Auditoría Interna,

basada en riesgos
Matrices de riesgos y control
 Elementos que determinan la
realización de la Auditoría Interna
Empresa
 Entendiendo…
• La Auditoría en base a riesgos permite, entre otros:

– Identificar aquellos procesos auditables que revisten mayor

relevancia para la organización.
– Industria Moderar, aplaca,
disminuir o suavi-
– Evaluar y determinar en que medida los procesos de control zar algo riguroso
organizados en el sistema de control interno contribuyen a mitigar los o áspero.
riesgos.

– Formular medidas correctivas que ayudan a la Organización a

enfrentar preventivamente los riesgos.
 Para la planeación de una Auditoría
Interna basada en riesgos
Realizar la Planificación de Auditorías Internas, identificando y analizando
integralmente los procesos claves (críticos) de la Institución, en
concordancia con las orientaciones estratégicas de esta, que permitan
identificar y priorizar los principales riesgos y exposiciones al riesgo que
afectan a estos procesos y en consecuencia a la entidad.
Dirección, Recursos
Para esto, se necesita tener conocimiento de: Humanos, ventas,
 Objetivos institucionales para el año en curso. producción,
 Procesos realizados por cada una de las Áreas de la Institución, contabilidad y
detallados por Divisiones, Departamentos y Unidades; indicando finanzas
si corresponden a procesos habituales o esporádicos.
 Matriz N° 1: Matriz de Procesos para focos de Auditoría
 Matriz N° 2: Matriz de Riesgos para análisis de Procesos
Relevantes
Matriz de procesos para focos de
Auditoría

Objetivo
Departamento / Proceso
N°1 N°2 N°3
Área de RRHH
Proceso
Área de logística
Proceso
Área de Marketing
Proceso
Área de Contabilidad y Finanzas
Proceso
  Con la aplicación de la Matriz N° 1 se determinará la importancia de los
procesos para el logro de los objetivos, calificándola como: alta, media, baja o
nula de acuerdo al puntaje obtenido.

 Quien realice el llenado de esta tabla deberá realizar la siguiente pregunta:

 ¿El proceso X contribuye al logro del objetivo?

 Por lo tanto, si la respuesta es SI, se deberá indicar en la casilla

correspondiente el nivel de contribución al objetivo.

CATEGORIA DESCRIPCION VALOR

ALTO El proceso aporta de manera fundamental en el cumplimiento del objetivo estratégico. 3
MEDIO El proceso aporta de manera importante en el cumplimiento del objetivo estratégico. 2
BAJO El proceso aporta de manera menor en el cumplimiento del objetivo estratégico. 1
NULO El proceso no aporta en el cumplimiento del objetivo estratégico 0
 RETAIL
Objetivo
Departamento / Proceso
VENDER PRODUCTOS DE TEMPORADA CONSEGUIR NUEVOS CLIENTES (TARJETA) CONSEGUIR PRODUCTOS INNOVADORES
Área de RRHH
2 3 1
Va a seleccionar bien el personal apto
Área de logística
3 2 1
Crear las ubicaciones adecuadas de personal y recursos
Área de Marketing
3 3 0
Crear estrategias de publicidad
Área de Contabilidad y Finanzas
2 1 3
Comprar la mercadería adecuada

Ejemplo
Matriz de Riesgos para análisis de Procesos Relevantes

1era Parte:Matriz
Riesgode riesgo y2da Parte: Control
control
Riesgo Control Nivel de
Valor de eficiencia
Proceso Sub-proceso Objetivo Descripción Probabilidad Impacto Criticidad Descripción Oportunidad Periodicidad Automatización exposición
Capacitar al personal Investigar sobre
MEDIA MEDIA ALTA BUENO
para su trabajo y la Capacitaciones historia de las SEMI-
Capacitación 12 PREVENTIVO PERIODICO 3
aplicación de nuevas ineficientes entidades que harán INFORMATIZADO
3 4 4
tecnologías las capacitaciones
Malas asignaciones MEDIA MEDIA ALTA MAS QUE REGULAR
12 No existe control DETECTIVO PERIODICO INFORMATIZADO 4
Gastos en Definir el sueldo de de grado 3 4 3
Cálculo de
personal los trabajadores Conflicto de MEDIA ALTA MEDIA ALTA DEFICIENTE
remuneraciones
municipales interés con 16 No existe control DETECTIVO OCASIONAL MANUAL 16
empleados 4 4 1
Pago de Pagar íntegramente las MEDIA BAJA MEDIA REGULAR
No pago de Informes mensuales
cotizaciones cotizaciones de los 6 CORRECTIVO PERIODICO INFORMATIZADO 3
cotizaciones 2 3 de egresos 2
previsionales empleados
No estar en línea Evaluaciones de
MEDIA MEDIA BUENO
con las proyectos con SEMI-
Elegir el proyecto mas 9 PREVENTIVO OCASIONAL 2,25
necesidades de la distintos INFORMATIZADO
importante para la 3 3 4
Elección de comunidad departamentos
comunidad, para así
proyecto
satisfacer sus Realizar proyectos MEDIA BAJA MEDIA BAJA DEFICIENTE
necesidades bajo intereses 4 No existe control PREVENTIVO OCASIONAL MANUAL 4
personales 2 2 1
Compra de
Ofertar públicamente En la elección de
bienes y
para los proveedores Ofertas con MEDIA MEDIA ALTA proyectos se REGULAR
servicio
las necesidades del condiciones compara con otros, y SEMI-
12 PREVENTIVO PERIODICO 6
proyecto, para poder ineficientes y/o de ahí se escoge el INFORMATIZADO
obtener las diferentes inalcanzables 3 4 entregue lo 2
Licitación
ofertas de los necesario
proveedores y sus Al realizar
MEDIA ALTA BUENO
precios, de acuerdo Pocos proveedores presupuesto ver la
15 PREVENTIVO PERIODICO INFORMATIZADO 3,75
con las condiciones que oferten posibilidad para
3 5 4
impuestas por la realizar proyecto
 Riesgo
Proceso Sub-proceso Objetivo Descripción Probabilidad Impacto Criticidad
Capacitar al personal
MEDIA MEDIA ALTA
para su trabajo y la Capacitaciones
Capacitación 12
aplicación de nuevas ineficientes
3 4
tecnologías
Malas asignaciones MEDIA MEDIA ALTA
12
Gastos en Definir el sueldo de de grado 3 4
Cálculo de
personal los trabajadores Conflicto de MEDIA ALTA MEDIA ALTA
remuneraciones
municipales interés con 16
empleados 4 4
Pago de Pagar íntegramente las MEDIA BAJA MEDIA
No pago de
cotizaciones cotizaciones de los 6
cotizaciones 2 3
previsionales empleados
No estar en línea
MEDIA MEDIA
con las
Elegir el proyecto mas 9
necesidades de la
importante para la 3 3
Elección de comunidad
comunidad, para así
proyecto
satisfacer sus Realizar proyectos MEDIA BAJA MEDIA BAJA

