EL MAPA DE RIESGOS DE AUDITORÍA

VI.1. Beneficios y riesgos en la empresa

Toda actividad desarrollada por la empresa debe permitir identificar claramente los
beneficios obtenidos por su ejecución y los riesgos asumidos en su logro.
Los beneficios se miden en términos de rentabilidad esperada de un negocio, de
productividad lograda en una operación o de posicionamiento de un producto en el mercado
Los riesgos son no sólo los propios de la actividad, sino también el capital en juego, los
efectos en la imagen de la compañía y el medio ambiente de la comunidad, y se miden en
términos de los costos que debemos asumir al tomar ese riesgo.
Ahora bien, la empresa se organiza realizando acciones tendientes a MAXIMIZAR los
beneficios y que también contemplen REDUCIR los riesgos, llevando estos últimos a un
umbral de Riesgo Residual Tolerable.
La combinación de beneficios perseguidos y riesgos asumidos se desarrollará en la
organización pudiendo ser los mismos controlables y auditables.
En este sentido, Auditoría Interna colabora con la Alta Dirección de la empresa, evaluando
la eficacia y la eficiencia de los procesos y el control interno existente. Se recomienda para
ello:
• Controles Preventivos: son acciones “PRE” (previas) que posibilitan, a través
de cambios oportunos, generar mejoras de procesos, ahorros potenciales de
costos, y evitan hechos de irregularidades.
• Controles Detectivos: son acciones “POST” (posteriores), las que, si bien no
han podido evitar un costo innecesario o una irregularidad que se ha concretado,
permiten en algunos casos obtener un recupero de costos, pero lo que ciertamente
posibilitan es la reiteración futura de estos hechos.
Cabe recordar que la eficacia de una acción refleja la obtención concreta de una meta u
objetivo, mientras que la eficiencia mide la obtención de ese objetivo o meta pero al mínimo
costo posible de los recursos utilizados.

VI.2. El informe COSO de control interno

Haciendo un breve resumen conceptual del Informe COSO de control interno, diremos que
tiene su origen en la Comisión Treadway de Estados Unidos y que un grupo de trabajo de
esta Comisión lo desarrolló durante 5 años, emitiendo su versión original en el año 1992.
Los objetivos principales del Informe COSO son: “Definir el marco conceptual del Control
Interno” y “Crear una herramienta eficaz para establecer pautas de buen gobierno
corporativo”.
VI.2.1. Definición de control interno de acuerdo con el Informe COSO
 “El control interno es un proceso efectuado por el Consejo de Administración, la Dirección
y todo el personal de una Entidad, diseñado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecución de 3 objetivos específicos que son:1. La
eficacia y eficiencia de las operaciones; 2.La fiabilidad de la información financiera y 3.El
cumplimiento de las leyes y normas que le son aplicables.”
“El control interno consta de 5 componentes de control relacionados entre sí: 1. El entorno
de control; 2. La evaluación de Riesgos; 3. Las actividades de control; 4.La información y
la comunicación y 5. El monitoreo o supervisión. Estos componentes son inherentes al estilo
de gestión de la Empresa y sirven para determinar si el sistema es eficaz en la obtención de
los objetivos.”
Ovservamos que uno de los componentes importantes es la Evaluación de Riesgos, que se
complementa íntegramente con los otros.
VI.2.2. La relación existente entre los objetivos y los componentes de control según el
Informe COSO
“Existe una relación directa entre los OBJETIVOS, que es lo que la entidad se esfuerza
por conseguir, y los COMPONENTES, que representan lo que se necesita para cumplir
dichos objetivos.”
De manera que en una matriz tridimensional se cruzan los objetivos, los componentes de
control y las distintas Unidades de Negocio y de Apoyo que tienen las empresas, con los que
se obtendrá el control interno.
En el año 2004 se emitió una versión actualizada del Informe COSO original, adicionando
un cuarto objetivo, el ESTRATÉGICO, a los anteriores y ampliando los componentes de
control en 3 más: ESTABLECIMIENTO DE OBJETIVOS; IDENTIFICACIÓN DE
RIESGOS y RESPUESTA AL RIESGO. Se logró así dotar al control interno de un mayor
enfoque direccionado a la Gestión de Riesgo.
Es decir que en la nueva versión quedan 4 objetivos y 8 componentes de control; de estos
últimos quedan 3 de ellos focalizados en la Gestión de Riesgos: la identificación de riesgos;
la evaluación de riesgos y la respuesta al riesgo.
Los riesgos se analizan evaluando su probabilidad de impacto y ocurrencia, y cómo podrán
afectar a los objetivos de la organización y de qué forma se podrá disminuir, mitigar, evitar
o aceptarlos.

