Universidad Autónoma de Nuevo León

Facultad de Contaduría Pública y Administración

Actividad: Ensayo de la importancia de las nuevas auditorías basadas en

Riesgos y de Tecnologías de Información, Plan de Continuidad de Negocio (BCP).

Control Interno

Lic. En Administración

Semestre: 4° Grupo: LDO

Docente: Karina Martínez Cantú.

Integrantes:
• García Tavares María Fernanda 2010833
• Grimaldo Tapia Héctor Uriel 1971379
• Perales Leos Rodrigo 2003217
• Reyes García Ana Luisa 1960096
• Tobías Limón Reyna Melissa 1996465
• Velázquez Cabrera Julio Cesar 1949954

Ciudad Universitaria, 03 de abril de 2023.

1
 Índice

Introducción..................................................................................................................... 3

Importancia de las nuevas auditorías basadas en Riesgos y de Tecnologías de

Información, Plan de Continuidad de Negocio (BCP)...................................................... 4

Auditoría basada en Riesgos y Tecnologías de Información ....................................... 4

Plan de Continuidad de negocio (BCP) ....................................................................... 8

Conclusiones Individuales ............................................................................................. 10

Conclusión .................................................................................................................... 16

Referencias ................................................................................................................... 17

2
 Introducción

Para el desarrollo de esta actividad se hablará acerca de la auditoría basada en riesgos,

primeramente, siendo comparada con la auditoria administrativa, que es un concepto ya
visto en la fase anterior. De igual manera, se explicará sobre la auditoria TI, y el plan de
continuidad. Sobre cada concepto o tema, se mencionará su definición, así como
comparación en la vida diaria, argumentando en ciertas ocasiones diversos puntos.

La auditoría basada en riesgos se ha vuelto muy popular en todo el mundo debido a su

eficacia en la identificación de riesgos y la evaluación de controles internos relacionados.
Este enfoque implica la identificación de los riesgos empresariales clave y la evaluación
de su importancia relativa. Luego, se determina qué áreas de la empresa tienen mayor
riesgo y, por lo tanto, necesitan una atención especial durante la auditoría.

La auditoría basada en riesgos tiene varios beneficios para las empresas, incluyendo la
garantía de un control interno efectivo y la gestión adecuada de los riesgos. También
proporciona una mayor confianza a los inversores, clientes y otros interesados en la
empresa. Además, este enfoque puede ayudar a la empresa a mejorar sus procesos
empresariales y controles internos.

De igual manera, tener un plan de continuidad del negocio es importante ya que puede
minimizar el tiempo de inactividad y mejorar la continuidad del negocio, la recuperación
de desastres, las capacidades de gestión de crisis corporativas y el cumplimiento
normativo de forma sustentable.

3
 Importancia de las nuevas auditorías basadas en Riesgos y de
Tecnologías de Información, Plan de Continuidad de Negocio (BCP).

Auditoría basada en Riesgos y Tecnologías de Información

Si comparamos las auditorías, podemos mencionar que la auditoría administrativa se

entiende por auditoría administrativa a una revisión completa de la estructura
organizacional de una empresa u organización de cualquier tipo, así como de sus
mecanismos de control, de operación y sus recursos humanos y materiales. Se trata
de un procedimiento que evalúa a la organización como un todo, cotejando su
desempeño con sus objetivos tanto globales como por unidad, para hacerse una idea
sobre lo efectivo de su modelo de gestión.

Existen dos tipos fundamentales de auditoría administrativa:

• Funcional. Se enfoca en el desempeño y la idoneidad de los cargos gerenciales

y las dinámicas propuestas desde estos.
• Analítica. Se centra en la comprensión de los procesos mismos que se ponen en
marcha dentro de la estructura de la empresa.
En cambio, la auditoría basada en riesgos, probablemente una de las más importantes
y relevantes para las organizaciones por agrupar los diferentes elementos de la auditoría
interna, hace necesario que, en primer lugar, quien la lleve a cabo sea alguien conocedor
de la empresa a auditar, de modo que a partir de allí sea capaz de identificar y evaluar
los riesgos de una declaración distorsionada en los estados financieros.

