Unidad 2 / Escenario 3

Lectura fundamental

Conocimiento del cliente

Contenido

1 Generalidades de la organización

2 Control interno

3 Identificación y análisis del riesgo

4 Administración del riesgo

5 Análisis del riesgo conforme a la Norma Internacional de Auditoría

6 Materialidad

Palabras clave: amenaza, aseveraciones, causa, control interno, organización, riesgo, seguridad razonable.
1. Generalidades de la organización
En el siglo XVI, hablar de empresa referenciaba la necesidad de logro personal y mientras que el
concepto de organización giraba en torno al proceso de ubicar cada cosa en su lugar. La revolución
industrial mostró al hombre que cualquier avance o desarrollo tecnológico generaría nuevas formas
en las relaciones humanas y laborales dentro y fuera de la unidad productiva. Los individuos, a través
del conocimiento y de las competencias que poseen, están en capacidad de crear y desarrollar nuevas
formas de organización y con ello nuevos mundos (Rosales, 2008).

Los condicionamientos, los resultados y los efectos desarrollados por los diferentes elementos que
integrarían la empresa moderna, hicieron posible reconocer que las diferentes características, una vez
eran categorizadas, permitían al sujeto identificar diferentes modelos organizacionales. Varios autores
explicaron dichos modelos y los asociaron a parámetros psicológicos, sociales, políticos, culturales y
económicos que permitieron establecer la forma en que los individuos se relacionaban, los objetivos
que perseguían en conjunto e individualmente y las limitaciones que debían enfrentar.

Cada modelo ha sido asociado a una estructura entendida no solo desde la dimensión física sino desde
la abstracción, que en últimas representa el concepto de organización empresarial moderna. Dicho
concepto, basado en la abstracción, muestra la organización empresarial moderna como una idea que
se convierte en imaginario colectivo. Este imaginario reúne varios y diversos componentes que se
concentran en tres grandes grupos: las personas, la estructura y el negocio.

Por un lado, las personas están representadas por sujetos con diversidad de intereses. La estructura,
por su parte, se da como resultado de las relaciones entre las personas y los múltiples recursos, en
función de las políticas establecidas para el direccionamiento de las actividades que buscan: el avance
de los trabajadores, el fortalecimiento de la estructura y el desarrollo del negocio1. Finalmente, el
negocio se entiende como el conjunto de actividades tendientes a conseguir los recursos de capital,
que permitan sostener la operación normal de la organización empresarial (Rosales, 2008).

Uno de los modelos más estudiados es el formulado por el sociólogo Max Weber en Alemania, quien
escribió acerca de las "estructuras maquinales o burocráticas" en las cuales las actividades quedaban
formalizadas mediante reglas, descripciones del puesto y preparación previa. (Henry Mintzberg,
2002). Posteriormente el proceso se acentuó en los espacios públicos y luego en los privados, con
grandes efectos operativos, pero que, desde la administración de personal, o acuñando una frase
Mcgregoriana, desde el lado humano de la organización, rutinizó su desarrollo y de alguna forma
eliminó su capacidad de crear.

1. Negocio: Del latín Negotium: actividades necesarias de realización para la generación de utilidad.

POLITÉCNICO GRANCOLOMBIANO 2
Ahora bien, la organización empresarial moderna, logra sus procesos de estructuración a través de
mecanismos de control tales como:

• Adaptación mutua: consigue la coordinación del trabajo mediante comunicación informal. Se

refiere al proceso básico bajo el cual el sujeto a través de la adaptación (natural) logra ubicarse
en determinado cargo.

• Supervisión directa: se presenta cuando las organizaciones superan la estructura simple. Así,
una persona es responsable del trabajo de los demás, ocupando un rol superior y generando
variadas combinaciones de intereses.

• Normalización: logra la coordinación de las partes con anterioridad a la realización del trabajo
y busca estructurar organizaciones bajo el enfoque de procesos que acompañan la labor al
interior de las mismas. Este mecanismo recoge tres grandes momentos en la estructuración
de organizaciones complejas; i) en la entrada con la especificación del tipo de habilidades
y conocimientos de las personas requeridas para la realización del trabajo; ii) en el proceso
con la definición del contenido del mismo; iii) en los resultados con el establecimiento de la
especificación de los mismos en sus dimensiones y rendimiento). Este mecanismo es la base de
los sistemas de gestión de la calidad, presentes hoy en la gran mayoría de las organizaciones.

