EVALUACIÓN DE RIESGOS

En una auditoría de estados financieros realizada de acuerdo con Normas de Auditoría Generalmente
Aceptadas, debe incorporarse una evaluación de la efectividad de los controles internos para mitigar
los riesgos, ello tendiente a conocer el nivel de exposición que la gerencia o la alta administración de
una entidad están dispuestas a aceptar.

Con el propósito de relacionar riesgos y controles es necesario realizar un levantamiento de los

riesgos, proceder a su ponderación, y establecer sus potenciales efectos y relación con los estados
financieros que se auditan.

Desde hace algunos años, cada día más empresas realizan la evaluación de riesgos del negocio como
una actividad regular, como parte integral de su proceso de planeamiento del negocio. Ello con el fin
de asegurar el éxito de la gestión, para poder mantener niveles de riesgo adecuados y conocidos por
la gerencia. En este orden de ideas, un papel relevante juega la función de auditoría interna, pues ella
debe ser un actor importante en el proceso de levantamiento y ponderación de los riesgos, ya que
contribuye positivamente al desarrollo del negocio y a la calidad de la gestión.

Para el auditor externo, conocer la planeación de la auditoría interna es uno de los elementos de
control importante a considerar, pues ella debe tener una relación directa con las áreas de riesgo de la
organización.

A continuación, se describe una estructura para realizar el levantamiento de riesgo y los criterios para
efectuar su ponderación.

Análisis de los Riesgos

El proceso utilizado para analizar los riesgos consiste en:

 Identificar los procesos del negocio

 Establecer tipología de los riesgos (modelamiento)
 Identificar los riesgos
 Cuantificar la importancia de los riesgos
- Estimar su probabilidad de ocurrencia
- Medir su impacto
 Hacer ranking de riesgos
 Asociar riesgos con áreas o procesos del negocio
 Asociar riesgos con ciclos o cuentas contables

Dado que, para la función de auditoría de estados financieros, el propósito no es administrar los
riesgos, sino que determinar los procesos del negocio o funciones que generan mayor riesgo y
consecuentemente con mayor interés desde el punto de vista de auditoría. Para esto, será necesario
combinar este proceso de análisis de riesgos, ponderándolo con otros factores que nos ayudarán a
determinar niveles de interés desde el punto de vista de auditoría.
Un enfoque de exposición a riesgos para la realización de una auditoría de estados financieros es
importante, dado que permitirá orientar las pruebas de auditoría.

1
El auditor externo debe considerar que, dadas las circunstancias actuales, las buenas prácticas de
gestión de empresas, que están orientadas a que el proceso de toma de decisiones se realice en forma
consciente de la exposición al riesgo, esto es, aplicar el criterio y el debido cuidado después de haber
realizado y documentado el proceso de analizar y evaluar los riesgos.

Por lo tanto, en la planificación del trabajo de auditoría, también se debe tener presente los niveles de
exposición al riesgo de la empresa auditada.

Evaluación de los riesgos

Para proceder a la identificación de los riesgos específicos de cada entidad, es recomendable sujetar
dicho proceso a un modelamiento. Ello facilitará la identificación de los riesgos, contribuyendo a que
no queden riesgos que no fueron considerados.

Para contribuir al proceso de modelamiento, se presenta el siguiente “Modelo de Análisis de

Riesgos”.

MODELO DE ANÁLISIS DE RIESGOS

Riesgo del Riesgo Riesgo Riesgo de

Riesgo País Negocio Operativo Financiero Gestión

- Entorno político - Riesgo de imagen - Riesgo de producción - De crédito - De organización

- De abastecimiento
- De eficiencia
- De gestión de
recursos humanos

- Entorno legal y - Competencia - Riesgos laborales - Financiamiento - De dirección

regulaciones - De negociación - Incumplir planes y
- De accidentes presupuestos
- Incumplir leyes y
reglamento
- Incumplir normas
internas
- De contingencias

- Equilibrios - Riesgo de mercado - De funcionamiento - De gestión de flujo - Tecnológico

macroeconómicos - Fallas o - Dependencia
desperfectos tecnológica
- De falta de - De los sistemas de
energía información
- Siniestros

- Riesgo de producto - Sanciones o - De robo, fraude - De acceso indebido

prohibiciones acción no deseada

- De información
- Calidad
- Privacidad

2
Categoría: Consiste en definir una base de categorías estándar para todos los trabajos de auditoría, y
que estén relacionados con el giro de negocio de la Compañía.

