ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

FACULTAD DE ADMINISTRACIÓN DE EMPRESAS

CARRERA DE CONTABILIDAD Y AUDITORÍA
AUDITORÍA DE GESTIÓN

Planificación Específica

Matriz de Evaluación de Riesgo

Matriz de Control Interno

Séptimo “1”

INGRID VANESSA FONSECA VEGA

ingrid.fonseca@espoch.edu.ec

Dr. Alberto Patricio Robalino

23/07/2021

www.espoch.edu.ec
 Unidad 3: Proceso De Ejecución De La Auditoria De Gestión
Auditoría de Gestión

Contenido

PLANIFICACIÓN ESPECÍFICA DE AUDITORÍA ................................................................... 3

DEFINICIÓN ....................................................................................................................... 3

¿Cómo se hace una planificación específica? .................................................................... 3

Objetivo ............................................................................................................................ 3

Procedimiento ................................................................................................................... 4

Resultados de Planificación Específica ............................................................................. 4

MATRIZ DE EVALUACIÓN DE RIESGO ........................................................................... 5

Definición .......................................................................................................................... 5

Construir la matriz de evaluación de riesgos ................................................................... 5

Análisis de la matriz de evaluación de riesgos ................................................................. 6

El nivel de riesgo ............................................................................................................... 7

MATRIZ DE CONTROL INTERNO ................................................................................... 7

Definición .......................................................................................................................... 7

Cómo funciona la matriz de control interno .................................................................... 8

Propuesta para establecer una matriz de control interno ............................................... 9

Desarrollo de la matriz de control interno ....................................................................... 9

BIBLIOGRAFÍA ........................................................................................................... 11

www.espoch.edu.ec
 Unidad 3: Proceso De Ejecución De La Auditoria De Gestión
Auditoría de Gestión

PLANIFICACIÓN ESPECÍFICA DE AUDITORÍA

Definición

La planificación específica tiene como propósito principal evaluar el control interno, para
obtener información adicional, evaluar y calificar los riesgos de la auditoría y seleccionar los
procedimientos de auditoría a ser aplicados a cada componente en la fase de ejecución,
mediante los programas respectivos.
En esta fase se define la estrategia a seguir en el trabajo de campo. Tiene incidencia en la
eficiente utilización de los recursos y en el logro de las metas y objetivos definidos para la
auditoría. Se fundamenta en la información obtenida inicialmente durante la planificación
preliminar.
La planificación específica tiene como propósito principal evaluar el control interno, para
obtener información adicional, evaluar y calificar los riesgos de la auditoría y seleccionar los
procedimientos de auditoría a ser aplicados a cada componente en la fase de ejecución,
mediante los programas respectivos.
Estos aspectos se analizan con mayor detalle en los manuales especializados de auditoría,
emitidos para el efecto por la Contraloría General del Estado.

¿Cómo se hace una planificación específica?

La planificación específica se ejecutará mediante la aplicación del programa general de

auditoría que contendrá: propósito, muestras a examinar, Page 3 85 procedimientos de
auditoría relacionados con la evaluación de control interno y los componentes identificados en
el reporte de planificación preliminar.

Objetivo

El objetivo principal de la planificación específica, es identificar las actividades relevantes de la

entidad para examinarlas en la siguiente fase de la auditoria, preparar el informe de
evaluación del control interno y preparar el programa detallado del examen.
La aplicación de pruebas de cumplimiento para evaluar los sistemas de registro de información
y los procedimientos de control, es el método empleado para obtener la información
complementaria y calificar el grado de riesgo tomado al ejecutar una auditoria especifica.
Las técnicas de mayor aplicación son la entrevista, la observación, la revisión selectiva, el rastreo
de operaciones, la comparación y el análisis.

www.espoch.edu.ec
 Unidad 3: Proceso De Ejecución De La Auditoria De Gestión
Auditoría de Gestión

La utilización de un programa general de auditoría para la planificación específica constituye una

guía que permite aplicar los principales procedimientos para evaluar el control interno de la
entidad o área examinada.