Este modelo de auditoria da valor agregado a las organizaciones, por lo tanto, se

mencionarán los diferentes enfoques y ventajas que lleva a cabo:

• Enfoque centrado en el negocio que ayuda a la organización a lograr sus

objetivos: la auditoría basada en riesgos une los diferentes elementos de la
auditoría interna, objetivos, procesos, riesgos, controles, pruebas e informes, la
relevancia de cualquier prueba se puede ver en relación con todo el marco de
gestión de riesgos gracias a las relaciones establecidas entre el universo de
riesgos y auditoria.

4
 • Enfoque de auditoria inclusivo que facilita la gestión de la gerencia: como
resultado que la organización está estrechamente involucrada en el proceso de
riesgo y auditoria a través de talleres de riesgo, autoevaluaciones de riesgo y
control, entre otros, la administración puede relacionarse claramente con los
beneficios de los resultados de la auditoria.
• Nivel óptimo de aseguramiento que respalda el logro de los objetivos del negocio:
la auditoría basada en el riesgo es más eficiente porque dirige las auditorias en
las áreas de alto riesgo, a diferencia de la rotación simple de las áreas
predominantes financieras, que pueden no representar mayores riesgos.
• Mejora de la mitigación de riesgos: la auditoría basada en riesgos resalta los
riesgos clave que están controlados de manera inadecuada o sobre controlada,
mejorando así la mitigación de riesgos y la eficiencia general del negocio.

Por otro lado, la auditoría de riesgos de TI es un aspecto importante para las empresas
que, hoy por hoy, se soportan sobre la base de sistemas de información. En vista del
incremento del control interno alrededor de la tecnología de información, se deben tomar
en cuenta los riesgos a los que este sistema se encuentra susceptible, por lo que, con
ayuda de un auditor de TI, obtendrás una evaluación de la infraestructura tecnológica
aplicada en tu empresa. De este modo, los procesos y sistemas en general funcionarán
de forma eficiente, y cumplirán con las regulaciones de cumplimiento.

Pero, para que sea más entendible este término, La auditoría de riesgos de TI es el
proceso de evaluar y analizar la infraestructura tecnológica de una empresa para que
cumpla su rol de manera eficiente. Así pues, el riesgo de TI se define como aquel
existente en la operación, influencia, propiedad y adopción de la tecnología de la
información dentro del negocio.

Si no se considera el riesgo de TI correctamente la empresa puede perder efectividad en

el mercado, afectando la propuesta de valor que ofrece al público. Esto derivaría en
pérdidas económicas, daño en la popularidad corporativa, y desperdicio de
oportunidades a futuro. Por ello la importancia de un auditor de TI y la capacidad de
evaluar las categorías más destacadas dentro de la empresa.

5
Con esto se buscaría dar respuesta a los potenciales problemas y facilitaría la toma de
decisiones para optimizar los procesos productivos internos.

Podemos argumentar que, si las empresas no llevan un buen control, no podrán llevar
una auditoria eficiente, por lo tanto, las organizaciones tendrían cero conocimiento de lo
que sucede con las finanzas de sus empresas, así como también no podrían realizar
soluciones a problemas ni tomar decisiones para mejorar.

Retomando el concepto de la Auditoría basada en riesgos, se basa en que la persona

que sea conocedor de la empresa a auditar pueda ser capaz de identificar y evaluar los
riesgos de una declaración distorsionada en los estados financieros. De igual manera, la
Auditoría interna, ayuda a que una actividad independiente y objetiva de aseguramiento
y consultoría diseñada para agregar valor y mejorar las operaciones de una organización.
Por otro lado, ayuda a una organización a lograr sus objetivos al brindar un enfoque
sistemático y disciplinado para evaluar y mejorar la efectividad de los procesos de gestión
de riesgos, control y gobierno. Para entender mejor, poniendo un enfoque centrado en
lograr los objetivos de la organización, lo que hace la auditoría basada en riesgos es unir
los diferentes elementos de la auditoría interna: objetivos, procesos, riesgos, controles,
pruebas e informes.

