P. 1
AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS

|Views: 11.134|Likes:

More info:

Published by: Sergio Alexader CHoy Culajay on May 10, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

10/21/2015

pdf

text

original

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS.

DEFINICIONES 

La auditoria con un enfoque basado en riesgos trata sobre la identificación y análisis de los riesgos relevantes para alcanzar los objetivos y determinar las actividades de control. Una recopilación, acumulación y evaluación de evidencia sobre información de una entidad, para determinar e informar el grado de cumplimiento entre la información y los criterios establecidos. Un proceso sistemático para obtener y evaluar riesgos de manera objetiva, las evidencias relacionadas con informes sobre actividades económicas y otras situaciones que tienen una relación directa con las actividades que se desarrollan en una entidad pública o privada. El fin del proceso consiste en determinar el grado de precisión del contenido informativo con las evidencias que le dieron origen, así como determinar si dichos informes se han elaborado observando principios establecidos para el caso&. Es un proceso sistemático, esto quiere decir que en toda Auditoría debe existir un conjunto de procedimientos lógicos y organizados que el auditor debe cumplir para la recopilación de la información que necesita para emitir su opinión final. Sin embargo cabe destacar que estos procedimientos varían de acuerdo a las características que reúna cada empresa, pero esto no significa, que el auditor no deba dar cumplimiento a los estándares generales establecidos por la profesión. La palabra Auditoría viene del latín AUDITORIUS, y de esta proviene auditor, que tiene la virtud de oír, y el diccionario lo considera revisor de cuentas colegiado pero se asume que esa virtud de oír y revisar cuentas está encaminada a la evaluación de la economía, la eficiencia y la eficacia en el uso de los recursos, así como al control de los mismos. La Auditoría puede definirse como un proceso sistemático para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados, cuyo fin consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como establecer si dichos informes se han elaborado observando los principios establecidos para el caso. Es la investigación, consulta, revisión, verificación, comprobación y evidencia aplicada a la Empresa. Es el examen realizado por el personal calificado e independiente de acuerdo con Normas de Contabilidad; con el fin de esperar una opinión que muestre lo acontecido en el negocio; requisito fundamental es la independencia.      

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS 

Se define también la Auditoría como un proceso sistemático, que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas a los actos o eventos de carácter económico ± administrativo, con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas. Se practica por profesionales calificados e independientes, de conformidad con normas y procedimientos técnicos.

OBJETIVOS DE AUDITORIA BASADA EN RIESGOS
El Estándar Internacional de Auditoría ISA 200 establece: ³El objetivo de la auditoría de estados financieros es permitirle al auditor expresar una opinión respecto de si los estados financieros están preparados, en todos los aspectos materiales, de acuerdo con la estructura aplicable de información financiera´. En la auditoría basada en riesgos el objetivo del auditor es ³obtener seguridad razonable de que en los estados financieros no existan declaraciones equivocadas materiales causadas por fraude o error´. Esto implica tres pasos clave: 

Valorar los riesgos de declaración equivocada material contenida en los estados financieros; Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de declaraciones materiales contenidas en los estados financieros; y Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos de auditoría.  

Esta Metodología basada en riesgos facilita y mejora la calidad de auditoría, transforma el proceso de Auditoría tradicional en una nueva estructura para evaluar de qué manera se administra los riesgos del negocio de una compañía. La ventaja de este enfoque es que permite adquirir un entendimiento integral del negocio, incluyendo las estrategias, los riesgos de negocio y los procesos para administrarlos, lo que resulta en una auditoría efectiva y eficiente. Se centra en claves del éxito y en los indicadores claves de rendimiento (valor agregado, programas de calidad total) que impulsan a las compañías y que permite agregar valor mediante auditoría.

GRUPO No. 8

-1-

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS

FUNCIONES DE AUDITORIA BASADA EN RIESGOS

Incorporar al universo de los asuntos de auditoría la visión de riesgo que tiene la organización.  Valorar los riesgos de declaración equivocada material contenida en los estados financieros. 


Desarrollar procesos de auditoría basada en riesgos e incorporarlos en los planes anuales de la auditoría. Darle seguimiento al plan comercial y ajustar el plan de la auditoría ante cambios en el primero. Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de declaraciones materiales contenidas en los estados financieros. Utilizar técnicas y procedimientos de riesgo cuando se realiza la auditoría. Informar a los administradores y responsables de la organización los resultados de las auditorías con un lenguaje de riesgos y no de control interno. Identificar de manera conjunta los riesgos que pudieran afectar adversamente la habilidad de la organización para alcanzar sus objetivos. Ayudar a evaluar el impacto que pudieran tener estos riesgos dentro de la organización. Sugerir el tratamiento y/o las acciones que deberán establecerse para disminuir la probabilidad de exposición a estos riesgos. Diseñar un programa de auditoría basada en los principales riesgos del negocio. Evaluar la suficiencia y efectividad de los controles internos actuales. Obtener planes de acción de los responsables para corregir las fallas de control identificadas. Dar a conocer los resultados a la Dirección General y a su Comité de Auditoría, mediante reporte de auditoría redactado adecuadamente, basado en los hallazgos de auditoría para una oportuna y adecuada toma de decisiones.   

       

En conclusión podemos decir que la función de una auditoria basada en riesgos es:

GRUPO No. 8

-2-

8 -3- . GRUPO No.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Apoyar a la organización a identificar sus riesgos financieros. El auditor planea y realiza el trabajo entonces de manera tal que reduzca a un nivel aceptable el riesgo de expresar una conclusión inapropiada. Riesgo de control (¿Los controles internos existentes mitigan los riesgos inherentes?). a priorizarlos y a determinar el tratamiento que se deberá dar a cada uno de ellos y. es el riesgo de que el auditor exprese una conclusión inapropiada. obtener evidencia adecuada de las afirmaciones de la dirección. esos riesgos se pueden representar por los componentes que se presentan a continuación: Riesgo Inherente Susceptibilidad de la aserción a estar declarada equivocadamente. mediante la realización y evaluación de las pruebas de auditoría que se consideren adecuadas. contenidas en las cuentas anuales. CONCEPTUALIZACION DE RIESGO ¿Qué es el riesgo? Cualquier obstáculo que se oponga al logro de los objetivos globales y específicos dentro de una organización. que conlleva el uso de engaño para obtener una ventaja injusta o ilegal. asumiendo que no hay controles relacionados. de operación y de cumplimiento con leyes y normatividades. empleados o terceros. a establecer un programa de monitoreo permanente sobre los mismos. de quienes tengan a cargo el gobierno. la cual podría ser material individualmente o cuando se agrega con otras declaraciones equivocadas. a determinar el impacto que pueden tener sobre los objetivos de la organización. En general. al objeto de obtener una base de juicio razonable sobre los datos contenidos en las cuentas anuales que se examinan y poder expresar una opinión respecto a las mismas. Además. Situaciones adversas cuyas consecuencias para una organización es la pérdida de un activo (tangible o intangible) El riesgo ante el trabajo ordenado. Riesgo de fraude (Parte del riesgo inherente o posible riesgo de control) El riesgo de un acto intencional cometido por uno o más individuos de la administración.

