Guía para completar los formularios de evaluación de riesgo 500

Página 1 de 5

El Objetivo

El propósito de la fase de evaluación del riesgo de la auditoría es identificar y evaluar los riesgos de
representaciones erróneas materiales en estados financieros (RMM - Risks of Material Misstatement) en los
dos niveles requeridos: Éstos son:

• El nivel de los estados financieros (RMM como un todo), y

• El nivel de afirmación / aseveración (RMM para cada afirmación / aseveración para cada área de estados
financieros material y su divulgación).

La evaluación de riesgos implica el mejoramiento de procedimientos de evaluación de riesgo que permiten al

auditor:

• Identificar los riesgos inherentes y de control, y

• Reunir la evidencia de auditoría necesaria para sustentar los niveles evaluados de riesgo.

Estas son las seis partes del proceso de “evaluación de riesgos”

1. Estrategia Global de la Auditoría (Formulario 400)

El primer paso en el proceso de evaluación del riesgo (después de la aceptación del cliente / continuidad) es
desarrollar una estrategia de auditoría global que establece el ámbito, el calendario y el enfoque de la
auditoría. Esto incluye la determinación de la materialidad (Formulario 505) y qué procedimientos de
evaluación de riesgo se llevará a cabo. Este paso tendría en cuenta la naturaleza y agenda de las
discusiones del equipo de auditoría.

2. Riesgos de Negocio y de Fraude (Formularios 510, 520/522)

Este paso implica la identificación de factores de riesgo y luego su evaluación. Use el Formulario 510 como
un primer paso en la identificación de riesgos y luego complemente mediante la realización de otros
procedimientos de evaluación de riesgos. Registre los riesgos identificados en el formulario de registro del
riesgo adecuado (Formularios 520 / 522) y luego evaluar la RMM.
Formularios para Auditorías basadas en NIA Abril 2008
Guía para completar los formularios de evaluación de riesgo 500
Página 2 de 5

Al completar el registro de riesgos, debe tenerse presente lo siguiente:

• La columna más importante (y más difícil de completar) en el registro de riesgos es la de "¿Qué puede salir
mal en el E / F como un resultado?". Algunos riesgos pueden tener una serie de implicaciones para áreas
específicas de los estados financieros. Trate cada implicación por separado.

• Evite la tentación natural para bajar la evaluación del riesgo basada en la competencia del cliente y la
historia conocida. El objetivo es identificar qué puede salir mal antes de cualquier medida de mitigación de
los controles del cliente.

• Siempre mantenga dos registros de riesgos - uno de los riesgos del negocio y otro para los riesgos de
fraude. La razón de esto es que:
— Muchos factores de riesgo son ambos, riesgo del negocio y de fraude, y
— Una lista de todos los riesgos de fraude en un lugar hace que sea más fácil evaluar la posibilidad de
fraude e identificar los posibles escenarios de riesgo de fraude dentro de la entidad.
Por último, discuta la integridad de los factores de riesgo identificados (de negocios y los riesgos de fraude) y su
evaluación (probabilidad e impacto) con el cliente. Documente los resultados de estas discusiones, la fecha de la
reunión y quién estuvo presente.
Recuerde que, se pueden identificar nuevos factores de riesgo en cualquier etapa del proceso de auditoría. Cuando
se identifique, anote siempre el riesgo en los Formularios 520/522 para la evaluación y desarrollo de una respuesta
apropiada de auditoría.

3. Los riesgos significativos

Revise la evaluación de los riesgos evaluados en los Formularios 520/522 para identificar cuáles riesgos
(excluyendo el efecto de mitigación de los controles en su lugar) son "riesgos significativos". Los riesgos
significativos requieren una consideración especial de auditoría. Como regla general, en cualquier situación de
riesgo cuando la combinación de "riesgo", multiplicado por el "impacto" excede un puntaje de 12 deben ser
considerados como un posible riesgo significativo.
Para cada riesgo significativo identificado, debería haber un vínculo con los procedimientos de auditoría que
responden al riesgo. La referencia cruzada con el plan de auditoría debe presentarse en los Formularios 520/522.