La relevancia de cualquier prueba se puede ver en relación con todo el marco de gestión
de riesgos gracias a las relaciones establecidas entre el universo de riesgos y auditoría.
Esto no siempre es posible cuando se utilizan programas de auditoría estándar, ya que
no siempre está claro por qué se realiza la prueba; cuál es el significado de un control
que se encuentra defectuoso; qué riesgo está tratando el control; y qué objetivo está
siendo amenazado por ese riesgo. Además, el uso más efectivo de los recursos de
auditoría es que, con la auditoría basada en el riesgo, el plan de auditoría está
determinado por la naturaleza y la cantidad de riesgos sobre los cuales el comité de
auditoría requiere garantías.

Se diferencia del enfoque alternativo, por el cual los recursos disponibles determinan las
auditorías que pueden realizarse, por lo cual, también garantiza que los recursos se
destinen a auditar los riesgos más significativos.

6
Por ejemplo, aplicado cotidianamente, podríamos decir que lo llevamos a cabo cuando
nosotros realizamos un trabajo, ya que verificamos que todo esté correcto para mitigar
errores y no hacer las actividades mal.

El Riesgo operacional se puede clasificar en varios tipos, el primero siendo Fraude

interno, el cual es acerca de las actividades no autorizadas, el hurto y fraude de internos,
así como seguridad de los sistemas. El segundo tipo es el Fraude externo, donde
solamente es la utilización de cheques sin fondos, el sobornos, robo de información y
contrabando. El tercer tipo, menciona acerca de las Relaciones laborales y seguridad en
el puesto de trabajo, donde debe haber una responsabilidad en general, de igual manera
que exista una diversidad y no discriminación. El cuarto tipo de Clientes, productos y
prácticas empresariales habla sobre los riesgos que hay en las ventas agresivas, la
manipulación del mercado, así como el lavado de dinero y errores de los modelos.

El quinto tipo, es acerca de los riesgos que hay por Desastres naturales o por causas
externas. El sexto tipo es acerca de los riesgos de Incidencias en el negocio y fallos en
los sistemas, que puede ser las telecomunicaciones o riesgos en el hardware o software.
El último tipo es el de Ejecución, entrega y gestión de procesos, donde abarca los errores
contables, fallos en las entregas, que no haya acceso autorizado a cuentas, la
subcontratación, etc. Poniendo como ejemplo en la vida diaria, podemos seleccionar los
riesgos por causas externas, al ser víctimas de vandalismo, siendo una situación algo
común con la sociedad.

Si mencionamos el Riesgo operacional y Tecnológico en las SOCAP, hablamos

acerca de una Tercerización de servicios, los cuales se pueden contratar sistemas
informáticos y procesos operativos. Cuando el proveedor tenga acceso a información
sensible de la entidad o de los socios, como números de cuenta, datos personales y
saldos de cuentas de crédito o captación, se debe realizar un trámite ante la CNBV. De
igual manera, las Entidades deben contar con políticas y procedimientos para vigilar el
desempeño del tercero, las cuales deben contener aspectos relativos a planes de
continuidad del negocio, incluyendo los procedimientos de contingencia en caso de
desastres.

7
Por ejemplo, una actividad que cualquier persona puede hacer en su vida cotidiana, son
transferencias o pagos de créditos, por lo cual se generan notificaciones, que confirmen
y comprueben la acción, esto llevado en servicios móviles, siendo parte de los controles
regulatorios para medios electrónicos.

Plan de Continuidad de negocio (BCP)

Por otro lado, un plan de continuidad de la actividad describe los procedimientos e

instrucciones que debe seguir una organización ante una catástrofe, ya sea un incendio,
una inundación o un ciberataque. Entre ello está la continuidad empresarial, que se
refiere al mantenimiento de las funciones empresariales o a su rápida reanudación en
caso de una interrupción importante, ya sea causada por un incendio, una inundación o
un ataque malicioso de ciberdelincuentes. Un plan de continuidad de negocio describe
los procedimientos e instrucciones que debe seguir una organización ante tales
catástrofes; abarca procesos empresariales, activos, recursos humanos, socios
comerciales y mucho más.

