FACULTAD DE CIENCIAS

ADMINISTRATIVAS
Auditoría
de Gestión

Profesor : Mag. NUÑEZ ZEGARRA, JAIR

Semana 10: Levantamiento del proceso de
información para la auditoria.

Contenido

1. Los Riesgos y Oportunidades en la norma

ISO 9001 2015

2. Critical Audit Matters - CAM

1. Los Riesgos y Oportunidades
en la norma ISO 9001 2015

Una de las principales novedades de la

norma ISO 9001 2015, es la necesidad
de gestionar los Riesgos y las
Oportunidades que afecten a los
Procesos de la empresa.

Éstos son debidos de los cambios del

Contexto de la organización, tanto de
su entorno como de sus partes
interesadas.

Y surgen del análisis de los factores

internos y externos, vistos en puntos
anteriores de la norma ISO 9001 2015.
1. Los Riesgos y Oportunidades
en la norma ISO 9001 2015

En ocasiones sólo se habla de

Riesgos, olvidando el término de
Oportunidad. Ya que se considera que
aprovechar una oportunidad que surja
en un momento determinado, al final
supone un riesgo si se intenta
aprovechar.

Por ejemplo: la oportunidad de entrar

en un nuevo mercado, lleva asociado
el riesgo de que no se alcancen los
objetivos marcados, y por tanto se
pierda toda la inversión realizada en
tiempo y dinero.
1. Los Riesgos y Oportunidades en la
norma ISO 9001 2015

En versiones anteriores de la norma ISO 9001, existía la

posibilidad de abrir Acciones Preventivas que evitasen la
aparición de No Conformidades en los procesos de
nuestro Sistema de Gestión de la Calidad. La necesidad
de tomar estas acciones debía surgir en el día a día de la
actividad o en la Revisión del Sistema de Gestión, por lo
que el número de Acciones Preventivas era muy escaso.

Con la gestión de los Riesgos este problema desaparece,

ya que en definitiva se trata de adelantarse a los
problemas, proporcionando una sistemática para generar
acciones preventivas que reduzcan o eliminen los
riesgos. Convirtiendo el Sistema de Gestión en una
herramienta más preventiva que correctiva, como era
hasta ahora. Favoreciendo además, que las
organizaciones apliquen mejoras de manera proactiva y
no sólo reactiva, garantizando la mejora continua de las
mismas.
1. Los Riesgos y Oportunidades en la
norma ISO 9001 2015

Pese a que la norma ISO 9001 2015 no establece

ninguna metodología específica para la gestión de
los Riesgos y las Oportunidades, se puede tomar
como referencia la norma ISO 31000 Gestión del
riesgo: Principios y directrices.

A continuación presentamos una posible

sistemática, basada en las indicaciones de esta
norma, simplificada a sólo tres pasos:

Paso 1: Identificación de riesgos y oportunidades

Paso 2: Evaluación de riesgos y oportunidades
Paso 3: Tratamiento de riesgos y oportunidades
1. Los Riesgos y Oportunidades en la
norma ISO 9001 2015
Paso 1: Identificación de riesgos y
oportunidades

La definición de los Riesgos y las Oportunidades quizás

sea la tarea más crítica, dado que es fundamental no
dejarse ningún Riesgo por identificar. El análisis del
Contexto realizado con anterioridad, como pide la norma
ISO 9001 2015, nos proporcionará una buena fuente de
información para la identificación de los Riesgos.

Es importante dedicarle unos días a pensar en posibles

riesgos, evitando cerrar la lista en una única reunión. En
la identificación de los Riesgos y las Oportunidades,
además de la Dirección, es bueno que participen todos
los propietarios o responsables de los procesos.
1. Los Riesgos y Oportunidades en la norma ISO 9001 2015
Paso 1: Identificación de riesgos y oportunidades

Alguno de los Riesgos más comunes que se dan en la mayoría de las organizaciones, son los
siguientes:

• Relacionados con los sistemas informáticos: virus informáticos, pérdida o robo de equipos, rotura
de servidores, falta de capacidad...
• Relacionados con los empleados: huelgas, baja productividad, pérdida de talento, alta rotación,
escaso compromiso con la organización...
• Relacionados con el corte de servicios: Pérdida de acceso a internet, comunicaciones (teléfono),
corte de luz...
• Relacionados con multas y penalizaciones: multas por incumplimientos legales, pérdida del
certificado ISO 9001, nuevos reglamentos o leyes que resulten de aplicación...
• Relacionados con la Pérdida de competitividad: obsolescencia de la máquinas, personal poco
formado, falta de nuevos productos (patentes), pérdida de clientes...
• Relacionados con los cambios en el mercado: productos sustitutivos, aumento de la competencia,
falta de crédito, caída de la demanda...
• Relacionados con desastres naturales: incendios, inundaciones, terremotos, explosiones,
accidentes.
1. Los Riesgos y Oportunidades en la norma ISO 9001 2015
Paso 1: Identificación de riesgos y oportunidades