la declaración equivocada que podría ser material. ya sea individualmente o cuando se agrega con otras declaraciones equivocadas. Para la determinación del riesgo inherente. 8 -4- . sobre una base oportuna. en función de las características o particularidades de dicho rubro (cuenta. o en algunas cuentas o grupos de transacciones. extensión y oportunidad que va a dar a los procedimientos de auditoría. Riesgo de Detección Es el riesgo de que el auditor no detectará la declaración equivocada que existe en una aserción que podría ser material. o en un tipo específico de negocio. Los elementos que integran la estructura de control son los siguientes: a) El ambiente de control. que le permita determinar la naturaleza. sin considerar el efecto de los procedimientos de control interno que pudieran existir. la auditoría se basa en la aplicación y evaluación del Marco Integrado de Control Interno específicamente en lo que se refiere a Actividades (MICICAM por Actividades). GRUPO No. asimismo. DETERMINACION DEL RIESGO Representa el riesgo de que ocurran errores importantes en un rubro específico de los estados financieros. El riesgo inherente toma en cuenta el hecho de que la probabilidad de que ocurran errores importantes es mayor en algunos tipos de negocios. El nivel aceptable del riesgo de detección para un nivel dado de riesgo de auditoría equivale a la relación inversa con los riesgos de declaración equivocada material a nivel de aserción. saldo o grupo de transacciones) o negocio.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Riesgo de que el sistema de control interno de la entidad no prevenga o no detectará. que le sirvan de base para determinar el grado de confianza que va depositar en él. individualmente o cuando se agrega con otras declaraciones equivocadas Riesgo combinado Es un término que se usa algunas veces para referirse a los riesgos valorados (riesgo inherente y de control) de declaración equivocada tanto a nivel de estado financiero como a nivel de aserción. Determinación del Riesgo de Control El auditor debe efectuar un estudio y evaluación adecuados del control interno existente.

  El riesgo de control representa el riesgo de que los errores importantes (que excedan a la importancia relativa al agregarse a otros errores) que pudieran existir en un rubro específico de los estados financieros. c) Los sistemas de información y comunicación. las pruebas de cumplimiento deben concluirse antes de iniciar las pruebas sustantivas. aun cuando se alcancen todos los objetivos del sistema de control interno.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS b) La evaluación de riesgos. en estos casos. En cambio. tanto generales como Específicos establecidos. el riesgo de control nunca desaparece totalmente. otros procedimientos no dejan evidencia documental. 8 -5- . debido a las limitaciones inherentes a cualquier sistema de este tipo. de hecho operando o lo están haciendo en forma deficiente. GRUPO No. e) La vigilancia. si las pruebas de cumplimiento demuestran que determinados controles no están. Lo anterior permite ajustar eficientemente el alcance de las pruebas sustantivas. no sean prevenidos o detectados oportunamente por el sistema de control interno contable en vigor. El riesgo de control disminuye en la medida en que aumenta la efectividad con que el sistema de control interno alcanza los objetivos. Como regla general. Existen procedimientos de control interno que producen evidencia documental. la cual puede examinarse en cualquier momento. Sin embargo. La naturaleza y oportunidad de aplicación de las pruebas de cumplimiento están relacionadas entre sí. el cumplimiento sólo puede determinarse mediante observación visual directa en el momento en que esos procedimientos son ejecutados por el personal de la entidad. Los procedimientos de auditoría recomendados para llevar a cabo el estudio y evaluación del control interno durante el proceso de planeación de una auditoría son los siguientes:  Una prueba de cumplimiento es la comprobación de que uno o más procedimientos de control interno estuvieron operando con efectividad durante el periodo auditado. d) Los procedimientos de control.

el riesgo de auditoría debe considerarse también a ese nivel. Sin embargo.. existen en forma independiente de la auditoría.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Los riesgos inherentes y de control. El riesgo de detección lo establece el auditor al determinar la naturaleza. Riesgo de detección. GRUPO No. los estados financieros están presentados razonablemente de acuerdo con principios de contabilidad generalmente aceptados. 8 -6- . Riesgo de control Riesgo inherente Alto Medio Bajo Alto Medio Bajo Riesgo de detección Bajo Bajo Bajo Medio Medio Alto Alto Medio Alto En la fase de planeación el auditor considera estos conceptos para asegurarse de que obtendrá la evidencia suficiente y competente que le servirá para que.´. La Auditoría lleva a cabo el estudio del control interno de las entidades mediante la aplicación de sus Cuestionarios de Control Interno y de la Guía para la Determinación del Riesgo de Auditoría. El riesgo de detección se debe establecer en relación inversa a los riesgos inherentes y de control.Representa el riesgo de que los procedimientos aplicados por el auditor no detecten los posibles errores importantes que hayan escapado a los procedimientos de control interno. en la fase de evaluación de resultados. lo cual en la práctica pude hacerse en forma independiente o combinada. en sus tres componentes. en su opinión. alcance y oportunidad de sus pruebas sustantivas. en virtud de que la mayoría de los procedimientos de auditoría se aplican sobre saldos de cuentas o grupos de transacciones. la función del auditor consiste simplemente en evaluarlos adecuadamente. en exceso a la importancia relativa. sobre unos estados financieros que contengan errores o desviaciones de los principios de contabilidad. El riesgo de auditoría debe considerarse por el auditor al nivel de los estados financieros tomados en su conjunto. Determinación del Riesgo de Detección El µRiesgo de auditoría¶ representa la posibilidad de que el auditor pueda dar una opinión sin salvedades. pueda juzgar si.

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Durante la planeación se deberá evaluar el riesgo de un error importante (ya sea causado por un error o fraude). el auditor evalúa el ambiente de control. el auditor establecerá el riesgo de detección que a su juicio le permita obtener la evidencia suficiente y competente para sustentar sus hallazgos y su opinión sobre la razonabilidad de los estados financieros. el auditor deberá considerar esta conclusión para determinar la naturaleza. Falta de criterio o mala interpretación de los hechos existentes a la fecha en que se preparan los estados financieros. y los requerimientos de niveles apropiados de supervisión. Por otra parte se deben tomar en consideración los fraudes en la auditoria de los estados financieros para lo cual definiremos los siguientes términos de irregularidad o fraude como: Distorsiones provocadas en el registro de las operaciones y en la información financiera o actos intencionales para sustraer activos (robos). funcionario o encargado de ello. por parte del empleado. tales como:    Errores aritméticos que los empleados cometen en los registros y en la información contable. El auditor deberá considerar el efecto de estas evaluaciones en la estrategia de auditoría. u ocultar obligaciones que tienen o pueden tener un impacto significativo en los estados financieros sujetos a examen. el riesgo inherente y el riesgo de control y establece el riesgo de detección. Cuando el auditor ha concluido que existe un riesgo importante de errores significativos dentro de los estados financieros. Las fórmulas y cálculos empleados para la estimación de los resultados deberán plasmarse y conservarse en los papeles de trabajo de la auditoría. El término ³error´ se refiere a fallas involuntarias en la información financiera. oportunidad y alcance de los procedimientos. Considerando los resultados de la evaluación del riesgo inherente y riesgo de control a que hacen referencia los dos incisos anteriores utilizando las herramientas correspondientes. como ya se explicó anteriormente. GRUPO No. 8 -7- . así como en el alcance de las pruebas sustantivas. Al evaluar el riesgo de auditoría para una cuenta o grupo de transacciones. El entendimiento que el auditor tenga del control interno de la entidad pudiera aumentar o mitigar su preocupación acerca del riesgo de errores importantes. la asignación de personal. Equivocaciones en la aplicación de principios de contabilidad.