Procedimiento

En ese entendido el programa de auditoría para la planificación específica puede incluir los
siguientes procedimientos generales:
• Considerar el objetivo general de la auditoria y del reporte de planificación preliminar.
• Recopilar información adicional según instrucciones de la planificación preliminar.
• Evaluar el control interno.
• Calificar el riesgo de auditoría.
• Definir los procedimientos de auditoría, a base de la evaluación del control interno.
• Resumir los resultados de la planificación especifica.
En esta fase de la planificación, será imprescindible realizar la evaluación del control interno por
cada uno de los componentes cuyos resultados servirán para establecer la naturaleza y alcance
de los procedimientos de auditoría.
En la planificación preliminar se trabaja con las actividades de la entidad en su conjunto, como
un todo, en cambio en la planificación específica, se trabaja con cada uno de los componentes
en particular, en forma separada del resto de los componentes.

Resultados de Planificación Específica

Los principales resultados que se obtienen de la planificación específica son los siguientes:
• Presentación de un plan de muestreo y enfoque de la auditoria.
• Presentación de un plan específico de la auditoria a desarrollar, que incluye, los
programas de auditoría por componentes a ser examinados en la siguiente fase.
• Explicación de las desviaciones o deficiencias del control interno.

www.espoch.edu.ec
 Unidad 3: Proceso De Ejecución De La Auditoria De Gestión
Auditoría de Gestión

MATRIZ DE EVALUACIÓN DE RIESGO

Definición

La Matriz de Evaluación de Riesgos es una herramienta de gestión que permite determinar

objetivamente cuáles son los riesgos relevantes para la seguridad y salud de los
trabajadores que enfrenta una organización. Su llenado es simple y requiere del análisis de las
tareas que desarrollan los trabajadores.
Se trata de una herramienta que te permite representar en un gráfico los distintos riesgos que
has detectado. En función de su ubicación en dicho gráfico podrás determinar cuáles son los que
pueden afectar con más gravedad a tu proyecto. De esta manera tienes un criterio cuantificable
para efectuar una priorización en tu actuación ante los riesgos.
Características
Con el fin de garantizar su eficacia y utilidad, una matriz de riesgo debe tener las siguientes
características:
• Debe ser flexible.
• Sencilla de elaborar y consultar.
• Que permita realizar un diagnóstico objetivo de la totalidad de los factores de riesgo.
• Ser capaz de comparar proyectos, áreas y actividades.

Construir la matriz de evaluación de riesgos

El primer paso es asignar dos valores a cada riesgo:

• Impacto. Tienes que determinar cuánto afectará al resultado del proyecto que se
materialice ese riesgo. Aquí debes tener en cuenta el efecto en todos los parámetros
posibles. No sólo a nivel económico. También debes considerar cómo se resentirá la
capacidad de cumplimiento del plazo previsto o de las especificaciones solicitadas.
• Probabilidad de que se materialice. En este caso deberás estimar qué posibilidad existe,
de que, a lo largo de la ejecución del proyecto, ocurra esa situación no deseada.

La evaluación cuantitativa utiliza valores numéricos o datos estadísticos, en vez de escalas

cualitativas, para estimar la probabilidad de ocurrencia de cada evento, procedimiento que

www.espoch.edu.ec
 Unidad 3: Proceso De Ejecución De La Auditoria De Gestión
Auditoría de Gestión

definitivamente podría brindar una base más sólida para la toma de decisiones, esto
dependiendo de la calidad de información que se utilice.

Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el proceso del

trabajo de estimar la probabilidad de riesgo. Al respecto, debe notarse que, si bien la valoración
de riesgo contenida en una matriz de riesgo es mayormente de tipo cualitativo, también se
utiliza un soporte cuantitativo basado en una estimación de eventos ocurridos en el pasado, con
lo cual se obtiene una mejor aproximación a la probabilidad de ocurrencia del evento.

La valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que podría ser
por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta (5), dependiendo
de la combinación entre impacto y probabilidad. En la siguiente gráfica se puede observar un
ejemplo de esquema de la matriz del riesgo:

Análisis de la matriz de evaluación de riesgos

La manera de interpretar los resultados de la matriz es muy sencilla. Cuanto más cerca del origen
de coordenadas se sitúe el riesgo menor importancia tendrá este. Los riesgos más preocupantes
son los que se ubican lejos del punto de corte de los ejes del gráfico.

www.espoch.edu.ec
 Unidad 3: Proceso De Ejecución De La Auditoria De Gestión
Auditoría de Gestión

De acuerdo con la configuración del gráfico, cuanto más a la derecha esté un riesgo, más impacto
tendrá en el proyecto. Del mismo modo, cuando más elevado se encuentre, mayor será la
probabilidad de que ocurra. Por lo tanto, un riesgo ubicado en la zona superior derecha es un
riesgo muy, muy grave.