Hay tres aspectos principales que un plan de continuidad del negocio debe tener para
aplicaciones y procesos clave:

• Alta disponibilidad: debe proporcionar los recursos y los procesos para que una
empresa tenga acceso a las aplicaciones, independientemente de los fallos
locales. Estos errores pueden ocurrir en los procesos empresariales, en las
instalaciones físicas o en el hardware o software de TI.
• Operaciones continuas: debe garantizar la capacidad de mantener las cosas en
funcionamiento durante una interrupción y también durante los cortes planificados,
como las copias de seguridad planificadas o el mantenimiento programado.
• Recuperación de desastres: debe establecer una manera de recuperar un centro
de datos en un sitio diferente si un desastre destruye el sitio principal o lo vuelve
inoperable.

8
Lo argumentamos lo anterior mencionando que previene o minimiza las pérdidas de la
organización en caso de desastre, por lo que es capaz de identificar de forma proactiva
los posibles impactos o inconvenientes que una interrupción de sus actividades de
negocio pueda provocar, y con esto las empresas pueden tener un seguro en caso de
todo accidente.

El Anexo 4 Plan de Continuidad de Negocio, es un conjunto de estrategias,

procedimientos y acciones que permitan, ante la verificación de Contingencias
Operativas, la continuidad en la prestación de los servicios o en la realización de los
procesos críticos de las Sociedades, o bien su restablecimiento expedito, así como la
mitigación de las afectaciones producto de dichas contingencias.

En dicho anexo se menciona que el director general será responsable de la elaboración

del Plan de Continuidad de Negocio y de su presentación a la Administración para su
corrección y en su caso aprobación. La Dirección General será la responsable de la
debida implementación del Plan de Continuidad de Negocio, por lo que tendrá a su cargo
la elaboración, revisión y actualización de dicho plan. Al efecto, deberá proponer la
actualización, por lo menos una vez al año dicho Plan de Continuidad de Negocio a la
Administración.

De igual manera, el director general deberá enviar a la Dirección General responsable

de su supervisión en la CNBV, en un plazo no mayor a quince días naturales posteriores
a la conclusión de la Contingencia Operativa, un análisis de las causas que la motivaron,
la afectación causada en términos cualitativos y cuantitativos que incluya el impacto
monetario, temporal y en los canales de atención al público, así como la indicación de
las acciones que se implementarán para evitar su reincidencia.

9
 Conclusiones Individuales

García Tavares María Fernanda

Uno de los factores importantes a considerar en el desarrollo de una auditoría de estados

financieros es la evaluación de riesgos, que una vez que son calificados (alto, medio,
bajo), permite al auditor formarse un juicio profesional con respecto a la posibilidad de
que existan errores o revelaciones incorrectas en los estados financieros y,
adicionalmente, considerando los demás elementos de la estructura del control interno
de las empresas, estará en condiciones de definir la naturaleza, oportunidad y alcance
de las pruebas de auditoría que aplicará. Es de considerar que la evaluación de riesgos
deberá hacerse durante las diversas etapas de las auditorías.

La necesidad de gestionar los riesgos ha sido reconocida como parte esencial de las
prácticas de un buen gobierno corporativo. Esto ha sometido a las organizaciones a una
creciente presión para identificar los riesgos asociados a su negocio y explicar cómo
gestionarlos. De hecho, las actividades relacionadas con la administración de riesgos
han sido consideradas como críticas, por lo que se les ha asignado un papel fundamental
en el desarrollo de un sistema de control interno adecuado.

La auditoría basada en riesgos es una forma de conducir las auditorías internas y

externas de diferentes tipos, a partir de la planeación y desarrollo en los riesgos críticos,
es decir, los que pudieran causar mayor impacto negativo en la obtención de objetivos
de la organización (estratégicos, operacionales, de información y de cumplimiento) con
el fin de identificar si las operaciones y los productos o servicios se ajustan a lo
establecido en las reglas del negocio, las buenas y mejores prácticas de control interno
y seguridad, y a las normas legales aplicables.