GRUPO No. g) Influencias externas que afectan las operaciones y prácticas de la entidad. 8 -8- . f) Políticas y prácticas de personal. Basado en este conocimiento el auditor debe evaluar si el ambiente de control promueve sistemas confiables y procedimientos de control efectivos. La auditoría efectúa el estudio y evaluación del Ambiente de Control de las entidades fiscalizadas mediante la aplicación del Marco Integrado de Control Interno Institucional (MICICAM Institucional) su resultado permite precisar el porcentaje de alcance que se dará a las pruebas sustantivas o de detalle dentro del rango que corresponde al riesgo de detección determinado previamente. d) Métodos para asignar autoridad y responsabilidad. Si el auditor concluye que el ambiente de control promueve un control interno efectivo.´ Para planear la auditoría se necesita obtener un conocimiento suficiente del ambiente de control. El Ambiente de Control representa la combinación de factores que afectan las políticas y procedimientos de una entidad. juzgará si es adecuado o no confiar en ella durante la auditoría.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Determinación del ambiente de control De acuerdo con el Boletín 3050. Este conocimiento comprende las condiciones bajo las que están diseñados. incluyendo la función de auditoría interna. b) Estructura de organización de la entidad. el auditor tiene dudas fundadas respecto de la efectividad de la estructura del control interno. c) Funcionamiento del consejo de administración y sus comités. fortaleciendo o debilitando sus controles. siempre y cuando estos se prueben y sean efectivos. tanto el sistema contable de la entidad como sus procedimientos de control. Si basado en su conocimiento del ambiente de control. se puede confiar en los controles durante la auditoría. Dichos factores son los siguientes: a) Actitud de la administración hacia los controles establecidos. se implementan y funcionan. e) Métodos de control administrativo para supervisar y dar seguimiento al cumplimiento de las políticas y procedimientos.

En cualquier caso. los datos externos pueden ser útiles como un punto de control o para fortalecer el análisis. Sin embargo. mientras que el impacto representa su efecto en caso de que ocurriera. Puede ser útil utilizar la misma unidad de medida al considerar el impacto eventual de un riesgo en el logro de un objetivo específico. La probabilidad representa la posibilidad de que un acontecimiento dado ocurra.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS La apreciación de riesgos permite a una entidad considerar cómo los acontecimientos eventuales podrían afectar el logro de los objetivos. En caso que los acontecimientos eventuales no estén directamente GRUPO No. la gerencia puede apreciar cómo se relacionan los acontecimientos. la elección de técnicas debe reflejar la necesidad de precisión y la cultura de la unidad de negocios. La metodología de apreciación del riesgo de una entidad normalmente comprende una combinación de técnicas cuantitativas y cualitativas. Mientras que el impacto de un acontecimiento aislado podría ser leve. 8 -9- . una secuencia de acontecimientos podría tener un impacto más significativo. No es necesario que una entidad utilice técnicas de apreciación comunes en todas las unidades de negocios. Cuando existen cadenas de acontecimientos que se combinan e interactúan dando lugar a probabilidades e impactos significativamente distintos. Los usuarios deben ser cautelosos cuando utilizan acontecimientos pasados para hacer predicciones sobre el futuro ya que los factores que influyen en los acontecimientos cambian con el transcurso del tiempo. los métodos utilizados por las unidades de negocios individuales deben facilitar la apreciación global de los riesgos de la entidad. Los datos generados internamente basados en la propia experiencia de una entidad pueden reflejar menos prejuicios personales subjetivos y proveer mejores resultados que datos de procedencia externa. La gerencia aprecia los acontecimientos desde dos perspectivas: probabilidad e impacto. Por el contrario. los que pueden proveer una base más objetiva que las estimaciones exclusivamente subjetivas. Las técnicas cuantitativas normalmente tienen más precisión y son utilizadas en actividades más complejas y sofisticadas para complementar las técnicas cualitativas. La gerencia a menudo utiliza técnicas de apreciación cualitativa cuando los riesgos no se prestan a la cuantificación o cuando los datos confiables y en cantidad suficiente requeridos para la apreciación cuantitativa no están en la práctica disponibles o cuando el proceso de obtención y análisis de datos no es costo-beneficioso. Las estimaciones de probabilidad e impacto de riesgo a menudo son determinadas usando datos sobre acontecimientos pasados observables. La gerencia a menudo utiliza medidas de desempeño para determinar el grado en que los objetivos están siendo alcanzados. aún cuando los datos generados internamente son un insumo importante.

En virtud de que los riesgos son apreciados en el contexto de la estrategia y de los objetivos de una entidad.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS relacionados. El diseño para diagnosticar o determinar los riesgos en el proceso de Auditoría Interna consiste en: a) Definir criterios de valoración de los riesgos b) Realizar el diagnóstico del ejercicio de la Auditoría Interna 1. la gerencia necesita tener conocimiento de marcos temporales más largos y no ignorar riesgos que podrían estar más lejanos en el tiempo. la gerencia utiliza técnicas de apreciación de riesgo para determinar el riesgo residual ± el riesgo remanente luego de la acción de la gerencia para modificar la probabilidad o impacto del riesgo. algunos elementos de la orientación y de los objetivos estratégicos se extienden hasta el largo plazo. Como consecuencia. 4. Detallar las tareas a ejecutar en cada subproceso Identificar los riesgos en cada subproceso Evaluar los riesgos de cada subproceso Confeccionar el Mapa de los Riesgos. la gerencia considera las consecuencias positivas y negativas de los acontecimientos eventuales. Una vez que se han desarrollado las respuestas al riesgo. Existe normalmente un rango de posibles resultados asociados a un acontecimiento eventual y la gerencia los considera como una base para desarrollar una respuesta al riesgo. la gerencia puede apreciar y agrupar los acontecimientos identificados en categorías comunes. en caso que la ocurrencia de riesgos sea probable en múltiples unidades de negocios. individualmente o por categoría. La apreciación de riesgos es aplicada en primera instancia al riesgo inherente ± el riesgo para la entidad en ausencia de cualesquiera acciones que la gerencia podría tomar para modificar la probabilidad del riesgo o su impacto. con enfoque de riesgo GRUPO No. 2. la gerencia a menudo tiende a centrarse en riesgos con horizontes temporales de corta a mediana duración. c) Diseñar el Modelo de Organización del proceso de Auditoría Interna. la gerencia los aprecia individualmente. A través de la apreciación del riesgo. a través de la entidad. 8 .10 - . 3. Sin embargo.

en los puntos vulnerables de cada subproceso. Análisis.. Se detallará si su fuente es interna o externa.Parte del análisis que se realiza. en el contexto de las medidas de control existentes. Si algún riesgo resulta excluido se debe mencionar en el análisis.. a los riesgos identificados.11 - . Al combinar las consecuencias de ocurrir un evento con las probabilidades de que ocurra se llega a determinar un nivel de riesgo Evaluación.   Probabilidad Impacto Se analizan los riesgos combinando las estimaciones de impacto y su probabilidad de ocurrencia. valorando las fortalezas y debilidades de cada uno. en cuanto a las consecuencias y probabilidades de ocurrencia de los mismos.Los riesgos serán identificados. 8 .AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS a) Definición de los criterios de valoración de los riesgos Los pasos a seguir en el tratamiento de los riesgos serán los que se describen a continuación:      Identificación Análisis Evaluación Supervisión y Monitoreo Comunicación y Consulta Identificación. Deberá entenderse quedar registrado:     Cuál es el riesgo Cómo puede manifestarse Por qué Qué controles existen en ese momento para contrarrestar sus efectos. Los Niveles de Riesgo en la Dirección de Auditoría Interna serán los siguientes:    Aceptable Moderado Inaceptable GRUPO No. atendiendo a las diversas fuentes que pueden originarlos y las posibles manifestaciones de ocurrencia de los mismos.

