Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ÍNDICE
Contenido
UNIDAD 4: Relación entre Objetivos y Riesgos ....................................................................1
UNIDAD 4: Relación entre Objetivos y Riesgos ....................................................................2
4.1 Riesgos ...............................................................................................................................2
4.1.1 Concepto ....................................................................................................................2
4.2.2 Clases de Riesgos: ......................................................................................................2
4.2.1 Riesgo Inherente: .................................................................................................2
4.2.2 Riesgo de Control: ..............................................................................................3
4.2.3. Riesgo de Detección:...............................................................................................3
4.2.1 Factores de riesgo interno: Roles y Responsabilidades ...................................3
4.3. Matriz de riesgos y controles .............................................................................................7
4.3.1. Matriz de riesgos .......................................................................................................7
4.3.2. Fases de la elaboración de una matriz de riesgo. .............................................7
4.3.3. Ejemplo de la matriz de riesgos aplicada al área administrativa ...................9
4.4. Informe de evaluación de Control Interno: concepto y estructura ...................20
4.5 Ejemplo de Informe de evaluación de Control Interno ..........................................23
1
UNIDAD 4: Relación entre Objetivos y Riesgos
4.1 Riesgos
4.1.1 Concepto
El riesgo en auditoría tiene tres componentes: riesgo inherente, de control y detección. Los
dos primeros están relacionados directamente con la entidad, mientras que la detección
está inmerso en la labor que realiza el auditor.
Al evaluar el riesgo el auditor determina niveles de impacto: alto, moderado o medio y bajo.
Están sujetos al criterio del auditor formado a base de su experiencia, por tanto para
respaldar su validez, es necesario la obtención de evidencia.
2
• A nivel del estado financiero
Las partidas de los estados financieros son susceptibles a representación errónea, ya sea
por el grado de complejidad de las transacciones, por las estimaciones que requieren y
otros eventos que podrían requerir usar el trabajo de un experto, que haya sido necesario
aplicar un grado de juicio especial para determinar saldos de cuenta, o la susceptibilidad
de los activos a pérdida o malversación por ser altamente deseables para el cometimiento
de ilícitos y fáciles de perder, como el efectivo.
“Es el riesgo que pudiera ocurrir en una aseveración relativa a una clase de transacciones,
saldos de balance o revelación que pudiera ser material en lo individual o en lo agregado
con otros errores, los cuales no serán prevenidos, detectados o corregidos oportunamente
por el control interno de la entidad.” (Federación de Auditores Internacionales, IFAC 2013)
“Es el riesgo de que los procedimientos desarrollados por el auditor para reducir el riesgo
de auditoría a nivel aceptablemente bajo, no detecten errores que existen y que podrían
ser materiales, individualmente o en el agregado con otros errores.
• Definición
Mediante los roles se tienen establecidas las tareas que realizaran cada uno de los
miembros de una empresa, lo cual, deja un campo mínimo a que se presenten
imprecisiones en las responsabilidades de cada persona. Las entidades tienen dictaminado
3
que cada actividad dentro de los subprocesos y procesos tienen un responsable en la
ejecución de sus roles y responsabilidades.
El rol puede definirse como la conducta que una persona tiene en función de la posición
que ocupa. (Aritzeta, Arizeta, & Ayestarán, 2003)
La ventaja que proporciona la descripción de roles es tener definida las tareas que van a
realizar cada uno de los colaboradores, sin dejar lugar para las ambigüedades sobre las
responsabilidades que cada uno tiene.
• Importancia
Asignar roles y responsabilidades sin concentrar a una sola persona en diversas tareas,
permite aumentar eficiencia, eficacia y productividad en las organizaciones, disminuyendo
riesgos de errores que puedan suscitarse y en el caso de que sucedan puedan tomarse las
medidas correctivas correspondientes.
• Por responsable
Roles y Responsabilidades de la gestión de control interno y riesgos
empresariales por responsable.
4
* Revisar de manera periódica el
cumplimiento de estrategias, políticas y
procedimientos.
5
* Aplicar la estrategia correspondiente.
• Por actividad
Roles y Responsabilidades de la gestión de control interno y riesgos
empresariales por actividad.
Actividad Responsable
6
Gerencia de Procesos y Control Interno, Áreas
Supervisión.
Operativas y de Negocio.
Los riesgos pueden afectar la supervivencia en el mercado de una empresa, teniendo una
gran desventaja que no pueden ser eliminados totalmente; por lo que, todas las entidades
independientemente de su tamaño, estructura o naturaleza tiene riesgos en cada uno de
los niveles de su organización. La administración tiene la facultad de determinar el nivel de
riesgo que se acepta y las acciones para mantenerlo en ese nivel.
La matriz de riesgos es una herramienta flexible debido a que se adapta a cada una de las
circunstancias y contextos que se presentan en una entidad permitiendo una evaluación
de forma integral, debido a que se realiza un diagnóstico objetivo de la situación global de
riesgo de una entidad.