 Riesgo país
 Riesgo del negocio
 Riesgos operativos
 Riesgo Financiero
 Riesgo de Gestión

Riesgo País: Riesgo relativo al país donde está localizada la empresa.

 Entorno político: Incluye todas aquellas variables que influyen en el mantenimiento del orden
establecido y por lo tanto, incluye los riesgos de que sea afectado el entorno social y económico
que pueden colocar en peligro la paz social, la estabilidad política, y el normal desenvolvimiento
de la actividad económica, especialmente aquella área en la que participa la Compañía.
 Entorno legal y de regulaciones: Riesgo de las normas jurídicas vigentes en el país que afectan
a la Compañía, sufran modificaciones que pongan en peligro el normal desenvolvimiento de las
operaciones de la Compañía (tarifarias, tributarias, laborales, aduaneras, ambientales, etc.).
 Equilibrios macroeconómicos: Riesgo de que el comportamiento de las variables
macroeconómicas sea negativo y que pongan en peligro los equilibrios que posibilitan la
estabilidad económica y su desarrollo. Se incluyen aquí los riesgos que puedan provenir
de cambios en las políticas monetarias, cambiarias y de financiamiento fiscal.

Riesgo del Negocio: Son los riesgos que la Compañía debe siempre enfrentar, pues son derivados de
la naturaleza del negocio que desarrolla. Estos riesgos provienen tanto de fuentes externas como
internas.

 Riesgo de imagen: El éxito del negocio tiene generalmente su fundamento en la imagen de la

Compañía, por lo que existen situaciones que derivadas de la acción o no acción de los ejecutivos
generan un deterioro de la imagen de la Compañía que afecte el desarrollo del negocio.
 Comportamiento de la competencia: Riesgo de que las empresas que conforman la
competencia puedan ejercer acciones que dificulten el desarrollo del negocio, inhiban la
expansión de la empresa o afecten sus productos.
 Riesgo de mercado: Está dado por el riesgo de que el mercado tenga un comportamiento
distinto al esperado y que pueda tener efectos negativos en la marcha del negocio.
 Riesgo de producto: Se incluyen aquí todas las situaciones que por deficiencias del
producto o servicio se pueda afectar la satisfacción del cliente, la oportunidad de entrega,
u otra situación que afecte al cliente.

3
Riesgos Operativos: Se incluyen en esta categoría de riesgos aquellos derivados del incumplimiento
de políticas, directrices y normas internas, de acuerdos contractuales, de leyes y regulaciones de
organismos fiscalizadores. También se incluyen los errores y las omisiones en las operaciones, que
afecten el normal funcionamiento de los procesos.

 Riesgos de producción: Es el riesgo de que, por problemas operativos internos, sea del personal,
del uso de la tecnología o de los canales de comunicaciones, se vea afectada la calidad del
producto o servicio. Por lo que estos riesgos se derivan de los procesos internos, tanto productivos
como administrativos.
o De abastecimiento: Los riesgos que nacen desde la compra hasta la recepción y
almacenamiento de las materias primas.
o De eficiencia: Los riesgos derivados de la forma como se ejecutan los procesos
pueden afectar negativamente los índices de eficiencia.
o De gestión de recursos humanos: Incluyen aquellos riesgos derivados del
planeamiento de reemplazos, en la selección del personal, en la capacitación,
en los estímulos o ascensos o, en la corrección de los registros sobre el
personal de la Compañía.

 Riesgos laborales: Dicen relación con los riesgos que nacen de la relación entre empresa y
trabajadores.
o De negociación: Riesgos que e m a n a n de la negociación de los trabajadores
organizados y la empresa, sea por remuneraciones, condiciones de trabajo u otras.
o De accidentes: Aquellos riesgos que pueden afectar a los trabajadores y que nacen
de la operación del negocio.

