Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CCPM La Determinacion de Riesgos en Auditoria Interna y Auditoria Externa en Entidades Paraestatales y Su Interrelacion
CCPM La Determinacion de Riesgos en Auditoria Interna y Auditoria Externa en Entidades Paraestatales y Su Interrelacion
NÚMERO
Presentación
Los riesgos determinados como herramienta en la planeación de las auditorías
realizadas en las entidades paraestatales, deben considerar su interrelación para los
enfoques que el auditor interno utiliza desde su punto operativo y el enfoque del
auditor externo principalmente financiero.
Si los riesgos operativos determinados llegaran a ocurrir, podrían tener un impacto
que se refleje en la información financiera y/o presupuestal que signifique un efecto
material sobre los mismos, consideración que motivo la presentación del presente
boletín.
Director Ejecutivo
L.C.P. José Alfonso Zamora Martínez
Vicepresidenta
Mtra. y L.C. Norma Leyla Rangel López
Secretario
L.C. César Alfonso Espinosa Palafox
Integrantes
C.P. y P.C.CA. Eva Lorena Aguirre Castellanos
L.C. Areli Paola Araujo Romero
L.C. y P.C.CA. Beatriz Margarita Calles Trejo
C.P. Lucelia Cuevas Rasgado
L.C.P.C. Javier Estrada Díaz
L.C.P.C. Walter Lamberto García Trejo
L.C.P. y Admón. Carlos Miguel Gómez Márquez
L.C.P.C. y P.C.CA. Eloísa Gutiérrez Díaz
L.C. Anayansi Hernández Bello
C.P.C. Ángel Raúl Hernández Lemus
L.C.P.C. Nancy Lugo Timoteo
C.P. Judith Mejía Trujillo
C.P.C. Roberto Morales Pérez
C.P.C. y P.C.CA. Rodolfo Ignacio Pérez Martínez
L.C. Renato Ramírez Cornejo
C.P.C. Gil Ricardo Ruíz y Alvarado
C.P. y M.C.A.P. Rafael Uribe Melo
L.C. Raúl Alberto Zempoalteca Ramírez
I. Introducción 4
II. Desarrollo 4
III. Conclusiones 15
IV. Bibliografía 15
V. Glosario
16
II. Desarrollo
II.1. Determinación de riesgos en auditoría interna
La función de auditoría interna es realizar actividades de las que se obtenga un grado de seguridad y
asesoramiento establecidos para evaluar y mejorar la eficacia de los procesos de gobierno de la entidad, de
gestión del riesgo y de control interno. La auditoría interna juega un papel determinante en la consecución de los
objetivos del Sistema Nacional de Fiscalización (SNF) como un elemento necesario para alcanzar una mejor
gestión gubernamental.
Objetivo
Las auditorías tendrán por objeto examinar las operaciones, cualquiera que sea su naturaleza de las
dependencias o entidades para verificar los estados financieros; los resultados de operación; si la utilización de
los recursos se ha realizado en forma eficiente; si los objetivos y metas se lograron de manera eficaz y
congruente con una orientación a resultados para determinar si la administración realizó con criterios de
legalidad, honestidad, eficiencia, eficacia, economía, racionalidad, austeridad, transparencia, control, rendición
de cuentas y equidad de género.
Planeación de auditorías
La selección de las auditorías será determinada en forma conjunta por el Titular del Órgano Interno de Control
(TOIC) y la persona Titular del Área de Auditoría Interna, con base en los resultados de la investigación previa, del
análisis de riesgos y del Mapa de Riesgos Institucional, por lo que deberán programarse con los objetivos,
alcances, orientación, fuerza de trabajo y en el período de ejecución que consideren oportuno y necesario, con la
definición del enfoque aplicable, de acuerdo con la naturaleza, misión, visión, problemática y características de
Para la planeación de auditorías deberán considerarse otras fuentes de programación tales como*:
1. La instrucción que emita la persona Titular de la SFP y/o la persona Titular de la Subsecretaría de Control y
Auditoría de la Gestión Pública (SCAGP). Cuando las circunstancias del caso así lo ameriten, dichas
autoridades podrán solicitar a los Órganos Internos de Control (OIC) que incorporen en su planeación anual la
realización de las auditorías que ellas determinen.
2. Los programas sociales, prioritarios, estratégicos. Por tratarse de recursos públicos destinados a mejorar las
condiciones de vida de la sociedad o, al menos, de un sector importante que tiene ciertas necesidades aún no
satisfechas, se hace necesario verificar su cumplimiento.