El anterior entramado de mecanismos complejiza la organización empresarial y con ello la posibilidad

de ser comprendida por las personas. Cada mecanismo de control exige al sujeto que reconozca
cómo cada mecanismo encierra múltiples formas de relación y así la generación de diversos
escenarios empresariales. Invita al personal de las organizaciones a cumplir un rol operativo, creador y
analítico de su propio quehacer y de la organización.

De este modo, si se amplía cualquier mecanismo se encuentra una explicación compleja para hacer
referencia a que independientemente del tamaño de la organización, son las personas, los roles que
asumen y las relaciones que entablan (de acuerdo con los intereses particulares y colectivos) quienes
dinamizan las operaciones al interior de la organización, que, a su vez, a través del conocimiento
y de las competencias que poseen están en capacidad de crear y desarrollar nuevas formas de
organización y con ello nuevos mundos (Lazzarato, 2006). Estos esfuerzos individuales y colectivos,
formales e informales, sumados a los esfuerzos de los grupos de interés (stakeholders) que rodean a
la organización, generan nuevas posibilidades que la actual gestión humana está llamada a descubrir,
analizar y entender.

POLITÉCNICO GRANCOLOMBIANO 3
Mucho se ha hablado del desarrollo empresarial y del alcance e impacto que puedan tener las
organizaciones empresariales no solo en terrenos económicos sino también políticos, sociales y
culturales. Así, la empresa se ha convertido en uno de los actores más destacados de las sociedades
modernas, pero ¿realmente se habla de desarrollo o de crecimiento empresarial? Para dar respuesta
a esta pregunta es necesario retomar el concepto de empresa reconociendo que la organización
empresarial moderna es una construcción abstracta en donde se reconocen tres grandes
componentes. Lo que nos sugiere al hablar de desarrollo, contemplar un avance equitativo entre ellos
(Rosales, 2008).
Con respecto a las responsabilidades de las organizaciones empresariales modernas, es pertinente
citar a Jairo Carrillo quien en su libro Ética y Empresa señala que:
Por lo tanto, la preocupación central de cualquier institución, negocio o servicio, estatal o de
derecho privado, girará alrededor del impacto de su actividad en el bienestar de la comunidad y su
responsabilidad social estará por encima, incluso de sus propias utilidades. Los gobiernos y las entidades
creadas para el fomento del desarrollo empresarial incentivarán con estímulos realmente significativos a
los dirigentes públicos y privados que abran nuevos puestos permanentes de trabajo. Siempre será mejor
que dos empleados hagan el trabajo de uno, que, al contrario. (Carrillo, 2006)

Con base en lo anterior el auditor deberá conocer la organización en todos sus aspectos:

Tipo de empresa

Clase de la sociedad según su forma jurídica

Industrial
Comercial Sociedad Anónima (SA)
Servicios Otras características a conocer
Sociedad por acciones
simplificadas (SAS)
Estructura Tendencia del
Limitada (LTDA) organizacional negocio
Control interno Informes financieros
Entidad Comandita por acciones Políticas Informes de gestión
sin ánimo Planes y programas
de lucro Procesos
Comandita simple
Procedimientos

Figura 1. Generalidades de la organización

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 4
2. Control interno
La dinámica de las organizaciones empresariales hace necesario que la administración construya
una instrumentalidad de gestión que, basada en la comprensión ampliada del control, le permita a la
dirección poder responder ante las exigencias internas y externas de los mercados competitivos.

Con este propósito se desarrolla un campo denominado control interno, constituido con la
instrumentalidad necesaria para la evaluación operacional, sustentada en los principios de eficiencia,
eficacia y efectividad, y basado, además, en la calidad de información financiera y en el aseguramiento
del direccionamiento de la organización bajo el cumplimiento de la tecnoestructura (regulación
normativa y política).

Desde los diferentes componentes del control interno, se pueden identificar varios elementos:
actividades, ambiente, información y comunicación, seguimiento y monitoreo y gestión de riesgos
(incluyendo desde la etapa de identificación hasta valoración) abordándose de forma sistémica. Estos
elementos indican que el control interno hace parte del corazón y del cerebro de la organización, ya
que es, en sí misma, una tecnología de control.

La gestión de riesgos implica, además, dar pauta para entender cómo la acción humana representada
en la toma de decisiones, desde el ápice de la organización hasta el nivel operativo es susceptible de
error. Esto presupone la necesidad de fortificar el sistema de control interno y de sus componentes
para dar respuesta y para prevenir posibles fallas dentro y fuera del sistema (en especial en lo
referente al ambiente externo en el que se desarrolla la organización y en la que habitan infinitas
variables que no dependen de la misma).