El nivel de riesgo

Un dato adicional que puedes obtener es el nivel de riesgo, que es algo tan simple como
multiplicar el valor asociado al impacto por el valor con que hayas valorado la probabilidad.
Lógicamente, cuanto mayor sea este nivel mayor gravedad tendrá el riesgo.

Puede ser visualmente útil que el tamaño de las representaciones de los riesgos, y el color, en
el gráfico estén acordes con el valor resultante del nivel de riesgo.

MATRIZ DE CONTROL INTERNO

Definición

La misma es una forma de pensar, de planificar, de delegar, de adoptar decisiones y resolver

problemas, y de ver la organización en su totalidad.

Es una forma de pensar, porque analizando la interrelación de los diversos productos, servicios
y áreas de la empresa con las disposiciones normativas externas e internas, como así también
con los principios de control interno y seguridad, lleva tanto a los funcionarios, como a los
auditores internos (o externos) y a las gerencias de las diversas áreas a preguntarse de que
manera afectan, si es que lo hacen, las diversas normativas a sus procesos y actividades, o bien
indagar acerca de la existencia o no de normas que se relacionen con las mismas.

www.espoch.edu.ec
 Unidad 3: Proceso De Ejecución De La Auditoria De Gestión
Auditoría de Gestión

Cabría preguntarse cuantas veces las organizaciones son pasibles de sanciones pecuniarias por
incumplimiento de deberes formales sólo por el hecho de no haber realizado las indagaciones o
bien de no tener planificados los controles y las respectivas acciones.

Es una manera de planificar por cuanto los funcionarios de la organización establecen cantidad
de controles a ejecutar por período de tiempo, con qué elementos o recursos se van a contar,
que cuestionarios se han de utilizar y quienes los elaborarán. Por medio de la delegación se
asigna por un lado quienes son los responsables de realizar los controles.

Como el sistema matricial hace uso de puntajes de eficacia, los aspectos o áreas de mayores
riesgos, los cuales surgen de los puntajes más bajos, son aquellos en los cuales se han de priorizar
los ajustes y correcciones, además a través del análisis de las razones de los bajos puntajes se
logra saber los motivos que los originan y de tal forma adoptar las mejores acciones tendientes
a su resolución.

Cómo funciona la matriz de control interno

En dicha Matriz tenemos que en las columnas se registran las Normativas Externas e Internas,
como así también los Principios y Políticas cuya aplicación debe verificarse.

Por el lado de las filas tenemos los Productos, Servicios, Áreas / Sectores – Actividades / Procesos
que tienen lugar en la compañía.

Así pues, una vez colocados los títulos de las columnas y filas, corresponde interrelacionar los
mismos (Ejemplo: Ventas / Impuestos Nacionales "Punto 1.1") en función de las normativas y
principios a los cuales deberán dar cumplimiento las áreas, actividades y productos. En caso de
no existir interrelación entre el ítem de la fila con el de la columna, dicho espacio se anula
(sombreado) (Ejemplo: Investigación y Desarrollo no tiene norma de aplicación del Banco
Central).

Los puntos asignados a cada casillero corresponden a los cuestionarios de control aplicables y al
Manual de Auditoría, así también servirán para asignar recursos en el presupuesto de control,
como también para establecer cantidad de controles por períodos y delegar responsabilidad del
control respectivo.

www.espoch.edu.ec
 Unidad 3: Proceso De Ejecución De La Auditoria De Gestión
Auditoría de Gestión

Propuesta para establecer una matriz de control interno

En esta ocasión, se propone un modelo relativamente sencillo y compacto de desarrollar,

consistente en un solo documento: la Matriz para el Control de Riesgos. La ventaja de este
modelo es que, en un solo documento, o en un solo “golpe de vista”, se pueden visualizar de
manera directa todos los elementos para controlarlos y se pueden relacionar o interconectar
entre sí. Las columnas que se planea para implementar este modelo son las siguientes:

1. Descripción o definición del riesgo

2. Concepto del riesgo
3. Clasificación del riesgo
4. Cuantificación del riesgo
5. Impacto o área específica en que recae el riesgo
6. Medidas para administrar y controlar el riesgo
7. Fechas de implementación de esas medidas
8. Porcentaje de cumplimiento de esas medidas

Desarrollo de la matriz de control interno

A continuación, se indican algunas generalidades para el llenado de dichas columnas,

sugiriéndose, incluso, la preparación de un procedimiento:

Descripción del riesgo. Aquí se debe definir concisamente el riesgo con las menores palabras
posibles.

Concepto del riesgo. Se clasifican en estratégico, operativo, financiero, de imagen, de

información, regulatorio, de sistemas, contractual, de industria, de mercado, de recursos
humanos, de liquidez y de estabilidad o solvencia. Un riesgo puede caer en dos o más de estas
agrupaciones, por lo que es válido emplear varios de estos conceptos para conceptualizar un
riesgo.

Clasificación del riesgo. Se dividen en crítico, importante y de mediana importancia, para lo cual
deberá definirse qué se entiende por cada uno de éstos para cada organización. Se sugiere que
la Matriz de Control de Riesgos se enfoque solo sobre los riesgos críticos e importantes.

Cuantificación del riesgo. Se propone estimarlo en pesos o dólares, o bien, bajo los indicadores
o parámetros operativos de la empresa en cuestión, como pudieran ser toneladas, kilowatts-

www.espoch.edu.ec
 Unidad 3: Proceso De Ejecución De La Auditoria De Gestión
Auditoría de Gestión

horas o cualquier unidad de medida aplicable. Si no es posible definir, estimar o identificar dicha
cuantificación, se recomienda calcular el rango mínimo y máximo de ocurrencia del riesgo en
particular de que se trate. Se sugiere procurar evitar las palabras “no cuantificable”.

Impacto o área específica en que recae el riesgo. En esta columna, se debiera identificar el área
o concepto de la empresa donde recae el riesgo en particular.

Medidas para administrar y controlar el riesgo. La columna más importante de todas para
identificar y controlar todos los riesgos. Estas medidas corresponden a las acciones normales o
extraordinarias, preventivas y correctivas, que la dirección de la empresa desarrolla para
administrar la operación, el control de gestión y las finanzas de la empresa.

Fechas de implementación de dichas medidas, tanto de inicio y de terminación, procurando

evitar la palabra “permanente”. En este caso, se requiere honestidad profesional para reconocer
si efectivamente se tienen o no implementadas las medidas aplicables correspondientes, es
decir, si se deben establecer nuevos mecanismos para el control de los riesgos de la empresa.

Porcentaje de cumplimiento de esas medidas. Para esto, se deberá ser objetivo al indicar ese
porcentaje, para que el lector de esta Matriz evalúe, si estas medidas están implementadas al
100%, o bien identificar cuál es su porcentaje de cumplimiento efectivo.

www.espoch.edu.ec
 Unidad 3: Proceso De Ejecución De La Auditoria De Gestión
Auditoría de Gestión

Bibliografía

Chambi. (2021). Mailxmail. Obtenido de http://www.mailxmail.com/que-es-planificacion-

especifica-detallada-caracteristicas_h

Bueno. (Junio de 2021). Web DGBV. Obtenido de

https://sites.google.com/site/auditoriadegestiondgbv/3-procedimiento/c-

planificacion-especifica

Diaz. (26 de Noviembre de 2012). ESPE. Obtenido de http://ai.espe.edu.ec/wp-

content/uploads/2012/07/Manual-de-Auditor%C3%ADa-Gubernamental-Cap-V.pdf

Garcia. (10 de Enero de 2018). Pyme.net. Obtenido de https://jorgesaiz.com/blog/matriz-de-

evaluacion-de-riesgos/

Auditool. (Febrero de 2021). Web Auditol. Obtenido de https://www.auditool.org/blog/control-

interno/6227-metodologia-matriz-de-control-de-riesgos

Lefcovivh. (Mayo de 2013). Web Monografías. Obtenido de

https://www.monografias.com/trabajos14/matriz-control/matriz-control.shtml

www.espoch.edu.ec