Riesgo
necesidades bajo intereses 4
personales 2 2
Compra de
Ofertar públicamente
bienes y
para los proveedores Ofertas con MEDIA MEDIA ALTA
servicio
las necesidades del condiciones
12
proyecto, para poder ineficientes y/o
obtener las diferentes inalcanzables 3 4
Licitación
ofertas de los
proveedores y sus
MEDIA ALTA
precios, de acuerdo Pocos proveedores
15
con las condiciones que oferten
3 5
impuestas por la
 Control Nivel de
Valor de eficiencia
Descripción Oportunidad Periodicidad Automatización exposición
Investigar sobre
BUENO
historia de las SEMI-
PREVENTIVO PERIODICO 3
entidades que harán INFORMATIZADO
4
las capacitaciones
MAS QUE REGULAR
No existe control DETECTIVO PERIODICO INFORMATIZADO 4
3
DEFICIENTE
No existe control DETECTIVO OCASIONAL MANUAL 16
1

Informes mensuales REGULAR

CORRECTIVO PERIODICO INFORMATIZADO 3
de egresos 2
Evaluaciones de
BUENO
proyectos con SEMI-
PREVENTIVO OCASIONAL 2,25
distintos INFORMATIZADO
4
departamentos
DEFICIENTE

Control
No existe control PREVENTIVO OCASIONAL MANUAL 4
1

En la elección de
proyectos se REGULAR
compara con otros, y SEMI-
PREVENTIVO PERIODICO 6
de ahí se escoge el INFORMATIZADO
entregue lo 2
necesario
Al realizar
BUENO
presupuesto ver la
PREVENTIVO PERIODICO INFORMATIZADO 3,75
posibilidad para
4
realizar proyecto
 Proceso relevante para el logro de la misión institucional,
objetivos estratégicos y productos estratégicos.
Proceso Crítico

Componentes principales del proceso crítico. La falla

Sub-Procesos de alguno de estos subprocesos podrá implicar que
falle el proceso crítico.

Probabilidad: Posibilidad de
ocurrencia de un riesgo Distinguir
Cualquier situación que potencial. entre
entorpece el normal suceso y
Riesgo Asociado desarrollo e impide el Impacto: Consecuencia que riesgo
logro del objetivo. puede ocasionar a la
organización
la materialización del riesgo.

Controles Todas las medidas que toma la administración con la

Existentes finalidad de evitar la ocurrencia de un riesgo.
 Valores
Probabilidad Impacto
CATEGORIA DESCRIPCION VALOR CATEGORIA DESCRIPCION VALOR
ALTA Casi certeza 5 ALTA Catastróficas 5
MEDIA ALTA Muy probable 4 MEDIA ALTA Mayores 4
MEDIA Moderada 3 MEDIA Moderadas 3
MEDIA BAJA Improbable 2 MEDIA BAJA Menores 2
BAJA Muy improbable 1 BAJA Insignificantes 1
 Oportunidad
CATEGORIA DESCRIPCION Clasificación
PREVENTIVO Al inicio de un proceso. OPTIMO 5
CORRECTIVO Durante el proceso y permiten corregir. BUENO 4
DETECTIVO Después de un proceso. MAS QUE REGULAR 3
REGULAR 2
Periodicidad DEFICIENTE 1
CATEGORIA DESCRIPCION INEXISTENTE 1
PERMANENTE Durante todo el proceso.
PERIODICO Períodos específicos en el proceso.
OCASIONAL De forma ocasional en un proceso.

Automatización
CATEGORIA DESCRIPCION
INFORMATIZADO Completamente en sistemas informáticos.
SEMI-INFORMATIZADO Parcialmente en sistemas informáticos.
MANUAL Aplicados manualmente.