Septiembre 2015 Boletín de Investigación Comisión de Desarrollo SE Auditoría Interna - Sur Núm.

30

Plan de Auditoría Interna basado en Riesgos

 2014 – 2016
ÍNDICE PÁGINA
C.P.C. Jorge Alberto Téllez Guillén
Presidente

C.P.C. Ricardo Paullada Nevárez I. Introducción 3

Vicepresidente de Desarrollo y Capacitación
Profesional
II. Participación de Auditoría Interna
L.C.P. Luis Bernardo Madrigal Hinojosa en la administración de los riesgos 3
Director Ejecutivo

III. Las dimensiones de la administración

Comisión de Desarrollo SE Auditoría Interna – Sur
de riesgos 4
Presidente
C.P.C. Agustín Francisco Albarrán Carranza IV. Plan de Auditoría basado en riesgos 5
Vicepresidente
C.P.C. Adolfo Ramírez Fernández del Castillo V. Elaboración y aprobación del Plan
Secretario
C.P. Salvador Cruz Hernández de Auditoría 7
Integrantes
L.C José Antonio Alverde Lanzagorta VI. Conclusión 10
C.P. Juan Fernando Calvillo Armendariz
C.P. Gerardo Díaz Valdez
C.P.C. Jaime Ignacio García Jiménez
C.P. Mario Enrique Mota Sevchovicius
C.P. Gabriel Sánchez Curiel
C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto
L.A.F. Adolfo Tanda Aguayo
C.P.C. Fernando Pérez Mendoza
L.C.I. Israel Pichardo Camargo
C.P. Arturo Salvador Reyes Figueroa
C.P. Antonio Salas Hernández
C.P. Omar Cruz Fuentes

Gerencia de Comunicación y Diseño

Comisión de Desarrollo Sector Empresa Auditoría
Interna - Sur del Colegio, año III, núm. 30, septiembre de
2015. Boletín Informativo edición e impresión por el
Colegio de Contadores Públicos de México, A.C.
Responsables de la Edición: Alejandra Mendoza
Espinosa, Lic. Asiria Olivera Calvo, Lic. Aldo Plazola
González. Diseño: Adriana Huescas Hernández.
Bosque de Tabachines Núm. 44, Fracc. Bosques de las
Lomas, Deleg. Miguel Hidalgo 11700. El contenido de
los artículos firmados es responsabilidad del autor;
prohibida la reproducción total o parcial, sin previa
autorización.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2015

2
 I. Introducción

Las entidades económicas enfrentan un escenario de retos cuya naturaleza y efectos

cambian de manera exponencial. El marco legal, la política, la economía globalizada, los
competidores, las exigencias de los clientes, los entornos económicos adversos, el
incremento del fraude y la delincuencia organizada, entre otras situaciones que generan
riesgos, provocan cambios significativos en las estrategias, los modelos de negocio, las
estructuras de organización y los esquemas de operación.
A partir de dichos cambios se ha desarrollado la administración integral de riesgos, como
un proceso que combina los recursos humanos, intelectuales, financieros y tecnológicos,
a fin de identificar, analizar, medir, prevenir, comunicar, mitigar, controlar y monitorear los
riesgos internos y externos a que están expuestas las organizaciones.

En la declaración denominada “Auditoría Interna y Administración de Riesgos” publicada

en julio de 2015, esta Comisión señaló los factores que deben considerarse para aplicar
el proceso de administración de riesgos; de acuerdo con ello, el propósito de esta
declaración es proporcionar los elementos fundamentales que deben ser considerados
para proyectar un Plan de Auditoría basado en riesgos.

II. Participación de Auditoría Interna en la administración de los riesgos

El proceso para administrar los riesgos implica diseñar e implantar mecanismos

adecuados de control interno, a fin de mitigarlos de manera eficaz; a su vez, para que
Auditoría Interna agregue valor a la entidad, debe interactuar, sin comprometer su
independencia, con el grupo directivo que decide las estrategias para enfrentar los
riesgos. La participación de Auditoría Interna, de acuerdo con el Plan basado en riesgos,
está dirigida a opinar con objetividad sobre el proceso de administración de los riesgos e
impulsar proactivamente las mejoras que éste requiera.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2015

3
 III. Las dimensiones de la administración de riesgos

Los riesgos que enfrentan las entidades son diversos y numerosos; algunos son
evidentes y pueden identificarse de inmediato; otros permanecen ocultos y se manifiestan
sólo bajo determinadas circunstancias que, en ocasiones, son ajenas a la voluntad de la
administración.

