esta
razón, se sugiere que se mantengan listas separadas de los factores del riesgo de
negocio y de fraude.
Auditoría de acuerdo con los Estándares Internacionales de Auditoría, el auditor debe

cumplir con cada uno de los Estándares Internacionales de Auditoría.
El auditor debe planear y ejecutar la auditoría con una actitud de escepticismo profesional,
reconociendo que pueden existir circunstancias que causen que los estados financieros
estén declarados equivocadamente en forma material.
El auditor debe determinar si es aceptable la estructura de información financiera

adoptada por la administración en la preparación de los estados financieros.
A través de esta Guía, el proceso de auditoría se presenta en tres fases diferentes:

 Valoración del riesgo;
 Respuesta al riesgo; y
GRUPO No. 8 - 22 -
 Presentación de reportes.
Abajo se destacan las diversas tareas que corresponden a cada una de esas fases.
Valoración del riesgo
Notas:
1. Refiérase a ISA 230 para una lista más completa de la documentación que se requiere
2. Planeación es un proceso continuo e interactivo a través de la auditoría
3. RDEM = riesgos de declaración equivocada material
El Enfoque basado en Riesgos
Las auditorías basadas en riesgo requieren que los profesionales en ejercicio entiendan la
entidad y su entorno, incluyendo el control interno. El propósito es identificar y valorar los
riesgos de declaración equivocada material de los estados financieros.
Dado que las valoraciones del riesgo requieren considerable juicio profesional, esta fase
probablemente requerirá tiempo del socio de auditoría y del personal principal de la
auditoría para identificar y valorar los diversos tipos de riesgo y desarrollar entonces la
respuesta de auditoría que sea apropiada.
La fase de la auditoría denominada valoración del riesgo conlleva los siguientes pasos:
 Aplicar procedimientos de aceptación o continuidad del cliente;

 Planear el contrato en general;
GRUPO No. 8 - 23 -
 Aplicar procedimientos de valoración del riesgo para entender el negocio e

identificar los riesgos inherente y de control;
 Identificar los procedimientos de control interno relevantes y valorar su diseño e
implementación (esos controles prevendrían que ocurran las declaraciones
equivocadas materiales o detectarían y corregirían las declaraciones equivocadas
(Luego que hayan ocurrido);
financieros;
 Identificar cualesquiera riesgos significantes que requieran especial consideración
de auditoría y esos riesgos para los cuales los solos procedimientos sustantivos no
son suficientes;
 Comunicar, a la administración y a quienes tienen a cargo el gobierno,
cualesquiera debilidades materiales en el diseño e implementación del control
interno; y
 Hacer una valoración informada de los riesgos de declaración equivocada material
a nivel de estado financiero y a nivel de aserción.
Partes de la fase de auditoría denominada valoración del riesgo a menudo se llevan a

cabo antes de final del año.
El tiempo que conlleva aplicar los procedimientos de valoración del riesgo a menudo
puede ser compensado por la reducción, o aún por la eliminación, del trabajo de auditoría
en las áreas de riesgo bajo. El conocimiento y las luces que se ganan también se pueden
usar para hacerle a la administración de la entidad comentarios y recomendaciones
prácticos sobre cómo minimizar o reducir el riesgo.
Un proceso efectivo de valoración del riesgo requiere que todos los miembros del equipo
del contrato participen y se comuniquen efectivamente. El equipo de auditoría1 se debe
reunir o hablar regularmente para compartir sus luces.
Esto se puede lograr mediante:
 Planeación de las reuniones del equipo para discutir la estrategia general de
auditoría y detallar el plan de auditoría, hacer lluvias de ideas sobre cómo podría
ocurrir el fraude, y diseñar procedimientos de auditoría que puedan detectar si tal
fraude de hecho ocurrió; y
 Reuniones del equipo (durante o al final del trabajo de campo) para discutir las
implicaciones de los hallazgos de auditoría, identificar cualesquiera indicadores de
fraude y determinar la necesidad (si la hay) de aplicar cualesquier procedimientos
de auditoría adicionales.
GRUPO No. 8 - 24 -
La segunda fase de la auditoría es diseñar y aplicar procedimientos de auditoría