El compromiso gerencial con el control interno implica su mayor oportunidad. Es así como al interior
de las organizaciones se han creado áreas funcionales dedicadas específicamente al manejo de este
tema. Por ejemplo, la figura del director del control interno hoy goza de reconocimiento nacional e
internacional en la esfera pública y privada y ha posibilitado que desde la academia se tengan procesos
de formación avanzada en dicho campo temático.

En la actualidad y desde que la Ley 87 de 1993 institucionalizó la aplicación del control interno en el
Estado Colombiano, ha sido claro que este juega un papel fundamental para el desarrollo económico
y social del país y en particular para el fortalecimiento de la confianza en las instituciones del Estado y
en la empresa privada. Con respecto a los modelos de control interno, es importante hacer referencia
al avance que el Estado colombiano ha logrado con el desarrollo y la operación del Modelo Estándar
de Control Interno MECI, que ha significado el acompañamiento y el pronunciamiento positivo
alrededor del sistema del Control Interno en Colombia.

POLITÉCNICO GRANCOLOMBIANO 5
A nivel internacional son múltiples los pronunciamientos alrededor del control interno, sin embargo,
se resalta la labor de la Comisión Nacional de Reporte Financiero de Fraude (National commission
on fraudulent financial reporting) al crear en 1985 en Estados Unidos el Comité Patrocinador de
Organizaciones (Commitee of sponsoring organizations). Este comité crearía las orientaciones para
fundamentar conceptualmente el control interno y lograr una plataforma común para el abordaje en
los diferentes campos donde se trabajara el tema.
Es decir, el control interno, como lo sugiere el profesor Humberto Rosales (2015), constituye la base
de dispositivos más importantes para el desarrollo y la estructuración de la organización, así como
para asegurar el cumplimiento de los objetivos de la gestión moderna. Se suman diferentes versiones
complementarias que hoy se conocen como el caso del COSO, así como las de la Comisión de
Normas de Control Interno de la organización internacional de Entidades Fiscalizadoras Superiores
(INTOSAI). Se entiende pues, que el control interno y sus componentes representan el ADN de
la organización en su sentido amplio y posibilitan el avance de las dinámicas de control y el uso de la
información para la comprensión de mundo empresarial moderno.
Al revisar los componentes y su relación con los objetivos en el marco general COSO (proyecto
orientado al fortalecimiento del control interno, la comprensión del riesgo empresarial y la disminución
del fraude), es importante analizar que los componentes tienen un avance transversal en el
desempeño de la organización. Es así como COSO se ha encargado a través del tiempo (desde el
pronunciamiento de 1992 de orientaciones básicas para el fortalecimiento de los sistemas de control
interno) de robustecer la experiencia de cada uno de los componentes descritos al inicio de este tema.
to
ien
s

n
ne

ió

im
cio

ac

Al validar la transversalidad de los componentes del

pl
rm
ra

m
pe

fo

Cu
O

In

control interno, es fundamental entender que solo

Entorno de Control esto es posible si la alta dirección y los profesionales
Unidad Operativa

encargados del direccionamiento y la operación del

Evaluación de Riesgos tema al interior de la organización están
A nivel de entidad

Función

comprometidos. El papel de los auditores internos es

fundamental a la hora de mantener su criterio con
División

Actividades de Control
los ejercicios de auditoría que están llamados a
realizar para el fortalecimiento de la organización.
Información y Comunicación

Supervisión

Figura 2. Modelo COSO

Fuente: Politécnico Grancolombiano. Modificado del Instituto de Auditores Internos de España de la misión COSO

POLITÉCNICO GRANCOLOMBIANO 6
La comprensión del control interno como proceso, implica la necesidad de que la organización
proyecte las implicaciones humanas, sociales, tecnológicas y políticas en la empresa y fuera de esta.
Si el objeto del control interno de aumentar la confianza por el conocimiento profundo de la actividad
operacional, informativa y por el cumplimiento de los objetivos de la organización no se da, estamos
ante una de las crisis de mayor complejidad: la perdida de la confianza empresarial.