Esta comunicación debe preverse en ambas direcciones. y determinar los riesgos. puede ser:    Entrevistas Grupos de expertos Cuestionarios individuales Supervisión y Monitoreo. En cada paso del proceso de administración de los riesgos es importante mantener una adecuada comunicación de los interesados. 8 . solamente no estará concebida esta como un flujo de información hacia los interesados. En cada paso debe existir una forma en que se comunique el trabajo que se está realizando con los riesgos. es decir información de los Supervisores hacia los niveles correspondientes. no alteren las prioridades del tratamiento de los mismos. b) Diagnóstico del proceso de Auditoría Interna b. tanto internas como del entorno. Comunicación y Consulta. debe efectuarse el estudio partiendo de las tareas previstas para cada subproceso. Además contribuye a la identificación de las nuevas fuentes de riesgos y por consiguiente el comienzo del tratamiento de los nuevos riesgos identificados.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Las fuentes de información que pueden ser utilizadas para estos fines son:         Datos estadísticos Experiencias Práctica diaria Datos relevantes de publicaciones Comprobaciones efectuadas por investigación de mercado Resultados de experimentos Modelos establecidos Opiniones y juicios de expertos y especialistas Las técnicas para analizar los riesgos.1. GRUPO No. es decir. entre otras. debe existir la retroalimentación del emisor con los criterios de todos los involucrados. Es preciso que los riesgos y la efectividad de las medidas de control de cada uno. Tareas a ejecutar en cada subproceso e identificación de los riesgos Para efectuar el diagnóstico del proceso de auditoría Interna e identificar los riesgos en el proceso.12 - . de manera que exista comunicación sobre el control ejercido. y asesoría con el fin de lograr mejoras en el ejercicio de la auditoría Interna. incluido el auditor. sea monitoreado y supervisado para tener la seguridad de que las condiciones cambiantes.

Frecuente: Se espera que ocurra en la mayoría de las circunstancias. GRUPO No. Clasificación de los riesgos Evaluación. El Impacto ante la ocurrencia sería considerado de:  Leve (L)  Moderado (M)  Grande (G) Leve: Perjuicios tolerables. Baja pérdida financiera. Moderado: Requiere de un tratamiento diferenciado: Pérdida financiera media. debe iniciarse el proceso de evaluación de los mismos.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Para ello se debe utilizar un Estándar el que se muestra a continuación: Subprocesos Tareas Riesgos de control Conocidos los riesgos. Para ello: Las probabilidades de ocurrencia deberán determinarse en:  Poco Frecuente (PF)  Moderado (M)  Frecuente (F) Poco Frecuente: cuando el Riesgo ocurre sólo en circunstancias excepcionales.Es el resultado de comparar los niveles de riesgo establecidos.2. 8 .13 - .. Grande: Requiere tratamiento diferenciado. Alta pérdida financiera. Moderado: Puede ocurrir en algún momento. con los criterios que se tienen preestablecidos para su evaluación. En este caso los criterios son los siguientes: a) Probabilidad de ocurrencia del Riesgo b) Impacto ante la ocurrencia del Riesgo. lo que requiere los siguientes pasos: b.

Si se quisiera evaluar el Impacto de los Riesgos en un subproceso.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS La evaluación del Riesgo sería de: Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles actuales. la representación gráfica. Resulta una técnica conocida y muy usada. donde se identifican todos los riesgos de cada uno de los subprocesos diagnosticados anteriormente. Deben tomarse de inmediato acciones de reducción de Impacto y Probabilidad para atenuar la gravedad del riesgo. 8 . Moderado: (Riesgo Medio). se utiliza un Estándar el que se muestra a continuación: Para evaluar. Se deben acometer acciones de reducción de daños y especificar las responsabilidades de su implantación y supervisión. Inaceptable: (Riesgo Alto).3.14 - . Se especificará el responsable y la fecha de revisión sistemática. también. Se deben tener en cuenta los objetivos de la organización y el grado de oportunidad que se puede alcanzar como resultado de tratar el riesgo. b. se utiliza el Estándar. y se evalúan en conformidad con lo previsto anteriormente. el grado de beneficio para las partes involucradas. Riesgo E I Nivel de Riesgo L M G F La evaluación de riesgos proporciona la lista de prioridades para el tratamiento de los riesgos por medio de las acciones a seguir en cada caso. siguiendo los procedimientos de rutina. como herramienta de trabajo. Se tendrá en cuenta. Mapa de los Riesgos Luego de evaluado todos los riesgos. Se ilustra a continuación: MATRIZ DE RIESGOS GRUPO No. se sitúan en el cuadrante del Mapa que le corresponde según la MATRIZ. Se consideran riesgos Aceptables con Medidas de Control. UAI: Clasificación del Riesgo Impacto (6) Probabilidad (7) M PF No.

Se confeccionarán planes de tratamiento de riesgos. 8 . el gráfico anterior ilustra los cuadrantes donde según su Impacto y Probabilidad de Ocurrencia se sitúan estos Riesgos. En los mismos se tendrá en cuenta:        El riesgo en orden de prioridad Opciones posibles de tratamiento Nivel que adquiere el riesgo luego de ser tratado Resultado del análisis costo beneficio Responsable de acometer la acción Calendario de implementación Forma en que se va a monitorear GRUPO No.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Frecuente Inaceptable Inaceptable Inaceptable PROBABILIDAD Moderado Poco Frecuente Moderado Moderado Inaceptable Aceptable Moderado Inaceptable Leve IMPACTO Moderado Grande Niveles de Riesgo (Matriz) Como puede observarse.15 - . lo que no significa que en el Plan de Medidas no se tengan en cuenta todos los Riesgos. pues deberá mantenerse el seguimiento de todos los identificados y el Plan de acción de cada uno. Las opciones a tener en cuenta para acometer acciones de reducción de riesgos pueden ser:      Evitarlo Reducir probabilidad de ocurrencia Reducir consecuencias Transferir el riesgo Retener el riesgo Luego estas opciones deberán evaluarse y tener en cuenta el costo beneficio de la decisión de tratamiento del riesgo. y su color identifica la Evaluación del mismo.