 Riesgo de funcionamiento: Incluye los riesgos que se generan en los procesos internos,
productivos y/o administrativos, que pueden afectar el normal desenvolvimiento del
negocio

o Riesgo de falla o desperfecto: Todo proceso incluye mecanismos que pueden sufrir
fallas o desperfectos, los que entorpecen la producción y pueden generar hasta la
paralización de labores normales.
o Riesgo de falta de energía: El abastecimiento de energía debe ser continuo para
el normal desenvolvimiento del negocio. La energía puede provenir de
combustibles como la electricidad, el gas, un derivado del petróleo, la leña, el
carbón u otro, que atienden diversos procesos.
o Riesgo de siniestro: La ocurrencia de un siniestro es generalmente impredecible,
por lo que es conveniente prevenir su ocurrencia. Un siniestro puede provenir del
comportamiento de la naturaleza como del comportamiento de las personas, tanto
individual como colectivamente.
o Riesgo sanción o prohibición: La autoridad puede decretar la prohibición de
funcionamiento por una sanción por incumplimiento de normas o bien porque
existen ciertas situaciones de mayor valor social que pueden verse afectadas.

4
Riesgo financiero: Está constituido por todas aquellas acciones y decisiones sobre le manejo de las
finanzas, lo que incluye el riesgo de que lo presupuestado y los objetivos financieros previstos no se
cumplan hasta el riesgo de no poder dar cumplimiento a las obligaciones financieras adquiridas.

 Riesgo de crédito: Es el riesgo que asume toda compañía al realizar una venta y otorgar un
crédito para su pago, o bien al conceder préstamos, incluye el riesgo de no obtener su pago
en la oportunidad convenida, hasta el riesgo de incobrabilidad.
 Riesgo de financiamiento: Todo negocio o proyecto necesita de financiamiento, por lo tanto,
siempre existe un riesgo de no poder obtener financiamiento para ello. El financiamiento
puede provenir de los propietarios, terceros o del flujo de los negocios.
 Riesgo de decisiones sobre gestión de flujos: Las decisiones financieras pueden ser
acertadas o equívocas. Estas últimas conllevan riesgos de poder afectar el normal
funcionamiento de una Compañía. Por lo tanto, la liquidez del negocio y la calidad técnica
de los responsables, influye en la identificación de estos riesgos financieros.
 Riesgo de robo, fraude u otra acción no deseada: La administración de activos está afecta
a riesgos de robo, fraude o uso indebido. A mayor liquidez de estos activos mayor es este
riesgo.

Riesgos de gestión: Son los riesgos que derivados de decisiones de gestión pueden afectar el negocio,
con impacto en el cumplimiento de objetivos, en los resultados, o importantes desviaciones de lo
planificado.

 Riesgo de organización: Riesgo de que la estructura de las funciones, de los procesos del
negocio y de la distribución geográfica pueda afectar los objetivos estratégicos e incluso, el
desarrollo de los negocios.
 Riesgo de dirección: Está compuesto por todos aquellos riesgos derivados de decisiones de
las autoridades corporativas, las cuales deben compatibilizar objetivos estratégicos,
condiciones del mercado y capacidades disponibles.
o Riesgo de no cumplir planes y presupuestos: Incluye los factores que pueden afectar
al proceso de planificación. Se deben incluir también, aquellos factores no considerados
en otra categoría de riesgo que puedan afectar el cumplimiento de los planes y
presupuestos de la Compañía.
o Riesgo de no cumplir leyes y reglamentos: El no cumplir las leyes tributarias, laborales,
tarifarias (en el caso en que la tarifa es regulada por la autoridad gubernamental),
ambientales o de otro tipo, puede exponer a la Compañía a riesgos que pueden ser fatales.
o Riesgo de no cumplir normas internas: Es el riesgo de que el personal de la Compañía
no cumpla con la normativa interna (de funciones, de procedimientos, de higiene y
seguridad, de comportamiento, de conducta, etc.) o que personal externo, no dé
cumplimiento a las normas establecidas por la Compañía para este personal.
o Riesgo de contingencia: Es el riesgo de que suceda un hecho no esperado y que ponga
en peligro el normal funcionamiento de las instalaciones y, por lo tanto, afecte el servicio
prestado o la calidad del mismo.