El entorno de control, claramente representado por la tecnoestructura al referirse a las políticas,

normas y procesos constituye la plataforma para el desarrollo del control interno. Este entorno
se constituye a sí mismo con el direccionamiento filosófico y político desde el cual la organización
se inspira hacia el desarrollo responsable de la operación empresarial. El desarrollo responsable
se establece a partir de la ejecución de las actividades de control necesarias para asegurar el
cumplimiento de las políticas y de los procesos. Para esto, la información y su calidad es fundamental,
puesto que de no tener la información adecuada (condiciones que el sistema requiere de acuerdo con
su actividad económica y demás elementos del entorno) se arriesga la toma de decisiones. Pero no
basta con tener la información si no se comunica interna y externamente, ya que esto asegura que los
grupos de interés tengan la posibilidad de conocer de primera mano que pasa con la organización y
con su actividad.

No tener la información bajo las condiciones necesarias constituye un elemento significativo dentro
del espectro de riesgo. Sin embargo, esta noción es mucho más amplia si se tiene en cuenta que el
riesgo encierra numerosos factores relacionados al desarrollo adecuado de los acontecimientos que,
de no darse, puedan tener efectos negativos en la operación de la organización.

El seguimiento efectivo de dichos riesgos hace parte de la necesidad de activar la evaluación continua
e independiente, que, si bien se puede leer en dos categorías diferentes, puede constituir de forma
mixta una oportunidad para el componente de supervisión. El desarrollo permanente de un sistema
de control interno demuestra claramente el compromiso de la organización con la ética y con la
validación de ejercicios independientes de supervisión, lo que permite romper lógicas perversas que
solo conducen la organización al fracaso.

Un estudio profundo de los modelos de control interno y de su alcance, permite que se avance en el
desarrollo y en la consolidación de una cultura de control para la sostenibilidad empresarial. Teniendo
en cuenta lo anterior, el auditor deberá evaluar y analizar el control interno con base en cinco
componentes establecidos por el modelo COSO:

POLITÉCNICO GRANCOLOMBIANO 7
 Ambiente Evaluación Actividades
de control del riesgo de control

Actitud de la administración y el
personal de la organización con
respecto a la importancia del
control interno, su incidencia en
las actividades y el resultado.
Identificar y evaluar los riesgos
internos y externos con el fin de
alcanzar los objetivos de trabajo, así
como la manera de ser administrados.
Corresponde a cada una de las
acciones, politicas y procedimientos
que sirven para asegurar que las
normas de la Dirección
Administrativa se cumplan.

Información Supervisión
y comunicación y monitoreo

Sistemas de información que Diseño y evaluación del control

apoyen al personal de la
organización, en la captura e
intercambio de la diferente
información solicitada para el
desarrollo, gestión y control de
todas sus operaciones.
interno de forma periódica,
mientras se realizan las actividades
regulares, identificando que el
sistema de control interno sigue
funcionando.

Figura 3. Componentes del control interno de acuerdo con el modelo COSO

Fuente: elaboración propia

A continuación, se presenta un ejemplo en el cual el auditor puede establecer la evaluación del

Control interno mediante la elaboración de un cuestionario:

POLITÉCNICO GRANCOLOMBIANO 8
 Tabla 1. Ejemplo cuestionario ambiente de control

Ambiente de control

Evaluación Preguntas

¿La gerencia tiene planteadas las estrategias para la reducción de actos frente al fraude, que puedan
Valores éticos e cometer los colaboradores?
integridad
¿La organización cuenta con un código de ética?
Estructura ¿La empresa cuenta con una estructura organizacional adecuada de acuerdo con el tipo de empresa
organizacional y con sus actividades?

Conocimiento del ¿La organización cuenta con mecanismos para capacitar a sus colaboradores en cuanto al control
control interno y se asegura que han entendido?
Aportes de la
junta directiva ¿La junta directiva se involucra e identifica los procesos que aplica la gerencia para monitorear los
en el gobierno riesgos que puedan afectar el negocio?
corporativo
Políticas de
¿La organización diseñó manual de funciones y este se ha comunicado a los colaboradores?
recursos humanos

Fuente: elaboración propia

Tabla 2. Ejemplo cuestionario evaluación de riesgos

Evaluación de riesgos

Evaluación Preguntas

¿La organización comunica a todos los colaboradores el plan estratégico?

¿El plan estratégico es entendido por los colaboradores?
Cuando elaboran el plan estratégico, ¿este es revisado por la Junta Directiva?
¿El plan estratégico de la organización es aprobado por la Junta Directiva?

¿La organización cuenta con mecanismos que identifiquen los riesgos del negocio de acuerdo a las
Evaluación circunstancias que se puedan presentar?
del riesgo
¿Cuándo existen nuevos mercados la gerencia considera los riesgos a los que pueden estar
dispuestos?

¿En la evaluación de los riesgos la Junta Directiva los supervisa y monitorea?