10
Grimaldo Tapia Héctor Uriel

En conclusión, esta evidencia hizo que conociera más acerca de la importancia que tiene
las nuevas auditorías basadas en riesgos y de tecnologías de información, ya que para
una organización, la auditoría basada en riesgos nos ayuda a agrupar los diferentes
elementos de la auditoría interna llevando en primer lugar un conocedor de la empresa
a auditar, de modo que a partir de allí sea capaz de identificar y evaluar los riesgos de
una declaración distorsionada en los estados financieros, la auditoría basada en riesgos
da valor agregado a las organizaciones por lo que sus ventajas son importantes de
conocer, como lo es el enfoque centrado en el negocio que ayuda a la organización a
lograr los objetivos, el enfoque de auditoría inclusivo que facilita la gestión de la gerencia,
el nivel óptimo de aseguramiento que respalda el logro de los objetivos del negocio, la
mejor priorización de hallazgos y recomendaciones, la mejora de la mitigación de riesgos
y por último un uso más efectivo de los recursos de auditoría.

En esta evidencia se presentan un tema a tratar, dando una introducción de lo que se va

a tomar en cuenta a la evidencia, continuando con una descripción del tema a tratar de
una manera clara y con buena cantidad de detalles, también se presentan algunos
argumentos para sustentar ideas que se tienen en cuenta, teniendo una comparación
entre las auditorías administrativas contra las auditorías basadas en riesgos, se toma en
cuenta algunos conceptos y una aplicación en la vida diaria sobre los temas de la
importancia de auditoría basada en riesgos, categorías de tipo de riesgo operacional y
tecnológico, para acabar con una conclusión conteniendo una recapitulación de las ideas
tratadas en el ensayo.

Esta actividad me pareció muy importante ya que saber sobre la auditoría basada en
riesgos hace que una organización trabaje de manera más eficiente, teniendo en cuenta
enfoques y mejoras para aplicarlas a una organización, en mi vida laboral, saber sobre
esto hace que mi conocimiento crezca y que cada vez sea más profesional en mi carrera
de administrador.

11
Perales Leos Rodrigo

Para concluir la evidencia de este tipo de aprendizaje, tenemos que concluir que las
auditorías basadas en el riesgo tienen una gran importancia dentro de las organizaciones
y es este tipo de auditoría el que debería ser más importante que otros porque, como
sugiere el nombre, imparte más valor a la organización porque tiene un enfoque muy
claro para la adecuada gestión de la organización interna, tanto en términos de gestión
gerencial como de la misma manera, en cuanto al logro de metas y objetivos. También
se debe enfatizar que la importancia crítica de auditar la organización solo por aquellos
que tienen conocimiento y experiencia en la organización, ya que esto ayuda en el
análisis y evaluación oportuna de posibles riesgos y problemas que pueden surgir dentro
de la organización. Nuevamente, debe aclararse que esta auditoría basada en riesgos
se enfoca en optimizar de manera óptima los controles de la organización, o la falta de
ellos, con respecto a los riesgos de mayor prioridad, lo que significa que los recursos de
auditoría se utilizan en consecuencia. modalidades, brindando a las organizaciones
interesadas la posibilidad de reducir costos y asesoramiento. En una auditoría basada
en riesgo tenemos que aclarar que el plan lo decide el comité de auditoría quien busca
aseguramiento sobre los posibles riesgos que pueden agobiar a la empresa y que no
saben cómo administrar, por tal motivo se requiere la auditoría. lleva a todo lo anterior y
finalmente una recomendación de auditoría para poder gestionar el proceso y evitar el
riesgo, o al menos minimizar el riesgo de alguna manera para que se minimice el daño.
En cuanto a los tipos de riesgos operativos que intentan cubrir las auditorías basadas en
riesgos, podemos encontrar varios tipos, siendo el más destacado el posible fraude
interno, otro tipo de riesgo operacional es el fraude externo. El otro son las relaciones
laborales y la seguridad en el trabajo Un cuarto tipo incluiría a los clientes, productos y
sus prácticas comerciales, que son riesgos por posibles acciones como el lavado de
dinero. La quinta categoría de riesgos son los desastres naturales. El sexto tipo son los
eventos comerciales y las fallas del sistema. Finalmente está el séptimo tipo, la
ejecución, entrega y gestión de procesos. Finalmente, podemos aclarar que el Plan de
Continuidad de Negocio del Anexo 4 surgirá en situaciones donde el riesgo sea mayor y
se deban implementar procedimientos para prevenir un posible descontrol que ponga en
riesgo a la organización, lo que se conoce como contingencia operativa.