4. Nivel de la Entidad y los controles generales de TI (Formularios 530 / 532)

Evalúe siempre el diseño e implementación de Cntroles de Nivel de la Entidad (ELC - Entity Level Controls) y los
Controles Generales de TI (ITGC - IT General Controls) antes de los controles de procesos de negocio. Esto se
debe a que los ELC y ITGC están presentes en todas las actividades (tales como la integridad, competencia, etc) y
tendrá un efecto sobre el funcionamiento de los controles de procesos de negocio. La evaluación de los controles
de nivel de la entidad se dirigirá a tres de los cinco componentes de control interno (ambiente de control, evaluación
de riesgos y seguimiento). Los Formularios 530/532 están diseñados para registrar los detalles de ELC y ITGC y
también para evaluar su diseño y aplicación. Las debilidades de control detectadas deber registrarse en el registro
de riesgos aplicables y en el Formulario 585 para posibles reportes a la Gerencia y los encargados Gobierno
Corporativo.

5. Controles del proceso de negocios (Formularios 565 a 580)

Comprenda el control interno relevante para la auditoría implica documente el sistema y luego evalúe el diseño del
control y su aplicación. El formulario que se utiliza para evaluar el diseño del control es la Matriz de Control de
Diseño. Esta matriz permite al auditor identificar sin dificultad:
• Debilidades relevantes de control para reportar a la Gerencia y los encargados del Gobierno Corporativo, y
• Controles clave donde la efectividad operativa puede ser probada para proporcionar evidencia de auditoría.
Seguidamente se ilustra una "Matriz de Control de Diseño " simple (mejor si es preparada con una hoja de cálculo
electrónica). Cuando un procedimiento de control se (interseca) con un factor de riesgo en la matriz, ponga una "P"
(prevenir) para un control que evita que ocurra un error importante. Ponga una "D" (detectar y corregir) para un

Formularios para Auditorías basadas en NIA Abril 2008

Guía para completar los formularios de evaluación de riesgo 500
Página 3 de 5

control que detecta y corrige los errores después que han ocurrido. Tenga en cuenta que los registros de la matriz a
la afirmación relacionada con el riesgo y el componente de control interno utilizado por el proceso.

PROCESO XYZ
Riesgo A Riesgo B Riesgo C Riesgo D

Afirmación ‐‐> C EA A CA

Componente de 
Control Control Interno

Procedimiento de Control 1 CA P P

Procedimiento de Control 2 SI D

Procedimiento de Control 3 CA P P P

Procedimiento de Control 4 M D

Procedimiento de Control 5 CA P

Procedimiento de Control 6 SI D

Procedimiento de Control 7 SI D D

C = Integridad E = Existencia A= Exactitud

CA = Actividad de Control SI = Sistema de Información M = Monitoreo

• Para identificar las debilidades de control

Revise el contenido de cada columna de riesgo hacia abajo. Si una columna está en blanco o no tiene los
controles adecuados para determinar los factores de riesgo, puede que exista la deficiencia de control
material y la cual ha de ser informada. Riesgo C en el ejemplo anterior parece ser una debilidad de control.

• Para identificar las fortalezas de control

Revise el contenido de cada "fila" para identificar los procedimientos de control que permitan prevenir o
detectar que ocurran una serie de errores. Este control también puede tratar con a una serie de
afirmaciones. El Proceso 3 en el ejemplo anterior parece ser un control clave ya que se enfoca en tres
factores de riesgo y la integridad, la existencia y exactitud (Precisión) de las afirmaciones. Los controles
claves, si son considerados confiables, puede ser considerado para evaluar su eficacia operativa.