¿La Junta Directiva lleva a cabo un plan de acción para tratar los riesgos significativos?

¿La auditoría interna realiza evaluaciones a los riesgos por lo menos una vez al año?

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 9
 Tabla 3. Ejemplo cuestionario Información y comunicación

Información y comunicación

Evaluación Preguntas

¿Los informes financieros se preparan de manera oportuna?

¿Los informes interinos se cumplen y se entregan de acuerdo con las políticas establecidas por la
organización?
Información ¿Existen políticas apropiadas para el desarrollo y la modificación de los sistemas de contabilidad y
control?

¿La organización tiene un proceso para que sus colaboradores comuniquen sobre situaciones
impropias?

¿La organización tiene claramente definidas las líneas de autoridad?

¿Se tienen definidas las responsabilidades de cada área en la entrega de los informes?
Comunicación
¿Se responden oportunamente los comunicados dirigidos a la empresa por parte de terceros
incluyendo el gobierno y los entes de control, asignando responsables?

Fuente: elaboración propia

Tabla 4. Ejemplo cuestionario actividades de control

Actividades de control

Evaluación Preguntas

¿Se realizan los cierres contables de acuerdo con las políticas establecidas en la organización?

¿La organización revisa las políticas establecidas en cada una de las áreas y verifica que aún sean
adecuadas?

¿La organización cuenta con presupuesto?

Actividades ¿Los estados financieros se entregan de manera oportuna y con los respectivos análisis?
de control

¿Se realizan inventarios físicos periódicamente?

¿Los inventarios se ajustan conforme a las políticas y a las normas?
¿Existe segregación de funciones con respecto al manejo de los activos y de quien contabiliza?

¿Se protege la información generada electrónicamente de acuerdo con las políticas establecidas?

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 10
 Tabla 5. Ejemplo cuestionario, supervisión y monitoreo

Supervisión y monitoreo

Evaluación Preguntas

¿La gerencia requiere procedimientos para la revisión del control de los procesos, identificando si
han servido?

¿Conforme a las recomendaciones dadas por la auditoría externa con relación al control interno,
procedimientos y políticas, la gerencia responde con oportunidad y en forma apropiada?
Supervisión
y monitoreo
¿Las actividades de planeación realizadas por la auditoría interna, específicamente en el alcance, son
revisadas por gerencia, auditoría externa o junta directiva?

¿Los hallazgos y recomendaciones dadas por la superintendencia son tratados de manera oportuna
y apropiada?

Fuente: elaboración propia

3. Identificación y análisis del riesgo

Un riesgo es cuando hay probabilidad de que algo negativo suceda o que algo positivo no suceda,
impactando los objetivos (Estupiñan, 2013). Así, es importante que la empresa identifique los riesgos
a los que están expuestos, los cuales pueden originarse interna o externamente. Los riesgos que
cualquier organización debe enfrentar pueden dividirse en tres grandes categorías de acuerdo con su
origen o posible ocurrencia: externos, internos y mixtos (Calderón, 2016).

POLITÉCNICO GRANCOLOMBIANO 11
 Internos

Se generan dentro
de la organización
por personas, fallas
en los procesos, Mixtos
entre otros

Combinación de
los riesgos internos
y externos
Fuera de la
organización
Afectan directa o
indirectamente
estructura
organizacionacional -
económica o
Externos productiva

Figura 4. Categoría del riesgo

Fuente: elaboración propia

Adicional a estas categorías, existen diferentes tipos de riesgos empresariales:

POLITÉCNICO GRANCOLOMBIANO 12
 Tabla 6. Tipo de riesgos empresariales

Político y de país Inflación interna o de paises vecinos - guerrilla - terrorismo - narcotráfico

Riesgo de crédito Desconfianza en el mercado - tasas de interés altas.

Fusiones entre empresas - reestructuraciones de empresas - manejo del

Riesgo de imágen
tipo de cambio

Calidad en el producto o servicio - Precio de venta - distribución del

Riesgo competitivo
producto - competidores importantes

Aranceles - impuestos - contribuciones - tasas - aranceles y control de

Riesgo regulatorio
los diferentes precios

Riesgos Producción, materia prima - mano de obra- proveedores nacionales e

Riesgo operación
estratégicos y internacionales y calidad
del negocio
Exceso de activos - inventarios altos y con poca rotación - el apoyo
Riesgo de líquidez
financiero débil por parte de sus dueños