12
Reyes García Ana Luisa

Por mi parte puedo concluir que la auditoría basada en riesgos es esencial en las
organizaciones ya que de esta manera pueden crear acciones para prevenir diversas
situaciones. Tales pueden ser como fraude o perdida de dinero, ya que es bastante
conocido que en las empresas se llegan hacer movimientos inadecuados con el dinero,
por lo cual la empresa no podría estar teniendo un buen proceso.

Como, por ejemplo, se mencionaba durante el ensayo el tipo de riesgo que es el fraude
externo, y al que me refiero que es de los más conocidos, pues los sobornos se dan en
cualquier lugar, así como robar la información de alguien. También existen los riesgos
por desastres naturales y por vandalismo. El primero es algo que no sucede siempre,
pero es un riesgo que se tiene contemplado, ya sea un incendio, o algún terremoto. Por
otro lado, con el vandalismo, puede ser raro en las empresas que sufran de ello si
cuentan con seguridad y vigilancia, en dado caso que esta sea baja, puede que, si ocurra,
pero pienso que el vandalismo puede ser más en lo cotidiano que en lo empresarial.

La auditoría ayuda a las empresas a llevar a cabo sus objetivos y procesos para mitigar
riesgos, llevar un control de cada uno de ellos mediante pruebas e informes, siendo esto
ultimo como lo visto en la actividad anterior, es decir, llevar una planeación, desarrollo, y
seguimiento del riesgo.

También debo mencionar sobre el plan de continuidad de negocio, donde básicamente,

sirve para que las empresas creen un plan donde se planteen acciones basadas en
estrategias, para poder verificar contingencias operativas y de esta manera, igual que la
auditoría basada en riesgos, mitigar las afectaciones futuras.

Es decir, si sucede algún riesgo en alguna organización, dicha empresa debe realizar un
plan de continuidad para saber cómo solucionar dicho riesgo y darle un seguimiento ,
además de que debe tener operaciones continuas, esto quiere decir que debe garantizar
la capacidad de mantener las cosas en funcionamiento durante una interrupción y
también durante los cortes planificados, como las copias de seguridad planificadas o el
mantenimiento programado.

13
Tobías Limón Reyna Melissa

Desde mi perspectiva toda organización y/o empresa tiende a tener programas,

actividades o planes para cualquier situación que se les pueda presentar en un futuro
incluso prevenir dicho suceso o simplemente que no pase jamás, pero eso no es algo
que nosotros como personas podamos evitar. En nuestra evidencia de aprendizaje
podemos observar como nosotros tratamos diferentes conceptos con lo que estamos
relacionando que es la prevención, solución o que simplemente no pasen problemas, en
lo que es las nuevas auditorias basadas en riesgos y de tecnologías de la información y
sobre todo el plan de continuidad de negocios (PCN) con las cuales nos informamos por
completo de lo que conlleva cada una. Por lo visto la auditoría basada en riesgos lleva
consigo la auditoría interna que es una actividad independiente y objetiva de
aseguramiento y consultoría diseñada para agregar valor y mejorar las operaciones de
una organización, con lo aprendido vimos que ayuda a las organizaciones a lograr los
objetivos al darles un enfoque sistemático y disciplinado para poder evaluar y ver las
mejoras sobre la efectividad de los procesos de gestión de riesgos, control y gobierno.
Con esta principal investigación nos dimos cuenta que existen diferentes categorías y
tipos de riesgo operacional en donde se encuentras los siguientes: el fraude interno el
cual son las pérdidas derivadas de algún tipo de actuación encaminada a defraudar en
la que se encuentra la empresa, la siguiente es el fraude interno que son pérdidas
derivadas que se apropian de bienes indebidamente o soslayar la legislación por parte
de un tercero, la tercera son las relaciones laborales y seguridad en el puesto de trabajo
que como su mismo nombre lo indica habla sobre las posibles negligencias que podrían
presentar los trabajadores conforme a su salud, protección, pagos, acuerdos laborales y
daños personales que les podrían provocar, la cuarta son los clientes, productos y
prácticas empresariales, la quinta son los desastres naturales y otros acontecimientos
que podrían presentarse, el sexto son las incidencias en el negocio y fallos en los
sistemas y por último el tipo de riesgo que se podría presentar y no por ser el último es
menos importantes es igual de importante que los otros pero el séptimo es la ejecución,
entrega y gestión de procesos con todos estos puntos aclarados debemos de tener en
cuenta que se podrán presentar.