Algunas de las Oportunidades que se suelen dar en las empresas en algún momento, son las siguientes:

• Relacionados con el entorno político y económico: La caída del precio del petróleo, las ayudas públicas al I+D, o
la mejora en las condiciones de financiación, pueden ser oportunidades para retomar inversiones paradas.
• Relacionados con la evolución del mercado: Una crecimiento de la demanda puede dar la oportunidad de invertir
en el crecimiento y diversificación de la organización.
• Relacionados con las nuevas tecnologías: Las nuevas tecnologías ofrecen a las organizaciones la opción de
mejorar sus productos, ofrecer otros nuevos, y optimizar su productividad y eficiencia.
• Relacionados con los nuevos mercados: La economía global actual, ofrece un gran número de países y culturas
donde vender nuestros productos.
• Relacionados con el cierre de competidores: Si una empresa competidora o proveedora cierra, ofrece una gran
oportunidad tanto en la adquisición de maquinaria y equipos, como en la de contratación de personal altamente
cualificado y experimentado.
• Relacionados con los nuevas necesidades: Los clientes, los consumidores y la sociedad en general, cambia sus
hábitos de vida continuamente, y por tanto sus necesidades de compra. Lo que abre un gran número de nuevos
nichos de mercado que cubrir.
• Relacionados con nuevos reglamentos y leyes: La publicación de una nueva ley, puede dar la oportunidad a la
empresa de ser la primera en adaptarse al nuevo escenario, y por tanto sacar ventaja a sus competidores.
1. Los Riesgos y Oportunidades en
la norma ISO 9001 2015
Paso 2: Evaluación de riesgos y
oportunidades

Una vez identificados todos los Riesgos y

Oportunidades de nuestra organización,
deberemos determinar cuáles de ellos
vamos a tratar.

Dado que los recursos para reducirlos

suelen ser finitos, necesitaremos poder
valorar cada uno de los riesgos para
poder determinar su criticidad, y así
dedicar los recursos disponibles en los
más importantes.
1. Los Riesgos y Oportunidades en la
norma ISO 9001 2015
Paso 2: Evaluación de riesgos y
oportunidades

Para poder valorar los riesgos de manera

objetiva, evitando las opiniones subjetivas del
evaluador, deberemos definir previamente los
criterios que vamos a utilizar en la evaluación.

Estos criterios deberán ser lo más cuantificables

que podamos: evitando términos como "muchas
veces, pocas o casi nunca", y utilizando otros
como "más de 5 veces al día, menos de 1 vez al
mes". Los dos criterios clásicos que se utilizan
para este tipo de evaluación, son la probabilidad
y el impacto. Y son suficientes para el
cumplimiento de los requisitos de la norma ISO
9001 2015.
1. Los Riesgos y Oportunidades en la
norma ISO 9001 2015
Paso 2: Evaluación de riesgos y
oportunidades

• La Probabilidad: calcular la probabilidad de

que un riesgo se materialice suele ser
complicado. Para ello deberemos consultar
las veces que nos ha sucedido en el pasado
en la empresa, o buscar en internet
información al respecto.

• El Impacto: la mejor forma de poder comparar

los impactos de diferentes riesgos, es calcular
el coste económico en caso de materializarse.
No sólo el coste de reposición de la
maquinaria, de las materias primas o de los
servicios que necesitaremos subcontratar,
sino también el de todas las horas del
personal propio implicado.
1. Los Riesgos y Oportunidades en la
norma ISO 9001 2015
Paso 2: Evaluación de riesgos y
oportunidades

Una vez valorados todos los Riesgos y

Oportunidades bajo estos criterios,
deberemos aplicar una fórmula para
determinar el nivel de riesgo de cada uno
de ellos.

Esta fórmula puede ser desde una simple

suma o producto de la valoración de los
criterios, a un algoritmo ponderado más
complejo..
1. Los Riesgos y Oportunidades en la norma ISO 9001 2015
Paso 2: Evaluación de riesgos y oportunidades

Ya hemos calculado el nivel de riesgo de cada uno de los Riesgos/Oportunidades, ahora

deberemos determinar cuáles de ellos tratamos/aprovechamos. Evidentemente será aquellos con
mejor puntuación, pero dado que los recursos son limitados, habrá que determinar un punto de
corte. Éste debe ser determinado y aprobado por la Dirección, que asumirá el resto de riesgos
como tolerables y el resto de oportunidades como aplazables.
1. Los Riesgos y Oportunidades en la
norma ISO 9001 2015
Paso 2: Evaluación de riesgos y oportunidades

IMPORTANTE: La evaluación de riesgos debe ser

aprobada por la Dirección. Evitando así, incoherencias
con los Objetivos y la Estrategia de la organización, y
cumplir así los requisitos de la norma ISO 9001 2015. Por
ejemplo: no es coherente que tengamos como objetivo
mejorar la atención de los clientes, y aceptar como
tolerable el riesgo de eliminar sus correos electrónicos por
ser confundidos como "spam".