3. Los montos representativos autorizados a las instituciones públicas vía Presupuesto de Egresos de la
Federación (PEF) por capítulos de gasto. La ejecución del gasto de recursos públicos en importes significativos
es susceptible de atraer el interés de la sociedad, por lo que, en aras de privilegiar la rendición de cuentas, se
hace indispensable verificar que se realice con apego a la normatividad y que su aplicación sea para los fines
a los que se hayan destinado.
4. Procesos críticos o proclives a la corrupción, así como acciones de prevención a efecto de inhibir hechos de
corrupción y faltas administrativas. Cuando se haya identificado que por la naturaleza de la institución pública,
éste cuenta con áreas o preste servicios que las hagan susceptibles a la corrupción, las Áreas de Auditoría
Interna adscritas a los OIC deberán considerar dicho aspecto en su planeación anual para incluir las auditorías
que contribuyan a inhibir dichas prácticas.
5. Seguimientos de observaciones reportados por los OIC en el Sistema Integral de Auditoría (SIA) o resultados
de la evaluación a los OIC del indicador “Auditoría”. Para el caso de las unidades de la Secretaría de la Función
Pública (SFP) podrán considerar como insumo para su Programa Anual de Trabajo (PAT), la información del
seguimiento de observaciones que los OIC reporten a través del SIA, o bien, los resultados de la evaluación
de éstos del indicador referido, a fin de contribuir a la eficacia de los actos de fiscalización.
6. Indicios de irregularidades identificados por otras instancias fiscalizadoras y denuncias. El índice de la
recurrencia de hechos identificados y/o denunciados, constituye una alerta que debe ser atendida para que
la institución pública establezca las medidas y mecanismos de control que contribuyan a su erradicación.
*Lineamientos Generales para la formulación de los Planes Anuales de Trabajo de los Órganos Internos de
Control y de las Unidades de Responsabilidades en las Empresas Productivas del Estado 2019. Secretaría de la
Función Pública 2019.
Determinación de riesgos
Para la identificación correcta de los riesgos, sus causas y efectos, es imprescindible que se cuente con
información suficiente, relevante, oportuna y actualizada, así como con personal experto tanto en la operación
de los procesos sustantivos y/o críticos de la organización como en la aplicación de técnicas y herramientas
apropiadas.
La identificación del riesgo se realiza a través de la elaboración del Mapa de Riesgos, el cual como herramienta
metodológica permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiendo en primera
instancia los riesgos, posteriormente presentando una descripción de cada uno de estos y finalmente definiendo
las posibles consecuencias.
Mapa de Riesgos
El Mapa de Riesgos es la representación gráfica de uno o más riesgos que permite vincular la probabilidad de
ocurrencia y su impacto en forma clara y objetiva, la medición del riesgo es de acuerdo a la probabilidad de
ocurrencia y al impacto que posiblemente genere el riesgo si se llega a materializar.
a) Probabilidad de ocurrencia
Se miden de acuerdo a su posibilidad de ocurrencia del riesgo en una escala de 1 a 10, en la cual el 1
representa que el riesgo es improbable y el 10 que el riesgo seguramente se materializará.
b) Impacto del Riesgo
Valor que se asigna en una escala del 1 al 10, donde el de mayor jerarquía equivale al 10 y el de menor 1.
(10.0) II I
(0.5) III IV
Impacto
Objetivo
La auditoría externa en materia financiera presupuestaria tiene por objeto que el auditor externo emita su
opinión sobre si los estados financieros y los presupuestarios han sido preparados, en todos los aspectos
importantes, de conformidad con el marco de información financiera y presupuestaria aplicable a las entidades
del sector público, con base en los resultados del examen practicado a dichos estados e información conforme
a las Normas Internacionales de Auditoría. Lo anterior incluye el revisar y emitir los informes pertinentes
respecto al cumplimiento de la entidad pública con sus obligaciones fiscales federales y en su caso, locales; si
ésta se ha apegado a la normatividad aplicable en materia de adquisiciones, arrendamientos, servicios y obra
pública y si ha cumplido con las disposiciones normativas aplicables en materia de control interno.
a. Planifique la auditoría.
b. Dirija el esfuerzo de auditoría a las áreas en las que se prevea un mayor riesgo de desviación significativa,
debido a fraude o error, dedicando, por lo tanto menos esfuerzo a otras áreas.
c. Realice pruebas y utilice otros medios para examinar poblaciones en busca de errores.
Las fases de la auditoría basada en riesgos, de conformidad con las Normas Internacionales de Auditoría
consideran:
Valoración del riesgo. Identifica y valora los riesgos basándose en el conocimiento del ente público y de
su entorno, incluido el control interno.