1. Identificación de riesgos,
2. Evaluación de probabilidad e impacto,
3. Elaboración de la matriz de riesgos.
• Identificación de riesgos
En la primera etapa se debe realizar una lista de todos los posibles eventos de riesgo, que
se puedan presentar y afectar en las actividades cotidianas y normales de la empresa.
Algunos ejemplos de estos acontecimientos de riesgo pueden ser:
7
Paralización de las
Fraude interno, al
labores diarias por Incumplimiento de Alto nivel
usar la empresa
falta de marco legal competitivo en el
para actividades
suministros y nacional. mercado.
ilícitas.
materia prima.
Ataques Siniestros o
Falta de mano de Accidentes
informáticos de catástrofes
obra calificada. laborales.
hackers y virus. naturales.
Daños a la
Alta rotación del
reputación de la
Talento Humano.
empresa.
Al tener ya bien identificados y definidos todos los posibles eventos de riesgos, que se
pueden presentar en la empresa; el siguiente paso es asignar dos valores a cada uno, ya
sea, de forma cuantitativa del (1 al 5) o cualitativa de (A hasta E), por ejemplo:
Matriz de Probabilidad
Ocurrencia Significado Valor
Frecuente Casi certeza que se produzca 5
Probable Probable que se produzca 4
Ocasional Probable que se produzca a veces 3
Posible Puede ocurrir en algún momento 2
Improbable Nunca puede ocurrir 1
Matriz de consecuencia
Consecuencia Significado Valor
Crítico, existen importantes errores, severos
Catastrófico E
incumplimientos al Marco Regulatorio.
Errores significativos continuos, existen
Peligroso incumplimientos a los puntos de control internos y D
disposiciones legales.
8
Errores significativos ocasionales, existen
Moderado incumplimientos a los puntos de control internos y C
disposiciones legales.
Errores operativos, existen incumplimientos a los
Menor puntos de control interno, pero no constituyen B
infracciones a la Ley.
Errores operativos, existen incumplimientos en algunos
Insignificante puntos de control interno que son subsanables A
inmediatamente.
Como el último paso para la elaboración de la matriz de riesgos, se debe graficar todos los
posibles eventos de riesgos, con la debida valoración y correctamente ubicados de acuerdo
a las ponderaciones de impacto y ocurrencia, de tal manera que los de mayor puntaje sean
los más críticos necesitando una acción inmediata, los de la franja media pueden ser
considerados en un plan a mediano plazo y a los de riesgo más bajo se deben mantener
vigilados con cierta prudencia.
Consecuencia
Insignificante Menor Moderado Peligroso Catastrófico
A B C D E
Frecuente 5
Probabilidad
Probable 4
Ocasional 3
Posible 2
Improbable 1
La empresa Vine Corp S.A. es una entidad enfocada en el segmento de lácteos y alimentos
funcionales desde el año 2015; su portafolio de productos tiene disponible: yogures,
lácteos, queso crema, manjar, gelatinas, bebidas hidratantes y helados. La calidad y
tecnología implementada en la producción han permitido a la compañía traspasar fronteras,
comercializando sus productos en países como: Estados Unidos, Islas del Caribe, Puerto
Rico, Panamá y Perú; para el año 2019, la Junta General de Accionistas decidió aperturar
9
una sucursal en Ecuador llamada VisiCorp, sin embargo, a finales del año 2019 sus ventas
han disminuido considerablemente en dicha sucursal llegando a obtener perdidas, teniendo
un bajo rendimiento comparado a las demás, la Junta General de Accionistas ha decidido
realizar una evaluación de control interno empezando por el área administrativa por lo que
solicitan de su conocimiento.
Probabilidad Impacto
Incumplimiento de la misión,
visión, políticas y objetivos.
4 Probable D Peligroso
Incumplimiento parcial o total 2 Posible D Peligroso
del código de ética.
Duplicidad de funciones. 4 Probable D Peligroso
El manual de procedimientos 5 Frecuente E Catastrófico
tiene muchos errores o no
cubre todas las áreas de la
empresa.
El organigrama estructural es 3 Ocasional C Moderado
confuso.
10
El trabajo no tiene ninguna
recompensa ni motivación por
el cumplimiento de objetivos. 5 Frecuente D Peligroso
11
Elaboración de la matriz de riesgos
Consecuencia
Insignificante Menor Moderado Peligroso Catastrófico
A B C D E
Incumplimiento de la
misión, visión, políticas y
Probable 4 objetivos.
Probabilidad
Duplicidad de funciones.
Incumplimiento parcial o
Posible 2
total del código de ética.
Improbable 1
12
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
CARRERA DE CONTABILIDAD Y AUDITORÍA
Probabilidad Impacto
No se ha realizado estudios
reales y medibles de los
riesgos de la sucursal. 4 Probable D Peligroso
Consecuencia
Insignificante Menor Moderado Peligroso Catastrófico
A B C D E
Frecuente 5
No se ha
realizado
estudios
Probable 4 reales y
medibles de
los riesgos de
la sucursal.