VI.3. Los riesgos empresarios y su clasificación

El Mapa de Riesgos de una organización debe surgir de la evaluación del entorno, de los
procesos y de la información que maneja esa empresa.
De manera que los riesgos potenciales empresarios se categorizarán dentro de los
siguientes:
• Riesgos de entorno: tienen sus orígenes en factores externos a la organización,
derivados de cambios en los desarrollos tecnológicos de la competencia,
expectativas de variación del gusto del consumidor, modificaciones en la
legislación vigente, lo que genera inseguridad jurídica.
 • Riesgos de procesos: derivan de las propias operaciones del negocio y
corresponden a rupturas de las actividades que afectan la efectividad y
eficiencia, como así también la de los activos y recursos existentes.
• Riesgos de información: derivados de la información utilizada por la compañía,
que sirve tanto para el registro de las operaciones como para la toma de
decisiones de la empresa.

VI.4. El proceso de evaluación de riesgos en la empresa

Nuestra labor como auditores se debe focalizar en definir los procesos más relevantes de la
operatoria del negocio, complementándolo con la identificación de los riesgos asociados,
pasando desde los que afectan directamente el desarrollo de los negocios específicos hasta
los que corresponden a los procesos de Áreas Corporativas de Apoyo.
Auditoría Interna debe lograr posicionarse en un Mapa actualizado de los indicadores de
riesgo de la empresa, logrando una adecuada cobertura por excepción de estos factores de
riesgo.
Para lograr su objetivo, Auditoría Interna releva los procesos y las PNP (Políticas, Normas
y Procedimientos) vigentes; evalúa las situaciones de riesgo, que puedan afectarlos y define
los puntos de control reales y potenciales que debieran mitigarlos.
Se deberán identificar las Actividades de Control y los key controls (controles clave) que
nos permitan mitigar o disminuir los riesgos existentes buscando la mejora de los procesos
en la organización.
Con el Mapa de Riesgos actualizado, se podrá definir el Plan Anual de Auditorías y a partir
de éste se obtendrán los Programas de Trabajo de cada auditoría, en donde se especificarán
las pruebas operativas y transaccionales, que permitan detectar situaciones irregulares de
fraude o ineficiencias que afectan los intereses de la empresa.

EL PROCESO DE EVALUACIÓN DE RIESGOS EN UNA EMPRESA

 La función actual de Auditoría Interna pone énfasis en los riesgos del negocio; para ello es
necesario que los auditores reciban un entrenamiento sobre cómo operan las actividades
principales del negocio, así como las modificaciones, actualizaciones y nuevos negocios que
entran a formar parte de la organización.

VI.5. Alcance de los centros de negocios y procesos de apoyo a evaluar

A continuación exponemos un Ejemplo Práctico de los centros de negocios y los procesos
de apoyo, considerados en la definición del Mapa de Riesgos de una empresa de energía:
Procesos evaluados de negocios
• FÁBRICAS PROPIAS
• DEPÓSITOS DE MATERIAS PRIMAS
• DEPÓSITOS DE PRODUCTOS TERMINADOS
• PLANTAS DE DESPACHO
• FLETES Y LOGÍSTICA
• REDES DE DISTRIBUCIÓN DE PROPIAS Y DE TERCEROS
• MARKETING VENTAS DIRECTAS
• COMERCIO EXTERIOR
• OBRAS Y CONSTRUCCIONES
Procesos evaluados en áreas corporativas de apoyo
• RECURSOS HUMANOS
 • ADMINISTRACIÓN Y FINANZAS
• ASUNTOS JURÍDICOS
• ASUNTOS FISCALES E IMPOSITIVOS
• RELACIONES EXTERNAS
• COMPRAS Y CONTRATACIONES
• SERVICIOS GENERALES
• SISTEMAS ADMINISTRATIVOS Y TÉCNICOS