Riesgo de desastres Catastrofes naturales como terremotos, sismos, inundaciones, entre

naturales otros

Poca inversión - patrimonios autónomos inadecuados - grandes

Riesgo fiduciario
comisiones

Riesgo interbancario Intervención por parte del gobierno - desencajes

Riesgo de intervención
Corrupción - desencajes - colocaciones a largo plazo
estatal

Riesgo de interés Fluctuación de las tasas de interés

Riesgos
financieros Riesgo cambiario y de
Devaluación o revaluación de la moneda nacional con otras monedas
convertibilidad

Falta de planificación - estructura organizacional débil - falta de control

Riesgo organizacional
interno- mal ambiente laboral - fallas en la comunicación

Riesgo de auditoria Inherente - control - detección

Riesgos Comunicación, tecnológicos - no hay integridad en la información -

generales o de Riesgo de información
información no apropiada
apoyo
Riesgo de operaciones
Fraudes -lavado de activos - delitos
ilícitas

Seguridades físicas y Proceso débil en la contratación del personal - problemas interpersonales

humanas - estrategias no apropiadas en el plan de contigencia

Fuente: Politécnico Grancolombiano. Modificado de Administración de riesgos E.R.M. y la auditoría interna

POLITÉCNICO GRANCOLOMBIANO 13
El proceso de gestión del riesgo cuenta con los siguientes elementos:

Establecer Identificar Analizar Evaluar

el contexto el riesgo el riesgo el riesgo

Determinar contexto puede ser Identificar el riesgo, hacerse Se realiza un estudio consideran- Realizar comparación del nivel
estratégico, organizacional o de preguntas de qué, por qué, y do las consecuencias potenciales del riesgo y calcular contra los
gestión conforme al proceso. cómo pueden suceder (inclu- y la probabilidad de que dichas criterios ya establecidos.
yendo los elementos base). consecuencias puedan ocurrir.

Tratar Monitorear Comunicar

los riesgos y revisar y consultar

Es el momento de actuar, y emprender Controlar y revisar el cómo se ha Se deben comunicar los riesgos a
acciones que modifiquen el riesgo, aliviarlo, manejado el riesgo y su gestión las partes involucradas, así como
prevenirlo, eliminarlo, cambiar de rumbo así como los cambios que cada una de las etapas del mismo.
(Isaza,2018). pudieran existir.

Figura 5. Proceso y concepto de los elementos del riesgo

Fuente: Modificado de Estupiñán, 72015

Con el fin de conocer y visualizar los riesgos se debe diseñar una matriz de riesgo. Esta es una
herramienta que permite identificar los riesgos empresariales a los que está expuesta la organización
frente a cada uno de los procesos, sus causas internas o externas, la descripción y las consecuencias,
así como su valoración y control.

Tabla 7. Matriz de identificación de los riesgos

Proceso de la organización

Objetivo Causas: Internas, Probabilidad de

Descripción Consecuencias del
del proceso Externas, Riesgo que suceda el
del riesgo riesgo o impacto
organizacional Agentes generados riesgo

Objetivo de cada Las causas que Identificación Describir Número de Lo que puede
proceso ocasionan el riesgo del riesgo el riesgo veces que pueda suceder si se
identificado suceder materializa el riesgo

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 14
4. Administración del riesgo

En la administración del riesgo se establece la matriz con base en la norma ISO 31.000 de 2009. En
ella se identifica la probabilidad (posibilidad que pueda ocurrir el riesgo) identificando la frecuencia y el
impacto del riesgo.

A. Análisis cualitativo: descripción para presentar, proyectar y medir la magnitud de consecuencias

considerables, la probabilidad de ocurrencia y el lugar donde se genera el riesgo (Estupiñán,
2015).

Tabla 8. Análisis cualitativo de la probabilidad e impacto del riesgo

Probabilidad Descripción probabilidad Impacto Descripción del impacto

Afecta directamente el cumplimiento de la misión de

Probabilidad recurrente y la organización. No se cumplen con las normas ni con
Alta Catastrófico
alta de que ocurra los objetivos. Pérdida total del patrimonio. Imagen
deteriorada y problemas en cada uno de los procesos.

Ocasionaría perdida de una parte del patrimonio. El

cumplimiento de los objetivos es parcial. Problemas
en algunos procesos de la organización. No cumplen
Media Es posible que ocurra Moderado las normas en su totalidad. Para poder corregir
la masterización del riesgo la empresa se tomaría
demasiado tiempo. La imagen empieza a verse
deteriorada.

Probabilidad insignificante No afecta la misión, ni los objetivos. El riesgo es

Baja Leve
de que ocurra mínimo y no afecta la organización.