RECOMENDACIÓN: Se debe reevaluar periódicamente

los riesgos y oportunidades, siendo lo más habitual al
menos una vez al año o ante cambios importantes del
Contexto. Disponer de una evaluación actualizada de loa
Riesgos y las Oportunidades es requisito de la norma ISO
9001 2015.
1. Los Riesgos y Oportunidades en la norma
ISO 9001 2015
Paso 3: Tratamiento de riesgos y oportunidades

Una vez realizada la evaluación de los riesgos y de las

oportunidades, y saber cuáles de ellos vamos a tratar, es el
momento de definir las acciones que vamos a realizar. En el
caso de los Riesgos, estas acciones irán dirigidas a
conseguir alguno de los siguientes objetivos:

• Eliminar el Riesgo: Siempre será la mejor solución, pero

pocas veces será posible. Para ello deberemos
centrarnos en analizar el foco y origen del riesgo, para
tratarlo y así eliminar el riesgo.

• Reducir la probabilidad: Al tomar acciones sobre un

determinado riesgo, podremos centrarnos en reducir la
probabilidad de que éste se materialice. Y por tanto,
reducir dicho riesgo. Por ejemplo: el invertir en un
antivirus de garantías, reducirá la probabilidad de que los
equipos informáticos de la organización sean infectados.
1. Los Riesgos y Oportunidades en la norma
ISO 9001 2015
Paso 3: Tratamiento de riesgos y oportunidades

• Limitar el impacto: La otra opción es realizar acciones para

reducir su impacto en el caso de que suceda. Por ejemplo:
ante el riesgo de ser penalizado o multado económicamente
por una suma de dinero que cuestionaría la continuidad de la
organización, podemos contratar un seguro.

• Asumir el Riesgo: Cuando el riesgo puede considerarse

tolerable o trivial, existe la opción de asumir dicho riesgo y
por tanto no tomar ningún tipo de acción para corregirlo.

• Desviar el Riesgo: subrogar el riesgo a un proveedor o

colaborador es bastante habitual en actividades que no
aportan valor añadido a nuestros productos. Por ejemplo: si
la distribución de nuestros productos la realizamos con
vehículos propios, podemos subcontratar el reparto y así
desviar a la empresa repartidora el riesgo de accidente o
penalizaciones por retrasos en la entrega.
1. Los Riesgos y Oportunidades en la
norma ISO 9001 2015
Paso 3: Tratamiento de riesgos y oportunidades

Todas las acciones que vayamos a llevar a cabo,

incluyendo su planificación con plazos y
responsables, pueden ser definidos en un Plan de
Acción específico. O integrados en la Planificación
del Sistema de Gestión. Realizando un
seguimiento periódico de todas las acciones, y
corrigiendo las posibles desviaciones que puedan
surgir
2. Critical Audit Matters - CAM
Implementación de asuntos críticos de
auditoría: Conceptos básicos

Los requisitos para que los auditores comuniquen

los asuntos críticos de auditoría (CAM) en sus
informes comenzarán gradualmente en 2019,
según el nuevo estándar de la PCAOB, AS 3101.

El informe del auditor sobre una auditoría de

estados financieros cuando el auditor expresa
una opinión no calificada. La determinación de las
CAM está basada en principios y depende de los
hechos y circunstancias de cada auditoría.
2. Critical Audit Matters - CAM
¿Qué es una CAM (Critical Audit Matters)?

Una CAM se define como cualquier asunto que

surja de la auditoría de los estados financieros que
se comunicó o se requirió que se comunicara al
comité de auditoría y que:

• Se relaciona con cuentas o revelaciones que son

materiales para los estados financieros; y
• Implican especialmente juicios de auditor
desafiantes, subjetivos o complejos.

Los CAM se extraen de los asuntos que deben

comunicarse al comité de auditoría, incluso si no se
comunican realmente, y los asuntos que si se
comunicaron, incluso si no es necesario. La norma
no excluye ninguna comunicación requerida del
comité de auditoría como fuente de CAMs.
2. Critical Audit Matters - CAM
¿Qué es una CAM (Critical Audit Matters)?

Una CAM puede referirse a un componente o parte

de una cuenta o revelación material y no
necesariamente a toda la cuenta o revelación de los
estados financieros.