adicionales que respondan a los riesgos valorados de declaración equivocada y que
aportarán la evidencia necesaria para respaldar la opinión de auditoría.
Algunos de los asuntos que el auditor debe considerar cuando planea los procedimientos
de auditoría incluyen:
 Aserciones que no pueden ser tratadas únicamente con procedimientos
sustantivos. Esto puede ocurrir cuando haya procesamiento altamente
automatizado de las transacciones con poca o ninguna intervención manual.
 Existencia de control interno que, si se prueba, podría reducir la necesidad/alcance
de otros procedimientos sustantivos.
 El potencial de procedimientos analíticos sustantivos que reducirían la
necesidad/alcance de otros tipos de procedimientos.
 La necesidad de incorporar un elemento de impredecibilidad en los procedimientos
aplicados.
 La necesidad de aplicar procedimientos de auditoría adicionales para tratar el
potencial de que la administración eluda los controles u otros escenarios de
fraude.
 La necesidad de aplicar procedimientos específicos para tratar los "riesgos
significantes" que han sido identificados.
Los procedimientos de auditoría diseñados para cubrir los riesgos valorados podrían
incluir una mezcla de:
 Pruebas de la efectividad operacional del control interno; y
 Procedimientos sustantivos tales como pruebas de los detalles y procedimientos
analíticos.
GRUPO No. 8 - 25 -
Presentación de reportes
La fase final de la auditoría es valorar la evidencia de auditoría obtenida y determinar si es

suficiente y apropiada para reducir a un nivel bajo los riesgos de declaración equivocada
material contenida en los estados financieros.
ISA 200 establece:
El auditor no debe representar el cumplimiento con los Estándares Internacionales de

Auditoría a menos que el auditor haya cumplido plenamente con todos los Estándares
Internacionales de Auditoría que sean relevantes para la auditoría.
En esta etapa es importante tomarse tiempo para determinar:
 Si ha habido cambio en el nivel valorado del riesgo;

 Si son apropiadas las conclusiones alcanzadas a partir del trabajo realizado; y
 Si se han encontrado cualesquiera circunstancias sospechosas. Cualesquiera
riesgos adicionales deben ser valorados de manera apropiada y aplicar
procedimientos de auditoría adicionales cuando se requiera. Cuando se han
aplicado todos los procedimientos y se han alcanzado las Conclusiones:
 Los hallazgos de auditoría deben ser reportados a la administración y a quienes
están a cargo del gobierno; y
 La opinión de auditoría debe ser formada y tomada la decisión respecto de la
redacción apropiada para el reporte del auditor.
Resumen
GRUPO No. 8 - 26 -
La auditoría basada-en-riesgos requiere que el auditor entienda primero la entidad y luego

identifique/valore los riesgos de declaración equivocada material contenida en los estados
financieros. Esto le permite a los auditores identificar y responder a:
 Posibles saldos de cuentas, clases de transacciones o revelaciones del estado

financiero que puedan ser incompletas, declaradas de manera inexacta o que
falten por completo en los estados financieros. Ejemplos pueden incluir:
 Pasivos sobre-estimados;
 Activos no-registrados; activos tales como efectivo/inventario que pueden haber
sido usados en forma indebida; y
 Revelaciones faltantes/incompletas
 Áreas de vulnerabilidad donde podría ocurrir que la administración eluda los
controles y manipule los estados financieros. Los ejemplos podrían incluir:
 Preparación de entradas al libro diario;
 Políticas de reconocimiento de ingresos; y
 Estimados de la administración
 Otras debilidades de control que si no se corrigen podrían conducir a
declaraciones equivocadas materiales contenidas en los estados financieros.
Algunos de los beneficios de este enfoque se resumen como sigue:
Flexibilidad del tiempo para el trabajo de auditoría

Los procedimientos de valoración del riesgo a menudo pueden ser aplicados
tempranamente en el período fiscal de la entidad que como lo fue posible antes. Dado que
los procedimientos de valoración del riesgo no conllevan la prueba detallada de las
transacciones y de los saldos, éstas pueden ser realizadas muy bien al final del año,
asumiendo que no se anticipan cambios operacionales. Esto puede ayudar a balancear el
flujo del trabajo del personal durante el año. También puede darle al cliente para que
responda a las debilidades identificadas (y comunicadas) en el control interno y a otras
solicitudes de ayuda antes que comience el trabajo de campo de final del año.
El esfuerzo del equipo de auditoría se focaliza en las áreas clave