que puedan derivarse de un análisis casuístico en una UAI. Evaluar los resultados de las supervisiones Mantener la vigilancia de la posible comisión de riesgos en el desarrollo sistemático del ejercicio de las auditorías. el monitoreo en la ejecución sucesiva sobre el manejo de futuras acciones y la supervisión sistemática en diferentes momentos de realización de las auditorías en correspondencia sobre la incidencia de los riesgos pasados o reiterados en los subprocesos con mayores impactos. con el tipo de auditoría. con la organización donde se realiza el servicio. Monitorear el cumplimiento de la Cadena de Valores por cada profesional. debe elaborarse un Plan de Acción en el que se proponga. fundamentalmente       El diseño de un Sistema Organizativo de ejecución para cada uno de los subprocesos de la auditoría.16 - . con el tipo de auditoría. el monitoreo en la ejecución sucesiva sobre el manejo de futuras acciones y la supervisión sistemática en diferentes momentos de realización de las auditorías en correspondencia sobre la incidencia de los riesgos pasados o reiterados en los subprocesos que mayores impactos se han observados. Capacitar a los profesionales de la auditoría en la formación teórico-práctica que garantice la calidad en el ejercicio de sus funciones. 8 . con el subproceso que se realice y por supuesto con el auditor o auxiliar que la ejecute. Por el impacto que hoy produce la ocurrencia de los riesgos observados en la investigación. Responsables:     Departamento de Auditoría Supervisor Jefe de Grupo Auditor GRUPO No. Las Organizaciones de Auditoría Interna deben elaborar planes de Acción que contribuyan a la preparación del auditor sobre el cumplimiento del ejercicio de la profesión. Vital importancia reviste el dominio de la actividad. Vital importancia reviste el dominio de la actividad. Etc. con la organización donde se realiza el servicio. El Plan de Acción estaría en correspondencia con el tipo de riesgo. Plan de Acción El Plan de Acción estaría en correspondencia con el tipo de riesgo. con el subproceso que se realice y por supuesto con el auditor o auxiliar que la ejecute.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Y desde luego muchas otras.

donde todos los subprocesos en Auditoría son necesarios para lograr un servicio eficaz. efectividad y economía en el manejo y use de los recursos asignados para la ejecución de las operaciones. discutir el concepto. individualmente o por categoría. Controles: Frecuentemente debe evaluarse el comportamiento de cada subproceso y por cada área de trabajo. con el fin de elaborar el consecuente Plan de Acción para reducir la probabilidad de ocurrencia. La dificultad asociada con el riesgo del negocio es su evaluación.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Estándares: Consiste en Guías. Los riesgos se evalúan con un doble enfoque: riesgo inherente y riesgo residual. El proceso de valoración del riesgo incluye su cuantificación. en toda la entidad. el alcance y las GRUPO No. representarse en un gráfico. y eficiente. se hace necesario. Deberá además de resumirse. ya que algunos de sus atributos son cualitativos o tal vez se expresan en términos muy generales y con poca precisión. con determinado aspectos a evaluar. analizan y valoran los medios de control diseñados para manejar y minimizar las posibilidades y errores o irregularidades que se producen y afectan la eficiencia. por cada subproceso. con los requerimientos de calidad esperada. Los impactos positivos y negativos de los eventos potenciales deben examinarse. sería entonces una aproximación científica de su comportamiento. entonces. Resulta importante establecer un sistema de control en esa Cadena de Valores. el cual debe concluir con una evaluación. la que deberá clasificar según la probabilidad de ocurrencia y el Impacto ante la misma. 8 . y cuando ésta no es posible. FACTORES DE RIESGO QUE DEBEN EVALUARSE La evaluación de riesgos: Es el proceso mediante el cual se identifican.17 - . La dirección evalúa estos acontecimientos desde una doble perspectiva ² probabilidad e impacto ² y normalmente usa una combinación de métodos cualitativos y cuantitativos. anticipando posibles pérdidas accidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir. Una administración eficiente de los Riesgos. La evaluación de riesgos permite a una entidad considerar con que los eventos potenciales impactan en la consecución de los objetivos.

   GRUPO No. deficientes o ausentes. La asignación de prioridades ²risk ranking² permite a la organización. Para su identificación se puede aplicar el enfoque del activo. fijar su atención en los riesgos de mayor severidad. entendida como su control. el enfoque del entorno externo o el enfoque de amenaza. es una función exclusiva y única de la administración de la organización. y a la auditoría. a) El primer paso en el análisis del riesgo es su evaluación. al menos.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS consecuencias del riesgo con el propósito. Riesgo operativo: es el riesgo de que la puesta en marcha de la política corporativa esté condicionada por procesos y procedimientos inadecuados. la gestión del riesgo. c) La cuantificación del riesgo implica la transformación de información cualitativa y subjetiva en números ya sea mediante métricas avanzadas ²scoring² o ponderaciones de factores. la idoneidad del personal. el riesgo tiene que ser identificado. Antes de diseñar procedimientos para su administración. eliminación. b) Su medición involucra factores tales como la ética del trabajo. las metas y los planes con la disponibilidad de fondos o bien que por controles insuficientes. todo ello en detrimento de la consecución de los planes. La eficacia en la administración del riesgo dependerá.18 - . en particular. Riesgo de reputación: es el riesgo de que la pérdida de confianza en la organización o en sus administradores impida el correcto uso de los fondos o que no se le tenga confianza a lo que se está haciendo. La función de la auditoría en este caso está directamente relacionada con el análisis que debe llevar a cabo en proporción con la magnitud de los riesgos que se han identificado. También se puede expresar en términos de probabilidades. la complejidad de las operaciones. en buena medida. de formarse una idea de su severidad y frecuencia. medido y asignado a un nivel de prioridad. la cuantía de los activos. los resultados de auditoría previa y otros. el presupuesto no se administre bien e impida alcanzar los objetivos y las metas. y esto es muy importante. Sin embargo. del enfoque global ²o macro² que de los riesgos se llegare a hacer. minimización o transferencia. Un ejemplo simple se puede desarrollar al considerar. en general. 8 . dentro del proceso de identificación de los riesgos de una organización. de tablas normativas o de comparaciones ²ranking². aquellos relacionados con los siguientes factores:  Riesgo de política corporativa: es el riesgo de que el diseño de la política sea deficiente y que no coincida con los objetivos y con la realidad del entorno. Riesgo presupuestario: es el riesgo de no asociar correctamente los objetivos.