Los riesgos externos pueden tener un impacto sobre los recursos de la organización,
desestabilizarla y, eventualmente, provocar su terminación. Considerar que sí impactarán
a la organización, identificarlos y preparar la estructura a fin de enfrentarlos es parte
esencial del proceso para su administración.

Por otra parte, desde el punto de vista de la estructura de control interno implantada para
prevenir y mitigar los riesgos antes mencionados, es necesario considerar una
clasificación fundamental:

¾ Riesgo del negocio.

¾ Riesgo inherente.
¾ Riesgo de control.
¾ Riesgo residual.

El riesgo del negocio se relaciona inevitablemente con circunstancias, hechos o

condiciones que pueden afectar la continuidad de la vida de la entidad o su capacidad
para lograr los objetivos. Dentro de este concepto destaca el apetito de riesgo, que se
considera como la disposición del Consejo de Administración para asumir determinadas
consecuencias derivadas de un evento adverso.

El riesgo inherente es aquel que se identifica con la naturaleza de cualquier operación

efectuada por la organización, información financiera y operativa, independientemente de
los controles que existan para mitigarlo.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2015

4
 El riesgo de control es la probabilidad de que un acontecimiento adverso no esté
contemplado en la estructura de los sistemas, procedimientos y métodos de la
organización, a fin de tener las herramientas para prevenirlo o detectarlo oportunamente.

El riesgo residual es aquel que permanece después de que la dirección ha realizado

acciones para reducir el impacto y la probabilidad de un acontecimiento adverso,
incluyendo las actividades de control en respuesta a un riesgo.

IV. Plan de Auditoría basado en riesgos

La posibilidad de que los eventos adversos ocurran en la organización, resalta la

importancia de que Auditoria Interna elabore un Plan para evaluar que los procesos de:
Administración de riesgos, control y gobierno, funcionan de manera eficiente y eficaz.

Es recomendable que el Plan de Auditoría contemple la identificación de posibles riesgos,

que por decisión del gobierno corporativo, por omisión, o por determinadas
circunstancias, hayan quedado al margen de la estructura de control.

Para una adecuada elaboración del Plan es importante que Auditoría Interna conozca la
organización, sus operaciones y entorno, y esté familiarizada con los riesgos internos y
externos significativos. Para ello el responsable de Auditoría Interna debe tener acceso a
las actas y minutas sobre acuerdos tomados en comités como los siguientes:
adquisiciones, compensaciones, operaciones, ejecutivo de dirección, ética,
administración y finanzas, y prácticas societarias.

Los acuerdos que incluyen dichas actas y minutas enriquecen los conocimientos y las
percepciones del auditor interno sobre la naturaleza y materialidad de los riesgos, así
como respecto a los mecanismos de control que se han implantado o se tienen
proyectados para prevenirlos o mitigarlos.

También es necesario que el auditor interno lleve a cabo reuniones de trabajo con los
directores de área, para conocer sus puntos de vista sobre los riesgos internos y externos

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2015

5
 que enfrentan, su importancia o materialidad, la estructura implantada para prevenirlos,
mitigarlos y detectarlos, así como el cumplimiento del proceso continuo para
administrarlos.

El director general debe ser motivo de atención especial y continua por parte de Auditoría
Interna; en su carácter de líder del grupo directivo y primer responsable de la gestión del
negocio frente al Consejo de Administración, sus puntos de vista, inquietudes y
sugerencias en materia de riesgos, incluyendo los riesgos residuales y los riesgos del
negocio pueden ser una orientación de alto impacto sobre la jerarquización de las áreas
para propósitos del Plan de Auditoría.

Aunque el contacto con los miembros del gobierno corporativo contribuye a estructurar el
Plan de Auditoría basado en riesgos, el auditor interno también debe jerarquizar los
procesos de la organización con base en su participación en la generación de los ingresos
y los costos por los servicios de apoyo para que aquéllos puedan lograrse. La
ponderación de los riesgos de control, inherente y residual entre los procesos, así como
su posible impacto en la escala del tiempo deben formar parte de los objetivos de trabajo
del auditor para respaldar las prioridades de su Plan.