Respuesta al riesgo. Se obtiene evidencia de auditoría suficiente y adecuada sobre si existen
incorrecciones materiales.
Informe de auditoría. Se forma una opinión sobre los Estados Financieros basada en las conclusiones
alcanzadas.
Planeación de auditorías
Implica el establecimiento de una estrategia global en relación con el trabajo de auditoría y el desarrollo de un
plan de auditoría. (Norma Internacional de Auditoría 210, 2018).
La estrategia global de auditoría consiste en identificar las características del trabajo que van a definir el
alcance y determinar los objetivos del trabajo en relación con los informes a emitir con el fin de planificar el
momento de realización de la auditoría. Considera si es relevante el conocimiento obtenido en auditorías
pasadas y determina la naturaleza, el momento de empleo y la extensión de los recursos necesarios para realizar
el trabajo. Se debe considerar el conocimiento general del marco normativo aplicable a la entidad y el modo en
que ésta lo cumple y la determinación de la importancia relativa. La finalidad de la importancia relativa es estimar
el nivel tolerable de error en los estados financieros, establecer el alcance de auditoría y evaluar el efecto de
errores conocidos y probables.
El plan de auditoría incluye la naturaleza, la oportunidad de realización y el alcance de los procedimientos
planificados de acuerdo con la valoración del riesgo como se establece en la NIA 315 “Identificación y valoración
de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno”, así como las
afirmaciones y/o aseveraciones de conformidad con la NIA 330 “Respuestas del auditor a los riesgos valorados”.
Por lo anterior, el auditor debe considerar si un control específico previene o detecta y corrige incorrecciones
materiales en las transacciones, saldos contables o información a revelar. Por ello debe revisar los componentes
del control interno que consisten en:
Una vez analizada la operación del ente público y el funcionamiento del control interno, el auditor identifica los
riesgos determinados por el ente público cuyos controles son débiles o en su caso detecta riesgos que no son
considerados por la entidad y valora los hechos que podrían ocurrir y que pudieran causar un error importante
en los estados financieros.
El riesgo de auditoría externa es que el auditor exprese una opinión inadecuada cuando los estados
financieros contienen errores significativos, por lo tanto el objetivo es reducir este riesgo a un nivel
aceptablemente bajo.
El riesgo de auditoría está en función de:
Toma en cuenta el hecho de que la El riesgo de control disminuye en la El riesgo de detección disminuye en
probabilidad de que ocurran errores medida en que aumenta la la medida en que aumenta la
importantes es mayor en algún tipo efectividad con que el sistema de efectividad de los procedimientos
procedimientos analíticos.
Alto
Bajo Bajo Medio Alto 10% - 30%
(A)
Riesgo Medio
Bajo Medio Alto Confianza Mediano 40% - 60%
Inherente (M)
Bajo
Medio Alto Alto Bajo 60% - 100%
(B)
El resultado que se determina corresponde al Riesgo de Detección, mismo que debe ser inversamente
proporcional a los otros dos riesgos y corresponde al grado de confianza que depositara el auditor externo en el
Sistema de Control Interno, misma que consecuentemente impacta en la naturaleza, oportunidad y alcance de
los procedimientos de auditoría aplicables a las circunstancias.
Ejemplo:
Determinación de riesgos:
Riesgo de Afirmación
contable. terceros.
uso. bienes.
Una vez evaluados, se elabora el Informe de Análisis de Riesgos, y se sustenta en la evidencia documental de
los riesgos identificados por rubro o cuenta, con las consideraciones cualitativas.
La elaboración del plan de auditoría se encamina a dar atención a dichos riesgos, estableciendo
procedimientos, por lo que entre más alto sean los riesgos inherentes y de control, mayor será el alcance de
revisión y por lo tanto se ampliarán los procedimientos a aplicar.
Los riesgos determinados pueden variar de acuerdo al transcurso de la auditoría, por lo que en caso de sufrir
cambios, se deben realizar los ajustes necesarios al igual que en el plan de auditoría. Los procedimientos deben
estar documentados para medir los impactos en el Informe del Auditor Independiente.
Para el auditor externo el riesgo de la celebración de contratos de obra pública es de interés debido a que en la
entidad el objetivo es realizar obras públicas, el rubro que representa el 80% del total del activo son las obras en
proceso.