Fuente: elaboración propia

B. Análisis cuantitativo: representa valores numéricos que se le asignan para poder calificar y
evaluar los riesgos.

POLITÉCNICO GRANCOLOMBIANO 15
 Tabla 9. Análisis cuantitativo de la probabilidad e impacto del riesgo

Probabilidad Valoración Impacto Valoración

Alta 8 a 10 Catastrófico 8 a 10
Media 4a7 Moderado 4a7
Baja 1a3 Leve 1a3

Fuente: elaboración propia

Finalmente, se debe calificar cada uno de los riesgos identificados según la matriz mencionada
anteriormente. Una vez evaluado el riesgo, se tiene en cuenta la posición de la tabla para establecer la
zona en que se encuentra y tomar la medida de reducción, evitar el riesgo, compartirlo o transferirlo.

5. Análisis del riesgo conforme a la Norma Internacional de Auditoría

Conforme a la NIA 315, el auditor es el responsable de identificar y valorar los riesgos de declaración
equivocada de material incluida en los estados financieros ya sea por fraude o error, así como el
entendimiento de la entidad y su entorno, incluyendo el control interno.
Para entender la entidad y su entorno, el auditor deberá conocer los siguientes aspectos:
A. Factores importantes del sector y la normatividad de la entidad, así como el marco normativo de
información financiera aplicable a la misma.
B. Naturaleza de la entidad, específicamente las operaciones, la estructura del gobierno, las
inversiones realizadas y previstas por la entidad y la forma como la entidad se estructura y se
financia para permitir al auditor comprender los tipos de transacciones, saldos contables e
información a revelar, que se espera encontrar en los estados financieros.
C. Políticas contables establecidas por la entidad y sus modificaciones, así como la evaluación del
auditor de estas, identificando que sean adecuadas con el marco de información financiera
aplicable y el sector.
D. Planeación estratégica de la entidad, en especial los objetivos planteados y las estrategias
establecidas para el cumplimiento de estos, así como los riesgos de negocio concernientes que
puedan dar lugar a incorrecciones materiales.
E. Medición y revisión de la evolución financiera de la entidad, verificando estados financieros
comparativos con años anteriores.

POLITÉCNICO GRANCOLOMBIANO 16
El Auditor deberá conocer y evaluar el control interno conforme a los cinco componentes de acuerdo
con el modelo COSO (Ambiente de control – valoración del riesgo – actividades de control -
información y comunicación –– supervisión y monitoreo)

Igualmente, el auditor identificará y valorará los riesgos de incorrección material. Se entiende por
este riesgo de la auditoría, la probabilidad de generar una conclusión equivocada en la evaluación de
gobierno, los controles y riesgos, así como de emitir un informe incorrecto por no haber detectado
errores significativos en las diferentes áreas de la organización, que podría modificar la opinión en el
informe presentado.

Para valorar los riesgos el auditor deberá:

A. Identificar los riesgos establecidos por la entidad y su entorno, así como los controles referentes
a los mismos. Para ello deberá considerar las diferentes transacciones y los saldos de las cuentas
identificados en los estados financieros, así como sus revelaciones.

B. Relacionar los riesgos identificados que puedan llevar a una afirmación equivocada.

C. Considerar la importancia del riesgo y su probabilidad.

Existen tres tipos de riesgos en la auditoría:

Tabla 10. Riesgos de la auditoría

Según la NIA 200, refiere a la susceptibilidad de una afirmación sobre un tipo transacción,
saldo contable u otra revelación de información a una incorrección que pudiera ser material, ya
sea individualmente o de forma agregada con otras incorrecciones, antes de tener en cuenta los
posible controles correspondientes.
El riesgo inherente es responsabilidad de la administración
Riesgo inherente Ejemplo:

• Inversiones representativas en activos fijos sin generar una liquidez atractiva.

• Aumento de la provisión de cartera no catalogada apropiadamente.

• Malversación de activos no detectados.

• Inventarios dañados u obsoletos, poca rotación.