Probabilidad
Falta de
estándares
que
dictaminen
Ocasional 3
cuando un
riesgo es
aceptable y
cuando no.
El estudio de
riesgos no es
Posible 2
realizado por
expertos.
Improbable 1
Probabilidad Impacto
Inexistencia de una
planificación para el manejo de
los recursos de la empresa. 2 Posible D Peligroso
Los procesos y
procedimientos se desarrollan
en base a la necesidad del 3 Ocasional B Menor
momento.
Las reuniones se realizan
esporádicamente sin un fin
claro. 3 Ocasional B Menor
Frecuente 5
Probable 4
Los procesos y
procedimientos
se desarrollan en
base a la
necesidad del
Probabilidad
Ocasional 3
momento. Los
Las reuniones se documentos de
realizan la sucursal son
esporádicamente apilados
sin un fin claro arbitrariamente.
Inexistencia
de una
planificación
Posible 2 para el manejo
de los
recursos de la
empresa.
Improbable 1
Probabilidad Impacto
La comunicación entre
gerencia general y
direcciones no es buena. 4 Probable B Menor
Consecuencia
Insignificant Peligros
Menor Moderado Catastrófico
e o
A B C D E
Frecuente 5
La
Probabilidad
comunicació
n entre
Probable 4 gerencia
general y
direcciones
no es
buena.
Ocasional 3
Las
decisiones
Posible 2 significativa
s son
tomadas
solo por
gerencia
Improbabl
1
e
Probabilidad Impacto
Inexistencia de técnicas de
evaluación del control interno.
3 Ocasional C Moderado
Consecuencia
Insignificante Menor Moderado Peligroso Catastrófico
A B C D E
Frecuente 5
Las
Falta de recomendaciones
evaluaciones establecidas por
de la las auditorías
Probable 4
efectividad externas son
de los aplicadas solo en
Probabilidad
controles meses de
actuales. revisión.
Inexistencia
de técnicas
de
Ocasional 3
evaluación
del control
interno
Posible 2
Improbable 1
Además, se debe presentar de manera general los aspectos más importantes que
conlleva el control interno de la organización.
Indicar con claridad que se trata del informe de un auditor independiente. Esto afirma
que el auditor ha cumplido con los requerimientos éticos relevantes, relacionados con
independencia y lo diferencia de otros informes emitidos. También afirma que planificó
PRIMERA PARTE
TÍTULO y ejecutó el trabajo con base en una carta de contratación, elaboró papeles de trabajo
basado
en la evidencia obtenida y cumplió con las normas internacionales de auditoría
aplicables.
El informe del auditor deberá estar dirigido a quien ha contratado el trabajo.
Normalmente se refiere a los accionistas o los responsables del gobierno corporativo
DESTINATARIO
de la compañía
objeto de la auditoría.
• Manifestar que los estados financieros han sido auditados.
• Identificar a la entidad cuyos estados financieros han sido auditados.
• Identificar cada uno de los estados financieros y sus notas, que han sido
examinados, los cuales deben estar adjuntos al informe.
PÁRRAFO • Hacer referencia al resumen de políticas contables importantes y otra
SEGUNDA PARTE
(INTRODUCTORIO)
información explicativa.
• Especificar la fecha o periodo cubierto por cada uno de los estados financieros.
• Agregar un subtítulo: Responsabilidad de la gerencia (u otro según
corresponda) en relación con los estados financieros.
• Señalar la responsabilidad de la gerencia (u otro según corresponda), por la
La rúbrica.
DE QUIENES
PARTE
FECHA DEL de auditoría suficiente y adecuada en la que basar su opinión sobre los estados
INFORME financieros.
DIRECCIÓN DEL
AUDITOR
Existen diversos modelos con diferente estructura, como es el caso de los siguientes
ejemplos:
• Aspectos varios
• Pruebas sustantivas
• Comentarios y propuestas finales
• Firma de auditoria
Grado Impacto
Observaciones fundamentales de control que pueden conllevar a
errores materiales en los estados financieros y eventualmente en una
1 excepción en la opinión sobre los estados financieros auditados. Este
asunto debe ser tomado en consideración urgentemente por la
Administración.
Observaciones serias de control las cuales, si no son corregidas,
2 podrían convertirse en Observaciones fundamentales en el futuro. Este
asunto debe ser considerado como alta prioridad por la Administración
Conclusión General
BIBLIOGRAFÍA
Aritzeta, Aitor, Aitor Arizeta, y Sabino Ayestarán. «Aplicabilidad de la teoría de los roles.»
2003.
Becerra, Efraín, Verónica Espinoza, y Gabriela Sulca. Control Interno. Coso II. Quito: [s.n.e.],
2016.
Estupiñán Gaitán, Rodrigo. Control Interno y Fraudes. Bogotá: Ecoe Ediciones, 2006.
Freire Hidalgo, y Freire Rodriguez. Guía Didáctica de Auditoría. Quito: Kesdevoz Creativos,
2011.