Mediante el entendimiento de dónde pueden ocurrir los riesgos de declaración equivocada
material contenida en los estados financieros, el auditor puede dirigir el esfuerzo del
equipo de auditoría hacia las áreas de mayor riesgo y alejarse de las áreas de más bajo
riesgo. Esto también ayudará a asegurar que los recursos del personal de auditoría sean
usados de manera efectiva.
Procedimientos de auditoría focalizados en riesgos específicos

Los procedimientos de auditoría adicionales se diseñan para responder a los riesgos
valorados. En consecuencia, pueden ser significativamente reducidas o aún eliminadas
las pruebas de los detalles que solamente tratan los riesgos en términos generales. El
requerido entendimiento del control interno le permite al auditor tomar decisiones
informadas respecto de si probar la efectividad de la operación del control interno. Las
pruebas de los controles (para los controles que pueden requerir que se les pruebe solo
cada tres años) a menudo resultarán en que se requiera mucho menos trabajo que al
aplicar pruebas extensivas de los detalles.
Comunicación de asuntos de interés para la administración

El entendimiento mejorado del control interno puede permitirle al auditor identificar
debilidades en el control interno (tales como en el ambiente de control y en los controles
GRUPO No. 8 - 27 -
generales de TI) que no fueron reconocidas previamente. La comunicación oportuna de

esas debilidades a la administración le permitirá a la administración tomar acción
apropiada, la cual es para su beneficio. También, esto puede a su vez ahorrar tiempo en
la ejecución de la auditoría.
Mejorada documentación de la auditoría

Los ISAS dan bastante énfasis a la necesidad de documentar cuidadosamente cada
etapa del proceso de auditoría. Si bien esto puede inicialmente agregar algún costo
adicional, la documentación cuidadosa asegurará que el archivo de auditoría pueda
mantenerse por sí mismo sin necesidad de ninguna explicación oral de lo que se hizo, por
qué se hizo, o cómo se alcanzaron las conclusiones de auditoría.
CONCLUCIONES
Después del análisis del trabajo realizado se puede observar en líneas generales que el
riesgo en cualquier grado siempre es latente, esto aunque la empresa revise
constantemente los niveles de control interno, derivado de las debilidades que puedan
existir por no cumplir con la normativa interna como externa del control interno. Según los
análisis estadísticos ejercidos en diferentes épocas señalan que el riesgo puede ser
combatible siempre y cuando se ejerzan acciones que subsanen todas las debilidades de
control interno. Las estadísticas generalizadas también muestran una tendencia a calificar
un determinado riesgo en calificación de impacto, tal como lo es el riesgo alto, mostrando
el total interés que la empresa tiene para minimizar la debilidad y fortalecer mayor control
sobre los posibles riesgos existentes
Es notable resaltar que la mayoría de los riesgos se derivan del mal empleo del control
interno ejercido sobre cualquier tipo de empresa, sin embargo la empresa que se puede
estar estudiando le puede brindar toda la posibilidad para poder erradicar el posible
impacto que pueda tener sobre la misma.
Dentro de los aspectos evaluados solo dos temas tienen un cierto grado de madurez para
mitigar cualquier tipo de riesgos que puedan presentarse en las diferentes evaluaciones al
control interno de cada dependencia, y a continuación se detallan las dos propuestas con
el fin de contrarrestar el riesgo medio y alto en cualquier grado de dificultad
 Plan de acción: Remediación (propuestas)

 Plan de acción : Con tratamiento ( propuestas)
GRUPO No. 8 - 28 -
RECOMENDACIONES
Como nos podemos dar cuenta en el trabajo desarrollado nos da varios pasos y claves
para poder desarrollar eficazmente nuestra profesión en el tema la Auditoria con un
enfoque basado en riegos, por lo que les hacemos las siguientes recomendaciones:
1. Valorar los riesgos de declaración equivocada material contenida en los estados

financieros;
2. Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los

3. Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos

de auditoría.
4. Dar un apoyo adecuado a la organización e identificar sus riegos financieros, de

operación y de cumplimiento con leyes y normatividades.
5. Elaborar y llevar a cabo un control interno adecuado para determinar las áreas de
mayor riesgo en la empresa y así evitar contingencias que afecten a la misma.
6. Hacer supervisiones y monitoreos constantemente, especialmente a las áreas con