POLITÉCNICO GRANCOLOMBIANO 17
 Según la NIA 200 se entiende como el riesgo de que una incorrección que pudiera existir en
una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información, y
que pudiera ser material, ya sea individulamente o de forma agragada con otras incorrecciones,
no sea prevenida o detectada y corregida oportunamente por el sistema de control interno de
la entidad.
Riesgo de control
El riesgo de control es responsabilidad de la administración
Ejemplo:
• No existe segregación de funciones en algunos cargos específicos.
• Los funcionarios no ejecutan los controles establecidos por la entidad en algunas areas.
Según la NIA 200 es el riesgo de que los procedimientos aplicados por el auditor para
reducir el riesgo de auditoría a un nivel aceptablemente bajo, no detecten la existencia de una
incorrección que podría ser material, considerada individualmente o de forma agregada con
otras incorrecciones.
El riesgo de detección es responsabilidad del auditor
Riesgo de detección
Ejemplo:
• Aplicar procedimiento de auditoría no apropiado.
• La muestra establecida no es la adecuada.
• El programa de auditoría no cumple los requisitos para poder dar una opinión adecuada.
Fuente: elaboración propia

6. Materialidad
Dentro de los objetivos globales del auditor está obtener seguridad razonable en los estados
financieros y determinar que esten libres de incorrección material, debidas al fraude o al error.
Es así como conforme a la Norma Internacional de Auditoría NIA 320 “Importancia relativa o
materialidad en la planificación y ejecución de la auditoría”, se menciona la definición de materialidad
y de importancia relativa:
“La cifra o cifras determinadas por el auditor, por debajo del nivel de la importancia relativa establecida para
los estados financieros en su conjunto, al objeto de reducir a un nivel adecuadamente bajo la probabilidad de
que la suma de las incorrecciones no corregidas y no detectadas supere la importancia relativa determinada
para los estados financieros en su conjunto. En su caso, la importancia relativa para la ejecución del trabajo
también se refiere a la cifra o cifras determinadas por el auditor por debajo del nivel o niveles de importancia
relativa establecidos para determinados tipos de transacciones, saldos contables o información a revelar (…)
La importancia relativa se refiere a los estados financieros sobre los que el auditor emite su informe. En el
caso de que los estados financieros se preparen para un periodo superior o inferior a doce meses, como puede
ser el caso de una entidad de nueva creación o cuando hay un cambio en el período de información financiera,
la importancia relativa se refiere a los estados financieros preparados para dicho periodo”. NIA 320

POLITÉCNICO GRANCOLOMBIANO 18
Las declaraciones equivocadas (incluyendo las omisiones) se consideran como materiales,
individualmente o en el agregado. Así, se puede esperar que influyan en las decisiones financieras que
los usuarios toman con base en los estados financieros.

De acuerdo con la NIA 200, el riesgo de declaración equivocada material es el riesgo de que los
estados financieros estén declarados equivocadamente en forma material antes de la auditoría.
(Estupiñán, 2015)

De acuerdo con la NIA 320, el riesgo de auditoría es función de los riesgos de incorrección material
y de detección. Es así como la importancia relativa y el riesgo de auditoría se tienen en cuenta en el
transcurso de la auditoría, al identificar y valorar los riesgos de incorrección material, al determinar
la naturaleza y proceso de auditoría y al evaluar el efecto de las incorrecciones frente a los estados
financieros y frente a la formación de la opinión.

POLITÉCNICO GRANCOLOMBIANO 19
Referencias
Carrillo, J. (2006). Ética y empresa: ¿son compatibles la ética y la gestión empresarial en el contexto de
la economía de mercado? Bogotá, Colombia: Universidad Nacional de Colombia. Facultad de Ciencias
Humanas.

Estupiñan, R. (2015). Administración de riesgos E.R.M. y la auditoría interna. Bogotá, Colombia: Ecoe
Ediciones.

Isaza, A. (2018). Control interno y sistema de gestión de calidad. Ediciones de la U

Mintzberg, H. (2002). La estructuración de las Organizaciones (síntesis de la investigación). Barcelona,

España: ARIEL.

Lazzarato, M. (2006). Por una política menor. Acontecimiento y política en las sociedades de control.
Madrid, España: Traficantes de Sueños.

Rosales, H. (2008). Incidencia del talento humano en el desarrollo empresarial moderno. En: Colombia
REVISTA LIBRE EMPRESA ISSN.

POLITÉCNICO GRANCOLOMBIANO 20
 INFORMACIÓN TÉCNICA

Módulo: Auditoría Financiera

Unidad 2: Conocer el cliente y su planeación en la auditoría
financiera
Escenario 3: Conocimiento del cliente

Autor: Sonia Rojas

Asesor Pedagógico: Ingrid Ospina

Diseñador Gráfico: Daniel Suárez
Asistente: Julieth Ortiz

Este material pertenece al Politécnico Grancolombiano.

Prohibida su reproducción total o parcial.

POLITÉCNICO GRANCOLOMBIANO 21