Esto implica tres pasos clave:  Valorar los riesgos de declaración equivocada material contenida en los estados financieros. reducirlos o aceptarlos. así como los costes y beneficios. compartir y aceptar el riesgo. 8 . Seguridad razonable El auditor no puede dar seguridad absoluta debido a las limitaciones inherentes del trabajo llevado a cabo. La dirección identifica cualquier oportunidad que pueda existir y asume una perspectiva de la cartera de riesgos. Las respuestas pueden ser las de evitar. EVALUACION DE LA UNIDAD OBJETO DE ESTUDIO A TRAVES DE LA AUDITORIA EXTERNA CON UN ENFOQUE BASADO EN RIESGOS En la auditoría basada en riesgos el objetivo del auditor es obtener seguridad razonable de que en los estados financieros no existan declaraciones equivocadas materiales causadas por fraude o error. GRUPO No. y  Emitir un reporte de auditoría redactado adecuadamente. los juicios humanos que se requieren. y la naturaleza de la evidencia examinada. la dirección determina como responder a ellos. una vez que los factores de riesgo y su clasificación por importancia han sido determinados.19 - . determinando si el riesgo residual global concuerda con el riesgo aceptado por la entidad"."Una vez evaluados los riesgos relevantes. La conjunción de las tres dimensiones definen la gestión de los riesgos y la estrategia para su auditoría. la frecuencia con la que ocurre y la vulnerabilidad de la empresa ante el riesgo. compartirlos. la dirección evalúa su efecto sobre la probabilidad e impacto del riesgo. y selecciona aquella que situé el riesgo residual dentro de las tolerancias al riesgo establecidas. La siguiente muestra resalta algunas de las limitaciones de la auditoría.  Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de declaraciones materiales contenidas en los estados financieros. Para ello debe tener claras las tres dimensiones del riesgo: la severidad con la que se presenta. la auditoría interna puede enfocarse en aquellos procesos que individualmente representan las mayores amenazas para la institución. reducir. basado en los hallazgos de auditoría.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Respuesta al riesgo Es la manera en que se va a contrarrestar los riesgos ya sea evitarlos. Una vez que el modelo global de auditoría ha sido definido. Al considerar su respuesta.

siempre hay la posibilidad de que no será descubierto. Riesgo de que alguna información importante no se conozca. 8 . el auditor tiene que: GRUPO No.20 - . y  Obtener conclusiones con base en la evidencia y las representaciones de la administración. más que conclusiva Para llegar a conclusiones absolutas sobre aserciones especificas tales como lo estimados hechos a valor razonable. Aún los controles mejor diseñados y más efectivos pueden ser eludidos o negados por la administración o por colusión entre los empleados.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Limitaciones Uso de pruebas Razones Cualquier muestra menor que el 100% de la población introduce algún riesgo de que la declaración equivocada no sea detectada.  El riesgo de que el auditor no detectará tal declaración equivocada (riesgo de detección o del contrato). El riesgo de auditoría contiene dos elementos clave: El riesgo de que los estados financieros contengan una declaración equivocada material (riesgo inherente y de control).  Para reducir el riesgo de auditoría a un riesgo bajo aceptable. no se obtenga o le haya sido ocultada al auditor. Se requiere juicio profesional para: Identificar y tratar de manera apropiada los factores de riesgo. Dado que el fraude está diseñado para no ser descubierto.  Limitaciones del control interno Fraude que permanece sin ser detectado Naturaleza de la evidencia de auditoría disponible Disponibilidad de la evidencia de auditoría Confianza en los hechos por el auditor Dificultad para asegurar la completitud Riesgo de auditoría El auditor debe planear y ejecutar la auditoría para reducir el riesgo de auditoría a un nivel bajo aceptable que sea consistente con el objetivo de la auditoría.  Valorar los estimados hechos por la administración. La mayoría de la evidencia de auditoría tiende a ser de carácter persuasiva.  Decidir qué evidencia obtener.

21 - . El segundo se relaciona con los riesgos identificables con aserciones específicas a nivel de clase de transacciones. A continuación alguna de las aserciones que se presentan en ISA 500:     ‡ C = Completitud (totalidad). que incluye inicio. o revelación. moderado o bajo) para cada aserción individual (C. y ‡ V = Valuación De los auditores se requiere que valoren los riesgos de declaración equivocada material en dos niveles. y V en el diagrama que se presenta abajo) que se esté tratando. 8 . Esto también se puede lograr mediante la aplicación de procedimientos que respondan a los riesgos valorados en los niveles de estado financiero. se debe hacer la valoración del riesgo (como alto. E. ‡ E = Existencia. A. ‡ A = Exactitud. Aserciones Se relacionan con el reconocimiento. la cual incluye ocurrencia. medición. presentación y revelación de los diversos elementos (cantidades y revelaciones) contenidos en los estados financieros. La diferencia entre el riesgo valorado a nivel de estado financiero en general y a nivel de aserción se ilustra abajo (solamente de manera parcial). saldos de cuenta.  GRUPO No. que se refiere a los riesgos de declaración equivocada material que se relacionan de manera generalizada con los estados financieros como un todo y que potencialmente afectan muchas aserciones. clasificación y derechos y obligaciones. y Limitar el riesgo de detección. clase de transacciones y revelación.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS   Valorar el riesgo de declaración equivocada material. Esto significa que para cada saldo de cuenta.  El primero es el nivel del estado financiero en general. clases de transacciones. saldos de cuenta y aserción.

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Interrelaciones entre los componentes del riesgo de auditoría GRUPO No. 8 .22 - .

23 - .AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Notas: El término "controles a nivel de entidad" incorpora muchos elementos de los componentes del control interno ambiente de control. El auditor debe planear y ejecutar la auditoría con una actitud de escepticismo profesional. valoración del riesgo y monitoreo. GRUPO No.  Muchos riesgos de negocio también pueden ser riesgos de fraude.  Auditoría de acuerdo con los Estándares Internacionales de Auditoría. el proceso de auditoría se presenta en tres fases diferentes:  Valoración del riesgo. se sugiere que se mantengan listas separadas de los factores del riesgo de negocio y de fraude.  Respuesta al riesgo. y  Presentación de reportes. reconociendo que pueden existir circunstancias que causen que los estados financieros estén declarados equivocadamente en forma material. Abajo se destacan las diversas tareas que corresponden a cada una de esas fases. 8 . el auditor debe cumplir con cada uno de los Estándares Internacionales de Auditoría. Por ejemplo. un sistema de ventas pobremente controlado puede derivar en riesgos de declaración equivocada y también ofrecen la oportunidad de que ocurra el fraude. El auditor debe determinar si es aceptable la estructura de información financiera adoptada por la administración en la preparación de los estados financieros. Por esta razón. A través de esta Guía.

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Valoración del riesgo Notas: 1. GRUPO No. Planeación es un proceso continuo e interactivo a través de la auditoría 3. incluyendo el control interno. La fase de la auditoría denominada valoración del riesgo conlleva los siguientes pasos:    Aplicar procedimientos de aceptación o continuidad del cliente. Refiérase a ISA 230 para una lista más completa de la documentación que se requiere 2. Aplicar procedimientos de valoración del riesgo para entender el negocio e identificar los riesgos inherente y de control.24 - . Planear el contrato en general. esta fase probablemente requerirá tiempo del socio de auditoría y del personal principal de la auditoría para identificar y valorar los diversos tipos de riesgo y desarrollar entonces la respuesta de auditoría que sea apropiada. RDEM = riesgos de declaración equivocada material El Enfoque basado en Riesgos Las auditorías basadas en riesgo requieren que los profesionales en ejercicio entiendan la entidad y su entorno. Dado que las valoraciones del riesgo requieren considerable juicio profesional. El propósito es identificar y valorar los riesgos de declaración equivocada material de los estados financieros. 8 .