No obstante, puede tener un efecto generalizado en

los estados financieros si se relaciona con muchas
cuentas o revelaciones. Un asunto que no se
relaciona con una cuenta o divulgación material no
puede ser un CAM.
2. Critical Audit Matters - CAM
CAM y el juicio del auditor

El citado estándar AS 3101 proporciona una lista de

factores que el auditor debe tener en cuenta al
determinar si un asunto involucró un juicio de auditor
especialmente desafiante, subjetivo o complejo:

• La evaluación del auditor de los riesgos de error

importante, incluidos los riesgos significativos.
• El grado de juicio del auditor relacionado con las
áreas en los estados financieros que involucran la
aplicación de un juicio significativo o estimación
por la dirección, Incluyendo estimaciones con
incertidumbre de medición significativa.
• La naturaleza y ocurrencia de las transacciones
inusuales importantes y el alcance de la auditoría y
juicio relacionados con estas transacciones.
2. Critical Audit Matters - CAM
CAM y el juicio del auditor

• El grado de subjetividad del auditor en la

aplicación de procedimientos de auditoría para
abordar la materia o en la evaluación de los
resultados de esos procedimientos.

• La naturaleza y el alcance del esfuerzo de

auditoría requerido para abordar el asunto,
incluyendo el grado de habilidad o conocimiento
especializado necesario o la naturaleza de las
consultas fuera del equipo del compromiso, con
respecto al asunto.

• La naturaleza de la evidencia de auditoría

obtenida en relación con el asunto.

El auditor también debe tener en cuenta otros

factores específicos de la auditoría.
2. Critical Audit Matters - CAM
Comunicación de CAMs

Al comunicar las CAM en el informe del auditor, se

requiere que el auditor incluya una introducción en la
sección “Asuntos de auditoría críticos” del reporte de
auditor.

Para cada CAM comunicada en el informe del auditor, el

auditor debe:

• Identificar cada una de las CAM comunicadas

• Describir las principales consideraciones que llevaron

al auditor a determinar que el asunto es una CAM; así
como proporcionar una discusión clara, concisa y
comprensible de por qué el asunto involucró un juicio
de auditor especialmente complejo, subjetivo o
desafiante. La comunicación debe adaptarse a la
auditoría para evitar un lenguaje estandarizado y para
reflejar la Circunstancias específicas del asunto
2. Critical Audit Matters - CAM
Comunicación de CAMs

• Describir cómo se abordó la CAM en la auditoría;

para el efecto, hará una descripción y podrá
indicar:
a. La respuesta o el enfoque del auditor que fue
más relevante para el asunto.
b. Un breve resumen de los procedimientos de
auditoría realizados.
c. Indicación del resultado de los procedimientos
de auditoría.
d. Observaciones clave con respecto al asunto.

• Consultar las cuentas de estados financieros

relevantes o revelaciones que se relacionan a la
CAM.
2. Critical Audit Matters - CAM
Documentación de CAMs

El auditor debe documentar si un asunto fue

considerado o no una CAM (por ejemplo, si
implicó un juicio del auditor especialmente
desafiante, subjetivo o complejo) y la base de
dicha determinación, para cada asunto que surja
de la auditoría de los estados financieros que:

• Se comunicó o se requirió que se comunicara

al comité de auditoría.

• Se relaciona con cuentas o revelaciones que

son materiales para los estados financieros.
2. Critical Audit Matters - CAM
Redacción de las CAM

• En la redacción de las CAM en el informe del

auditor, no se espera que el auditor
proporcione información sobre la compañía
que no se ha hecho pública por la empresa a
menos que dicha información sea necesaria
para describir las principales consideraciones
que llevaron a un auditor a determinar que un
asunto es una CAM o cómo fue abordado en
la auditoria.
2. Critical Audit Matters - CAM
Redacción de las CAM

• Si el auditor elige describir los procedimientos

de auditoría, se espera que las descripciones
estar a un nivel que los inversionistas y otros
usuarios de estados financieros las entiendan.
Además, el objetivo es proporcionar un
resumen útil, no detallar cada aspecto de
cómo el asunto fue abordado en la auditoría.

• Se debe limitar el uso de términos altamente

técnicos de contabilidad y auditoría en la
descripción de CAM, particularmente si el
auditor elige describir los procedimientos de
auditoría, para que los usuarios de los estados
financieros comprendan mejor el tema.
1. Proceso de Auditoría

ACTIVIDADES

Ver video 1
https://www.youtube.com/watch?v=RumR
vfG5apg

Ver videos 2
https://www.youtube.com/watch?v=apstsN
QSEg8

Opiniones y debate en clase.

Trabajo Grupal