5
 Riesgo tecnológico: La utilización de la tecnología sea como factor de competencia, como
herramienta facilitadora o como instrumento de imagen, conlleva riesgos, sea porque su
utilización involucra importantes niveles de inversión o porque la tecnología como invento
del hombre puede fallar.
o Riesgo de dependencia de TI: Existen actividades empresariales cuyos sistemas,
procesos o mecanismos de control que tienen incorporados altos grados de tecnología,
por lo tanto, los riesgos de que la tecnología no funcione adecuadamente puede incluso
poner en peligro la propia existencia de la Compañía.
o Riesgo de accesos indebidos: Todo sistema, proceso o base de datos, puede verse
afectada porque hubo “intrusos” que física o virtualmente accesaron a los
sistemas, a los procesos o las bases de datos.

 Riesgo de información: Incluye los riesgos de disponer de información no fidedigna, sea de

producción propia u obtenida de fuentes externa. Las primeras afectan la credibilidad de la
Compañía, y las segundas, afectan el proceso de toma de decisiones.
o Riesgo de calidad de la información: Dice relación con la exactitud y la oportunidad
en que está disponible la información.
o Riesgo de privacidad de la información: Toda Compañía asume riesgos por cuidar y
mantener la privacidad de la información, especialmente aquella que puede tener el
carácter de privilegiada, porque puede ser objeto de uso indebido.

6
PROBABILIDAD DE OCURRENCIA

La frecuencia del riesgo es determinada tomando en cuenta los riesgos inherentes y el ambiente de
control global que rodea cada proceso. Para esto se debe tomar en consideración lo siguiente:

 La naturaleza y magnitud de automatización

 El número y experiencia del personal involucrado
 El grado de cambio en el proceso comercial / los sistemas subyacentes
 Nivel de juicio involucrado
 La claridad de la documentación procesada que está disponible

Casi certeza: 5 Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene plena
seguridad que éste se presente, tiende al 100%.

Probable: 4 Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre un 71% a 89%
de seguridad que éste se presente.

Moderado: 3 Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre un 51% a
70% de seguridad que éste se presente.

Improbable: 2 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre un 26% a
50% de seguridad que éste se presente.

Muy Improbable: 1 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre un
1% a 25% de seguridad que éste se presente.

7
MATERIALIDAD DE LAS CONSECUENCIAS

La gravedad de un riesgo es determinada tomando en cuenta factores tales como: el volumen y

estimación del flujo de transacciones, el impacto financiero, el efecto de la reputación de la
organización o el impacto en la satisfacción del cliente.

La gravedad puede ser evaluada como de consecuencias: Extremas, Mayores, Moderadas, Bajas, o
Insignificantes.

Por esto es mejor involucrar a la dirección en la formulación de definiciones para cada una de estas
evaluaciones, a fin de evitar confusiones al tasar cada riesgo.

Extremas: 5 Riesgo cuya materialización influye directamente en el valor del negocio, inhibiría el
negocio o dejaría de funcionar totalmente o por un período razonable de tiempo.

Mayores: 4 Riesgo cuyo efecto es de reconocida importancia y se dañaría seriamente el negocio o el

logro de sus objetivos comerciales se dañaría significativamente.

Moderadas: 3 Riesgo cuya materialización causaría una pérdida significativa o una perturbación
financiera. Además, se requeriría una cantidad importante de tiempo de la alta dirección en investigar
y corregir los daños.

Bajas: 2 Riesgo que causa un daño en los negocios que se puede corregir en el corto tiempo y que no
afecta el cumplimiento de los objetivos de la Compañía, ni su plan de largo plazo.

Insignificantes: 1 Riesgo que puede tener un pequeño o nulo efecto en el negocio.

MATRIZ DE RIESGOS

Impacto
(materialidad de
las consecuencias)

5 X X X
4 X X X
3 X X X
2
1
1 2 3 4 5
Probabilidad de ocurrencia

Los riesgos que nos interesan, desde un punto de vista de una auditoría de estados financieros, dicen
relación con aquellos en que su probabilidad de ocurrencia la hemos determinado como “moderada”,
“probable” o “casi certeza”, y cuya materialidad de sus consecuencias las hemos determinado como
“moderadas”, “mayores” o “extremas”, por cuanto esas combinaciones tendrían un impacto en el
negocio de la Compañía en un plazo de tiempo cercano.