mayor riesgo.
7. Hacer pruebas de cumplimiento que esto nos ayuda a la comprobación de que uno
o más procedimientos de control interno estuvieron operando con efectividad
durante el periodo auditado.
8. Recordar que la naturaleza y oportunidad de aplicación de las pruebas de

cumplimiento están relacionadas entre sí. Existen procedimientos de control
interno que producen evidencia documental, la cual puede examinarse en
cualquier momento. En cambio, otros procedimientos no dejan evidencia
documental; en estos casos, el cumplimiento sólo puede determinarse mediante
observación visual directa en el momento en que esos procedimientos son
ejecutados por el personal de la entidad.
9. Tomar en cuenta como regla general que las pruebas de cumplimiento deben
concluirse antes de iniciar las pruebas sustantivas. Lo anterior permite ajustar
eficientemente el alcance de las pruebas sustantivas, si las pruebas de
GRUPO No. 8 - 29 -
cumplimiento demuestran que determinados controles no están, de hecho

operando o lo están haciendo en forma deficiente.
BIBLIOGRAFIA
 Monografias.com
 Gestiopolis.com
 Material de Apoyo: Presentación y Análisis de Riesgos (PriceWaterHouse 2009)
 Dirección Corporativa de Riesgos del Banco Nacional de Costa Rica.
 Tesis 2955 USAC: Auditoria de Estados Financieros con Enfoque basado en
riesgos. Suly Araceli Martínez Hernández (CPA) Guatemala, mayo 2007.
 NORMAS Y PROCEDIMIENTOS DE AUDITORIA Y NORMAS Y NORMAS PARA
ATESTIGUAR, Vigésima sexta Edición, Edita: Instituto Mexicano de Contadores
Públicos, A.C. México, D.F. 2005
 www.cemla.org/pdf
 http://www.monografias.com/trabajos39/riesgos-en-auditoria/riesgos-en-
auditoria2.shtml
 http://web.ifac.org/download/AuditorAsa_Financiera_de_PYMES
 Metodología de Auditoría de KPMG (KPMG Audit Methodogy KAM)
 ROLDAN DE MORALES, Esperanza. Apuntes de Auditoría IV. Material de Apoyo.
25 Junio 2010
ANEXO 1
GRUPO No. 8 - 30 -
ANEXO 2
GRUPO No. 8 - 31 -
ANEXO 3
Algunos Tipos de Riesgos
GRUPO No. 8 - 32 -
Riesgo genérico Riesgo específico Área afectada
Riesgos de propiedad Terrorismo Edificios
Fenómenos naturales Equipos
Fuego Automóviles
Riesgos de activos monetarios Robos y fraudes Tesorerías
Asaltos Agencias y sucursales
Negligencia
Riesgos humanos Salud y seguridad de los empleados Todos los funcionarios
Leyes laborales
Riesgos comerciales Contratos mal especificados Contratos con clientes, proveedores,

socios.
Propiedad intelectual
Áreas de comunicaciones
Riesgos de mercado
Mercados financieros
Riesgo de reputación
Riesgos de información Seguridad física Documentación
Sistemas de información Archivos de información
Procedimientos de acceso
Caídas de sistemas
Confidencialidad
Aspectos técnicos
Riesgos legales Leyes de competitividad Áreas comerciales
Protección de información Áreas financieras
Leyes tributarias
Procedimientos publicitarios
Leyes económicas
Riesgos políticos Poderes generales Áreas comerciales
Libertad comercial Áreas financieras
Derechos de propiedad
GRUPO No. 8 - 33 -
Riesgos operativos Ineficiencia de operaciones Todas las áreas
Información inexacta
Procesos inadecuados e in-eficientes
Uso inapropiado e ineficien-te de los

recursos
ANEXO 4
EVALUACION DEL RIESGO DE
AUDITORIA
GRUPO No. 8 - 34 -
NIVEL DE SIGNIFICATIVIDAD FACTORES PROBABILIDAD
RIESGO DE RIESGO DE OCURRENCIA
MINIMO NO SIGNIFICATIVO NO EXISTEN REMOTA
BAJO SIGNIFICATIVO EXISTEN ALGUNOS PERO POCO IMPROBABLE
IMPROTENTE
MEDIO MUY SIGNIFICATIVO EXITEN ALGUNOS POSIBLE
ALTO MUY SIGNIFICATIVO EXISTEN VARIOS Y SON PROBABLE
IMPORTANTES
GRUPO No. 8 - 35 -

Auditoría Con Un Enfoque Basado en Riesgos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoría Con Un Enfoque Basado en Riesgos

Cargado por

Copyright:

Formatos disponibles

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS.