A continuación figuran las cuatro etapas de la comprensión y la evaluación de control interno del diseño
e implementación:

Formularios para Auditorías basadas en NIA Abril 2008

Guía para completar los formularios de evaluación de riesgo 500
Página 4 de 5

Identificar qué riesgos  Un Procedimiento de Evaluación de Riesgo
1 requieren ser mitigados Identifique qué riesgos han sido identificados 
que puedan ser dirigidos por los controles

Diseño de la evaluación  Relacione riesgos y controles
2 de control Identifique los controles claves para probarlos. 
Identifique debilidades de controles materiales

Entienda los controles internos
Documentar los  Desde el inicio hasta el reporte financiero.
3 controles relevantes Trabaje con cada uno de los 5 componentes 
del control interno

Implementación de la  Un Procedimiento de Evaluación de Riesgo
4 evaluación de control Asegúrese de que los controles están 
operando actualmente como fueron diseñados

Paso 1

Complete las columnas "qué puede salir mal" correspondiente a la "Matriz de Diseño de Controles". Esto implica:

• Determine cuáles son los riesgos de errores materiales que requieren ser mitigados. Utilice los ejemplos de
riesgos proporcionados en las matrices como punto de partida, pero siempre adapte el texto para tratar los
factores de riesgo específicos aplicables a la entidad;
• Elimine de los riesgos que no son aplicables o no son probables que resulten en una error material en los
estados financieros, incluso si no hubiera controles, y
• Asegúrese que los riesgos relativos a todas las afirmaciones relevantes han sido identificados.

Paso 2. Evalúe el diseño de control (Diseño de Matrices de Control)

Completar el diseño de las matrices de control, haciendo coincidir los procedimientos de control del cliente a los
riesgos que se dirijan. En entidades más pequeñas, esto puede hacerse de forma verbal preguntándole al cliente
los procedimientos de control frente a los riesgos identificados en el paso 1 anterior.

Paso 3 Documente el funcionamiento de los controles internos pertinentes

Documente (por notas, diagramas de flujo, etc.) los controles internos relevantes identificados, a partir del inicio de
la transacción a través del reporte financiero. No hay ningún requisito para documentar los controles que no son
relevantes en la prevención o detección de errores materiales en los estados financieros.
Paso 4 (Formulario 535)

El Estándar Internacional de Auditoría 315 (NIA 315) afirma que la encuesta por sí sola no es suficiente. Reúna
evidencias de control de la implementación mediante la realización de un tutorial (que consiste principalmente de la
observación e inspección de una sola transacción) para determinar que los controles documentados en los pasos 2
y 3 funcionan como fueron diseñados. A continuación, realice las correcciones o adiciones necesarias a las
matrices de control y documentación.

Formularios para Auditorías basadas en NIA Abril 2008

Guía para completar los formularios de evaluación de riesgo 500
Página 5 de 5

Las debilidades de control identificadas deben anotarse en el registro de riesgos aplicables y en el Formulario 585
para un posible reporte a la Gerencia y aquellos a cargo del Gobierno Corporativo.

6. Evaluar el riesgo de errores materiales (Formulario 405)

El último paso del proceso consiste en evaluar los resultados de la evaluación de los riesgos inherente y de control
y desarrollar una evaluación conjunta de riesgo en los dos niveles requeridos. Esta evaluación del riesgo
combinado se basa en las pruebas obtenidas de la realización de procedimientos de evaluación de riesgos y uso
de su criterio profesional. La siguiente tabla puede ayudar en la determinación de la adecuada evaluación de riesgo
combinado para cada afirmación sobre la base de varias combinaciones de los riesgos inherente y de control.

Riesgo Inherente Riesgo de Control Riesgo Combinado

ALTO ALTO ALTO
ALTO MEDIO MEDIO
ALTO BAJO MEDIO or BAJO
MEDIO ALTO MEDIO
MEDIO MEDIO MEDIO
MEDIO BAJO BAJO
BAJO ALTO MEDIO or BAJO
BAJO MEDIO BAJO
BAJO BAJO BAJO

Use el Formulario 405 para registrar los resultados de su evaluación y los motivos subyacentes para cada
evaluación de riesgos. Deben incluirse todas los afirmaciones/aseveraciones a nivel de estado financiero y
revelaciones. Este formulario proporciona el punto de partida para el siguiente paso en el proceso que consiste en
responder a los riesgos evaluados.

Formularios para Auditorías basadas en NIA Abril 2008