Los riesgos inherentes determinados por el auditor externo sobre el rubro de obras en proceso son:
Por lo que se considera que el riesgo inherente es alto y el riesgo de control era bajo, ya que los expedientes de
las obras contratadas presentaba deficiencias, los registros contables no estaban conforme al Manual de
Contabilidad Gubernamental emitido por el Consejo Nacional de Armonización Contable (CONAC), y no existía
una supervisión en las estimaciones de obra validando el avance físico y financiero, dando origen a un porcentaje
alto en el alcance de las pruebas de auditoría de conformidad con el riesgo de detección que implica la confianza
para que los errores no se materialicen.
La valoración que se efectúa para ver si ocurre y qué impacto tendrá, así como si es de alto, mediano y bajo
riesgo, depende en gran medida del conocimiento del profesional que se realiza en la planeación de las
III. Conclusiones
El análisis y determinación de riesgos en la etapa de planeación de las auditorías interna y externa, dará pauta a
una mejor prevención de errores para que no se materialicen.
La auditoría deberá determinar la relevancia de los riesgos identificados para evaluar su efecto sobre el logro
de los objetivos, tanto a nivel institución como a nivel transacción, deberá considerar la magnitud del impacto,
la probabilidad de ocurrencia y la naturaleza del riesgo.
Con base en la respuesta al riesgo seleccionada, se debe diseñar acciones específicas de atención, en el
programa de trabajo, el cual proveerá mayor garantía de que los riesgos sean mitigados.
La comunicación entre el Departamento de Auditoría Interna del Órgano Interno de Control y el Auditor
Externo gubernamental, debe ser estrecha en la etapa de planeación de ambas áreas para complementarse y
considerar los riesgos que se determinen en la elaboración de los planes de auditoría. Los riesgos que cada uno
determine deberán estar vinculados, ya que si se refieren a cuestiones operativas y sustantivas tienen un reflejo
en los registros contables sujetos a las revisiones del auditor externo.
Independientemente que al realizar cada auditoría exista un marco conceptual que regula el actuar de cada
profesional, tienen en común, que en la planeación el factor determinante para los procedimientos a aplicar y los
alcances de los mismos, es el riesgo. En la actualidad se menciona que la auditoría es basada en riesgos, los
cuales existen en todas las entidades gubernamentales, pero que nadie los quiere mencionar y no los toman
como una herramienta que les permitirá tomar acciones de mejora.
IV. Bibliografía
ACUERDO por el que se emiten las Disposiciones en Materia de Control Interno y se expide el Manual
Administrativo de Aplicación General en Materia de Control Interno, Diario Oficial de la Federación, última
reforma 02 de febrero de 2014.
ACUERDO por el que se establecen las Normas generales de Control Interno en el ámbito de la Administración
Pública Federal, Diario Oficial de la Federación, última reforma 12 de mayo de 2008.
CHIAVENATO, I. (1998). Administración de Recursos Humanos. DIAZ, P (1985). Lecciones de Psicología. Caracas.
Ediciones Insula.
Marco Integrado de control Interno. Auditoría Superior de la Federación y Secretaría de la Función Pública. 2014.
Administración de Riesgos en el Marco de Control Interno Chiapas, junio 2016, Subsecretaría de Control.
V. Glosario
Para el presente trabajo consideramos importante tener claro algunos conceptos que se mencionarán en esta
exposición.
Control: Proviene del término francés contrôle y significa comprobación, inspección, fiscalización o intervención.
También puede hacer referencia al dominio, o a la regulación sobre un sistema.
Control interno: Es el proceso diseñado, implementado y mantenido por los responsables del gobierno de la
entidad, la dirección y otro personal, con la finalidad de proporcionar una seguridad razonable sobre la
consecución de los objetivos de la entidad relativos a la fiabilidad de la información financiera, la eficacia y
eficiencia de las operaciones, así como sobre el cumplimiento de las disposiciones legales y reglamentarias
aplicables (NIA 315).
En términos gubernamentales el control interno es un proceso efectuado por el Órgano de Gobierno, el Titular,
la Administración y los demás servidores públicos de una institución, con objeto de proporcionar una seguridad
razonable sobre la consecución de los objetivos institucionales y la salvaguarda de los recursos públicos, así
como para prevenir la corrupción.
Riesgo: Probabilidad de ocurrencia y el posible impacto de que un evento adverso (externo o interno) obstaculice
o impida el logro de los objetivos y metas. Entre las definiciones de riesgo que son más utilizadas destacan:
Condición o evento incierto que, en caso de ocurrir, tiene un efecto negativo en los objetivos de un
proyecto (Gray and Larson, 2003).
Conjunto de circunstancias que afectan negativamente el logro de los objetivos de una organización
(Griffths 2006).
Combinación de la probabilidad de que ocurra un evento y la magnitud de sus consecuencias
(Organización Internacional de Estándares, ISO).