 Una recopilación, acumulación y evaluación de evidencia sobre información de

 Un proceso sistemático para obtener y evaluar riesgos de manera objetiva, las

 La Auditoría puede definirse como un proceso sistemático para obtener y evaluar

 Es la investigación, consulta, revisión, verificación, comprobación y evidencia

 Se define también la Auditoría como un proceso sistemático, que consiste en

OBJETIVOS DE AUDITORIA BASADA EN RIESGOS

El Estándar Internacional de Auditoría ISA 200 establece: “El objetivo de la auditoría de

Esto implica tres pasos clave:

 Valorar los riesgos de declaración equivocada material contenida en los estados

 Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los

 Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos

Esta Metodología basada en riesgos facilita y mejora la calidad de auditoría, transforma el

La ventaja de este enfoque es que permite adquirir un entendimiento integral del

Se centra en claves del éxito y en los indicadores claves de rendimiento (valor

FUNCIONES DE AUDITORIA BASADA EN RIESGOS

GRUPO No. 8 -1-

 Incorporar al universo de los asuntos de auditoría la visión de riesgo que tiene la

 Desarrollar procesos de auditoría basada en riesgos e incorporarlos en los

 Darle seguimiento al plan comercial y ajustar el plan de la auditoría ante cambios en

 Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los

 Utilizar técnicas y procedimientos de riesgo cuando se realiza la auditoría.

 Informar a los administradores y responsables de la organización los resultados de

 Identificar de manera conjunta los riesgos que pudieran afectar adversamente la

 Ayudar a evaluar el impacto que pudieran tener estos riesgos dentro de la

 Diseñar un programa de auditoría basada en los principales riesgos del

 Evaluar la suficiencia y efectividad de los controles internos actuales.

 Dar a conocer los resultados a la Dirección General y a su Comité de Auditoría,

GRUPO No. 8 -2-

Apoyar a la organización a identificar sus riesgos financieros,

Además, obtener evidencia adecuada de las afirmaciones de la dirección, contenidas en

Cualquier obstáculo que se oponga al logro de los objetivos globales y específicos

Situaciones adversas cuyas consecuencias para una organización es la pérdida de un

Susceptibilidad de la aserción a estar declarada equivocadamente, la cual podría ser

Riesgo de fraude (Parte del riesgo inherente o posible riesgo de control)

El riesgo de un acto intencional cometido por uno o más individuos de la administración,

Riesgo de control (¿Los controles internos existentes mitigan los riesgos

Riesgo de que el sistema de control interno de la entidad no prevenga o no detectará,

GRUPO No. 8 -3-

Es el riesgo de que el auditor no detectará la declaración equivocada que existe en una

DETERMINACION DEL RIESGO

Para la determinación del riesgo inherente, la auditoría se basa en la aplicación y

Determinación del Riesgo de Control

Los elementos que integran la estructura de control son los siguientes:

c) Los sistemas de información y comunicación.

GRUPO No. 8 -4-

d) Los procedimientos de control.

Los procedimientos de auditoría recomendados para llevar a cabo el estudio

 Una prueba de cumplimiento es la comprobación de que uno o más

 La naturaleza y oportunidad de aplicación de las pruebas de cumplimiento están

 Como regla general, las pruebas de cumplimiento deben concluirse antes de

El riesgo de control disminuye en la medida en que aumenta la efectividad con que el

Los riesgos inherentes y de control, existen en forma independiente de la auditoría, la

GRUPO No. 8 -5-

Determinación del Riesgo de Auditoría.

Determinación del Riesgo de Detección

Riesgo de detección.- Representa el riesgo de que los procedimientos aplicados por el

El riesgo de detección lo establece el auditor al determinar la naturaleza, alcance

y oportunidad de sus pruebas sustantivas.”.

El riesgo de detección se debe establecer en relación inversa a los riesgos inherentes y

Riesgo de control Alto Medio Bajo

Riesgo inherente Riesgo de detección

Alto Bajo Bajo Medio