El Comité de Auditoría es un factor decisivo para definir los objetivos y alcances del Plan
de Auditoría. Puesto que en dicho comité participan consejeros independientes y
miembros del Consejo de administración, sus indicaciones al auditor interno tienen un
perfil global y de contenido estratégico que enriquecen el Plan, especialmente en materia
de riesgos de la operación.

Otro factor importante se relaciona con las recomendaciones al control interno de los
auditores independientes y su informe sobre el examen de los estados financieros de la
organización. Debido a que las normas internacionales de auditoría obligan a los
auditores externos a evaluar la suficiencia de los controles para prevenir riesgos de fraude
con efecto en los estados financieros, el contenido y alcance de dichos informes son un
referente indispensable para el Plan de Auditoría Interna.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2015

6
 V. Elaboración y aprobación del Plan de Auditoría

Para elaborar el Plan basado en riesgos, el responsable de Auditoría Interna debe

considerar los factores y antecedentes documentales, obtenidos de las entrevistas con
los responsables de los diferentes procesos. Las actividades involucradas en la
elaboración de este Plan deben llevarse a cabo conforme a la siguiente secuencia:

1. Identificar los objetivos estratégicos y de operación del negocio

Mediante las entrevistas y observaciones directas, el auditor interno debe obtener

información documental sobre las metas que la organización se propone en puntos como
el incremento de su participación en el mercado, reducción de costos, reconversión de
una parte de su planta industrial y apertura de nuevas sucursales, así como sobre los
procesos y sistemas que existen para lograrlo, manteniendo los diferentes niveles de
operación del negocio.

2. Obtener el mapa de riesgos que afectan a cada objetivo

La administración de los riesgos implica que la organización cuente con una matriz
actualizada que analice con base en su importancia los riesgos significativos que se
enfrentan en cada uno de los procesos para lograr los objetivos planteados.

El no contar con un mapa de riesgos implica en sí mismo un riesgo relevante. En dicho

caso, el auditor interno debe elaborar el mapa de riesgos como base para su Plan,
considerando la información obtenida de los responsables de cada proceso.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2015

7
 3. Identificar los procesos que incluyen los riesgos significativos

Una vez que el auditor cuenta con el mapa de riesgos, está en posibilidad de identificar
y priorizar los procesos y controles que existen para prevenir y mitigar las amenazas
sobre el logro de objetivos. La estructura y complejidad de los procesos, así como el nivel
de importancia de los riesgos, varían de acuerdo con el giro, perfil y tamaño de la
organización. Bajo esta consideración los procesos con riesgos significativos deben ser
evaluados anualmente.

4. Determinar los recursos necesarios para evaluar los principales procesos

Identificados los procesos relevantes en relación con los riesgos, es necesario definir los
recursos humanos, técnicos y presupuestales que el auditor interno requiere para llevar
a cabo la evaluación del control interno.

5. Calendarizar la evaluación de los procesos de acuerdo con la operación del negocio

El Plan debe contemplar el tiempo de duración de cada auditoría y la oportunidad en que

ésta se realizará, considerando el ciclo de negocio de la compañía o algunos otros
factores tales como: actualización de procesos, automatización, incorporación o
desarrollo de nuevos productos o negocios y ampliación de capacidad instalada.

6. Comentar el Plan con la Alta Dirección

Se deberá procurar presentar a la alta dirección los objetivos y alcance de las diversas
auditorías que se incluyen en el Plan, para obtener retroalimentación sobre aspectos
relevantes o estratégicos que pudieran ser incluidos en el desarrollo de las auditorías y,
en su caso, sugerencias sobre auditorías que para la alta dirección pudieran ser
relevantes o de alto impacto. Dichas proposiciones deben ponerse a consideración del
Comité de Auditoría o el órgano de reporte, quien es el único facultado para modificar el
Plan.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2015

8
 7. Obtener la aprobación del Comité de Auditoría o el órgano al que reporte el auditor

El auditor interno debe presentar al Comité el Plan de Auditoría, explicando la

sustentabilidad del mismo, su enfoque basado en los riesgos estratégicos del negocio, la
factibilidad del mismo y el valor que agrega a la organización. Será indispensable que se
explique una adecuada alineación del presupuesto asignado al área de auditoría y la
capacidad con que se cuenta para la ejecución de las auditorías.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2015

9
 VI. Conclusión

Como resumen y de manera esquemática se muestran en la siguiente imagen los

elementos que pudieran considerarse para la elaboración del Plan de Auditoría:

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2015

10