VI.6. Identificación de Riesgos por Procesos

La Identificación de Riesgos por Procesos es uno de los aspectos principales para lograr un
adecuado Mapa de Riesgos y en consecuencia lograr la correcta cobertura de los mismos a
través de Auditoría Interna.
A continuación exponemos ejemplos relevantes de riesgos detectados por procesos:
Procesos de producción
• Insuficiente adaptación de la capacidad de producción a las necesidades de
mercado.
• Contaminación ambiental por afectación de suelos, derrame de líquidos o
emanación de gases.
• Mermas de productos superiores a los estándares definidos.
• Aplicación de multas por incumplimiento de estándares de calidad del producto
elaborado.
Procesos de ventas
• Escaso margen de rentabilidad y/o posibilidad de venta a pérdida por los bajos
precios de venta del producto y elevados costos totales.
• Reducción de los volúmenes de venta ante el avance de otros productos
alternativos en un mercado maduro.
• Competencia desleal generada por empresas más pequeñas, con un alto nivel de
informalidad, o que producen productos adulterados, violando las normativas
legales vigentes.
• Pérdida de volúmenes de venta por limitación en la capacidad de
almacenamiento y transporte de producto.
Procesos de administración y finanzas
• Falta documentación de respaldo que avale decisiones de toma y colocación de
fondos en el mercado financiero.
• Inadecuada evaluación económica de clientes.
• Coexistencia de varios sistemas de registración contable no integrados que
dificulten el seguimiento y control de las transacciones.
• Costos financieros por inmovilización de fondos en cuentas bancarias.
Procesos de compras
 • Excesivos costos ocultos en el proceso de compras que contrarrestan el esfuerzo
en la mejora de procesos.
• Conflicto de intereses de personal de la empresa que participa al mismo tiempo
como proveedor y/o contratista.
• Compras locales en sucursales a mayor precio sin respetar contratos corporativos
vigentes en la organización.
• Falta aprovechamiento del comercio electrónico para mejorar la cadena de
suministros y los costos obtenidos.

VI.7. Metodología aplicada para obtener el Mapa de Riesgos

Se parte de un detalle de actividades y procesos que se desarrollan en una organización
dedicada a la actividad que tenga y se hace foco en los puntos débiles de control detectados
en una relación histórica de auditorías desarrolladas y en los riesgos actuales asociados que
impacten en:
1. La Eficacia y Eficiencia y el control interno de las operaciones.
2. La Confiabilidad de las Registraciones y la Información.
3. El Cumplimiento de Leyes y Normativas internas de la organización.
Se identifican entonces en un cuadro las Unidades de Negocio y de Apoyo y se las cruza
con las actividades y los procesos auditables relevantes.
En una etapa posterior, al evaluar los riesgos de la empresa, se efectúa una ponderación de
los mismos de acuerdo con los controles reales existentes en el negocio. De esta forma, los
riesgos se podrán agrupar por las posibilidades de ocurrencia y su impacto económico,
ambiental y de imagen en: Riesgos altos, medios y bajos, lo que permitirá definir a futuro
la periodicidad de cobertura de los mismos a través de la Auditoría Interna.
Así, Auditoría Interna crea su propia evaluación de los riesgos de la organización,
elaborando un Mapa de Riesgos de Auditoría, que combina las Unidades de Negocio y de
Apoyo auditadas con los procesos de la empresa, definiendo en su intersección la criticidad:
alta, media y baja.

A continuación exponemos la idea en un cuadro donde se cruzan unidades de negocios y

procesos y la criticidad de los riesgos.

Procesos
Compras Pagos Ventas Cobranzas Stocks RR.HH.
Negocios
Unidad I A A M A B B
Unidad II A B A M B B
Unidad III M B M A M A
Área Apoyo I B B B A M M

Una vez obtenido el Mapa de Riesgos, se debe realinear el cálculo de los Factores de Riesgo
por Unidad Organizacional y establecer así las bases para el Plan Anual de Auditoría acorde
con la criticidad de los riesgos evaluados.
 En el capítulo IX se vuelve a tratar el Plan anual de Auditoría Interna y se expone un
ejemplo del Mapa de Riesgo de una Empresa.