El equipo de auditoría1 se debe reunir o hablar regularmente para compartir sus luces. cualesquiera debilidades materiales en el diseño e implementación del control interno. identificar cualesquiera indicadores de fraude y determinar la necesidad (si la hay) de aplicar cualesquier procedimientos de auditoría adicionales. El tiempo que conlleva aplicar los procedimientos de valoración del riesgo a menudo puede ser compensado por la reducción. o aún por la eliminación. El conocimiento y las luces que se ganan también se pueden usar para hacerle a la administración de la entidad comentarios y recomendaciones prácticos sobre cómo minimizar o reducir el riesgo. y  Reuniones del equipo (durante o al final del trabajo de campo) para discutir las implicaciones de los hallazgos de auditoría. 8 .25 - . Valorar los riesgos de declaración equivocada material contenida en los estados financieros. Identificar cualesquiera riesgos significantes que requieran especial consideración de auditoría y esos riesgos para los cuales los solos procedimientos sustantivos no son suficientes. Partes de la fase de auditoría denominada valoración del riesgo a menudo se llevan a cabo antes de final del año.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS      Identificar los procedimientos de control interno relevantes y valorar su diseño e implementación (esos controles prevendrían que ocurran las declaraciones equivocadas materiales o detectarían y corregirían las declaraciones equivocadas (Luego que hayan ocurrido). Un proceso efectivo de valoración del riesgo requiere que todos los miembros del equipo del contrato participen y se comuniquen efectivamente. a la administración y a quienes tienen a cargo el gobierno. hacer lluvias de ideas sobre cómo podría ocurrir el fraude. Esto se puede lograr mediante:  Planeación de las reuniones del equipo para discutir la estrategia general de auditoría y detallar el plan de auditoría. y Hacer una valoración informada de los riesgos de declaración equivocada material a nivel de estado financiero y a nivel de aserción. y diseñar procedimientos de auditoría que puedan detectar si tal fraude de hecho ocurrió. Comunicar. GRUPO No. del trabajo de auditoría en las áreas de riesgo bajo.

y  Procedimientos sustantivos tales como pruebas de los detalles y procedimientos analíticos.  La necesidad de incorporar un elemento de impredecibilidad en los procedimientos aplicados. Algunos de los asuntos que el auditor debe considerar cuando planea los procedimientos de auditoría incluyen:  Aserciones que no pueden ser tratadas únicamente con procedimientos sustantivos.  Existencia de control interno que. Los procedimientos de auditoría diseñados para cubrir los riesgos valorados podrían incluir una mezcla de:  Pruebas de la efectividad operacional del control interno. Esto puede ocurrir cuando haya procesamiento altamente automatizado de las transacciones con poca o ninguna intervención manual. 8 .  La necesidad de aplicar procedimientos específicos para tratar los "riesgos significantes" que han sido identificados.  El potencial de procedimientos analíticos sustantivos que reducirían la necesidad/alcance de otros tipos de procedimientos. GRUPO No. podría reducir la necesidad/alcance de otros procedimientos sustantivos.  La necesidad de aplicar procedimientos de auditoría adicionales para tratar el potencial de que la administración eluda los controles u otros escenarios de fraude.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS La segunda fase de la auditoría es diseñar y aplicar procedimientos de auditoría adicionales que respondan a los riesgos valorados de declaración equivocada y que aportarán la evidencia necesaria para respaldar la opinión de auditoría. si se prueba.26 - .

   GRUPO No.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Presentación de reportes La fase final de la auditoría es valorar la evidencia de auditoría obtenida y determinar si es suficiente y apropiada para reducir a un nivel bajo los riesgos de declaración equivocada material contenida en los estados financieros. ISA 200 establece: El auditor no debe representar el cumplimiento con los Estándares Internacionales de Auditoría a menos que el auditor haya cumplido plenamente con todos los Estándares Internacionales de Auditoría que sean relevantes para la auditoría. y Si se han encontrado cualesquiera circunstancias sospechosas. Cualesquiera riesgos adicionales deben ser valorados de manera apropiada y aplicar procedimientos de auditoría adicionales cuando se requiera. En esta etapa es importante tomarse tiempo para determinar: Si ha habido cambio en el nivel valorado del riesgo. Si son apropiadas las conclusiones alcanzadas a partir del trabajo realizado. 8 . y  La opinión de auditoría debe ser formada y tomada la decisión respecto de la redacción apropiada para el reporte del auditor. Cuando se han aplicado todos los procedimientos y se han alcanzado las Conclusiones:  Los hallazgos de auditoría deben ser reportados a la administración y a quienes están a cargo del gobierno.27 - .

pueden ser significativamente reducidas o aún eliminadas las pruebas de los detalles que solamente tratan los riesgos en términos generales. Algunos de los beneficios de este enfoque se resumen como sigue: Flexibilidad del tiempo para el trabajo de auditoría Los procedimientos de valoración del riesgo a menudo pueden ser aplicados tempranamente en el período fiscal de la entidad que como lo fue posible antes. asumiendo que no se anticipan cambios operacionales. Políticas de reconocimiento de ingresos. También puede darle al cliente para que responda a las debilidades identificadas (y comunicadas) en el control interno y a otras solicitudes de ayuda antes que comience el trabajo de campo de final del año. y Revelaciones faltantes/incompletas Áreas de vulnerabilidad donde podría ocurrir que la administración eluda los controles y manipule los estados financieros. Esto también ayudará a asegurar que los recursos del personal de auditoría sean usados de manera efectiva. GRUPO No. Activos no-registrados. el auditor puede dirigir el esfuerzo del equipo de auditoría hacia las áreas de mayor riesgo y alejarse de las áreas de más bajo riesgo. 8 .AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Resumen La auditoría basada-en-riesgos requiere que el auditor entienda primero la entidad y luego identifique/valore los riesgos de declaración equivocada material contenida en los estados financieros. Las pruebas de los controles (para los controles que pueden requerir que se les pruebe solo cada tres años) a menudo resultarán en que se requiera mucho menos trabajo que al aplicar pruebas extensivas de los detalles. y Estimados de la administración Otras debilidades de control que si no se corrigen podrían conducir a declaraciones equivocadas materiales contenidas en los estados financieros. Procedimientos de auditoría focalizados en riesgos específicos Los procedimientos de auditoría adicionales se diseñan para responder a los riesgos valorados. activos tales como efectivo/inventario que pueden haber sido usados en forma indebida. Esto le permite a los auditores identificar y responder a:          Posibles saldos de cuentas. Los ejemplos podrían incluir: Preparación de entradas al libro diario. éstas pueden ser realizadas muy bien al final del año. Ejemplos pueden incluir: Pasivos sobre-estimados. Dado que los procedimientos de valoración del riesgo no conllevan la prueba detallada de las transacciones y de los saldos. declaradas de manera inexacta o que falten por completo en los estados financieros. clases de transacciones o revelaciones del estado financiero que puedan ser incompletas.28 - . El requerido entendimiento del control interno le permite al auditor tomar decisiones informadas respecto de si probar la efectividad de la operación del control interno. En consecuencia. Esto puede ayudar a balancear el flujo del trabajo del personal durante el año. El esfuerzo del equipo de auditoría se focaliza en las áreas clave Mediante el entendimiento de dónde pueden ocurrir los riesgos de declaración equivocada material contenida en los estados financieros.

8 . mostrando el total interés que la empresa tiene para minimizar la debilidad y fortalecer mayor control sobre los posibles riesgos existentes Es notable resaltar que la mayoría de los riesgos se derivan del mal empleo del control interno ejercido sobre cualquier tipo de empresa. sin embargo la empresa que se puede estar estudiando le puede brindar toda la posibilidad para poder erradicar el posible impacto que pueda tener sobre la misma. Según los análisis estadísticos ejercidos en diferentes épocas señalan que el riesgo puede ser combatible siempre y cuando se ejerzan acciones que subsanen todas las debilidades de control interno. derivado de las debilidades que puedan existir por no cumplir con la normativa interna como externa del control interno. Mejorada documentación de la auditoría Los ISAS dan bastante énfasis a la necesidad de documentar cuidadosamente cada etapa del proceso de auditoría. o cómo se alcanzaron las conclusiones de auditoría. La comunicación oportuna de esas debilidades a la administración le permitirá a la administración tomar acción apropiada. Si bien esto puede inicialmente agregar algún costo adicional.29 - . También. la cual es para su beneficio. CONCLUCIONES Después del análisis del trabajo realizado se puede observar en líneas generales que el riesgo en cualquier grado siempre es latente.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Comunicación de asuntos de interés para la administración El entendimiento mejorado del control interno puede permitirle al auditor identificar debilidades en el control interno (tales como en el ambiente de control y en los controles generales de TI) que no fueron reconocidas previamente. por qué se hizo. esto aunque la empresa revise constantemente los niveles de control interno. Dentro de los aspectos evaluados solo dos temas tienen un cierto grado de madurez para mitigar cualquier tipo de riesgos que puedan presentarse en las diferentes evaluaciones al GRUPO No. la documentación cuidadosa asegurará que el archivo de auditoría pueda mantenerse por sí mismo sin necesidad de ninguna explicación oral de lo que se hizo. tal como lo es el riesgo alto. esto puede a su vez ahorrar tiempo en la ejecución de la auditoría. Las estadísticas generalizadas también muestran una tendencia a calificar un determinado riesgo en calificación de impacto.

2. 7. de operación y de cumplimiento con leyes y normatividades. y 3. Existen procedimientos de control interno que producen evidencia documental. 5. 8 .AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS control interno de cada dependencia. y a continuación se detallan las dos propuestas con el fin de contrarrestar el riesgo medio y alto en cualquier grado de dificultad  Plan de acción: Remediación (propuestas)  Plan de acción : Con tratamiento ( propuestas) RECOMENDACIONES Como nos podemos dar cuenta en el trabajo desarrollado nos da varios pasos y claves para poder desarrollar eficazmente nuestra profesión en el tema la Auditoria con un enfoque basado en riegos. 4. Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de declaraciones materiales contenidas en los estados financieros. Elaborar y llevar a cabo un control interno adecuado para determinar las áreas de mayor riesgo en la empresa y así evitar contingencias que afecten a la misma. Hacer pruebas de cumplimiento que esto nos ayuda a la comprobación de que uno o más procedimientos de control interno estuvieron operando con efectividad durante el periodo auditado. Valorar los riesgos de declaración equivocada material contenida en los estados financieros.30 - . la cual puede examinarse en GRUPO No. Dar un apoyo adecuado a la organización e identificar sus riegos financieros. Recordar que la naturaleza y oportunidad de aplicación de las pruebas de cumplimiento están relacionadas entre sí. 6. 8. Emitir un reporte de auditoría redactado adecuadamente. basado en los hallazgos de auditoría. Hacer supervisiones y monitoreos constantemente. especialmente a las áreas con mayor riesgo. por lo que les hacemos las siguientes recomendaciones: 1.

shtml http://web. si las pruebas de cumplimiento demuestran que determinados controles no están. mayo 2007.com           Gestiopolis.monografias. el cumplimiento sólo puede determinarse mediante observación visual directa en el momento en que esos procedimientos son ejecutados por el personal de la entidad. Suly Araceli Martínez Hernández (CPA) Guatemala. 2005 www. 25 Junio 2010 ANEXO 1 GRUPO No. Apuntes de Auditoría IV. Lo anterior permite ajustar eficientemente el alcance de las pruebas sustantivas.com Material de Apoyo: Presentación y Análisis de Riesgos (PriceWaterHouse 2009) Dirección Corporativa de Riesgos del Banco Nacional de Costa Rica. Esperanza. BIBLIOGRAFIA  Monografias.31 - . Tesis 2955 USAC: Auditoria de Estados Financieros con Enfoque basado en riesgos.ifac. A. Material de Apoyo. En cambio. Edita: Instituto Mexicano de Contadores Públicos. Tomar en cuenta como regla general que las pruebas de cumplimiento deben concluirse antes de iniciar las pruebas sustantivas. 9.F. NORMAS Y PROCEDIMIENTOS DE AUDITORIA Y NORMAS Y NORMAS PARA ATESTIGUAR. México. de hecho operando o lo están haciendo en forma deficiente. D. en estos casos.com/trabajos39/riesgos-en-auditoria/riesgos-enauditoria2. otros procedimientos no dejan evidencia documental.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS cualquier momento.cemla.C.org/download/AuditorAsa_Financiera_de_PYMES Metodología de Auditoría de KPMG (KPMG Audit Methodogy KAM) ROLDAN DE MORALES. 8 . Vigésima sexta Edición.org/pdf http://www.

32 - .AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS GRUPO No. 8 .

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS ANEXO 2 ANEXO 3 GRUPO No.33 - . 8 .

socios.AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Algunos Tipos de Riesgos Riesgo genérico Riesgos de propiedad Terrorismo Riesgo específico Edificios Equipos Área afectada Fenómenos naturales Fuego Riesgos de activos monetarios Robos y fraudes Asaltos Negligencia Riesgos humanos Salud y seguridad de los empleados Leyes laborales Riesgos comerciales Contratos mal especificados Propiedad intelectual Riesgos de mercado Riesgo de reputación Riesgos de información Seguridad física Sistemas de información Procedimientos de acceso Caídas de sistemas Confidencialidad Aspectos técnicos Riesgos legales Leyes de competitividad Protección de información Leyes tributarias Procedimientos publicitarios Leyes económicas Riesgos políticos Poderes generales Libertad comercial Derechos de propiedad Automóviles Tesorerías Agencias y sucursales Todos los funcionarios Contratos con clientes. proveedores. 8 .34 - . Áreas de comunicaciones Mercados financieros Documentación Archivos de información Áreas comerciales Áreas financieras Áreas comerciales Áreas financieras GRUPO No.

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS Riesgos operativos Ineficiencia de operaciones Información inexacta Procesos inadecuados e in-eficientes Uso inapropiado e ineficien-te de los recursos Todas las áreas ANEXO 4 EVALUACION DEL RIESGO DE AUDITORIA GRUPO No. 8 .35 - .

AUDITORÍA CON UN ENFOQUE BASADO EN RIESGOS NIVEL DE RIESGO MINIMO SIGNIFICATIVIDAD FACTORES DE RIESGO PROBABILIDAD DE OCURRENCIA REMOTA NO SIGNIFICATIVO NO EXISTEN BAJO SIGNIFICATIVO EXISTEN ALGUNOS PERO POCO IMPROTENTE IMPROBABLE MEDIO MUY SIGNIFICATIVO EXITEN ALGUNOS POSIBLE ALTO MUY SIGNIFICATIVO EXISTEN VARIOS Y SON IMPORTANTES PROBABLE GRUPO No.36 - . 8 .

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->