14
Velázquez Cabrera Julio Cesar

Para finalizar esta actividad me queda que la auditoría basada en riesgos es una práctica
fundamental para cualquier organización que busca lograr sus objetivos empresariales.
Este enfoque de auditoría se centra en la identificación y evaluación de los riesgos
empresariales clave, así como en la planificación y ejecución de pruebas de auditoría
diseñadas para evaluar la efectividad de los controles internos relacionados con esos
riesgos.

Un enfoque centrado en el negocio ayuda a la organización a identificar y abordar los

riesgos que son más críticos para su éxito. Esto, a su vez, les permite gestionar mejor
sus recursos y enfocarse en los asuntos que son más importantes para su éxito
empresarial. Por otro lado, el enfoque inclusivo de la auditoría basada en riesgos facilita
la gestión de la gerencia. En cuanto a las ventajas de la auditoría basada en riesgos,
podemos destacar que garantiza la efectividad de los controles internos y la capacidad
de la empresa para alcanzar sus objetivos empresariales. También proporciona una
mayor confianza a los inversores, clientes y otros interesados en la empresa. Además,
la auditoría basada en riesgos también puede ayudar a las empresas a mejorar sus
procesos empresariales y controles internos, lo que puede llevar a una mayor eficiencia
y rentabilidad. La auditoría basada en riesgos es un enfoque de auditoría esencial que
ayuda a las empresas a identificar y gestionar los riesgos empresariales clave, a
garantizar la efectividad de sus controles internos y a lograr sus objetivos empresariales.

En conclusión, la auditoría basada en riesgos es una herramienta importante para

nosotros los administradores, ya que nos permite identificar y evaluar los riesgos clave
asociados con los procesos y controles internos de la organización. Con esta
información, los administradores pueden tomar decisiones informadas y tomar medidas
para mejorar los controles internos y mitigar los riesgos identificados. Además, la
auditoría basada en riesgos puede ayudar a mejorar la eficiencia y rentabilidad de la
organización al identificar y abordar áreas de mejora en los procesos empresariales y
controles internos. En definitiva, la auditoría basada en riesgos nos puede ayudar a
nosotros como administradores a proteger los intereses de la organización y garantizar
su éxito a largo plazo.

15
 Conclusión

Con motivo de dar un cierre a esta evidencia de aprendizaje, hemos de concluir que la
auditoria basada en riesgos tiene un potencial enorme dentro de las organizaciones y es
esta auditoría a la cual se le debe de proveer mayor importancia por sobre las otras,
debido a que como su nombre lo indica, da un valor más a las organizaciones puesto
que tiene enfoque muy bien dirigidos hacia el correcto manejo de las organizaciones
internamente, ya sea en cuestión al manejo gerencial o del mismo modo, en el
cumplimiento y meta de los objetivos de esta.

También es necesario resaltar la extrema importancia de que se auditen a las

organizaciones solo personas conocedoras y con experiencia en la misma, esto debido
a que se facilita el análisis y la evaluación pronta de los posibles riesgos y problemas
que podrían suscitarse dentro de esta organización. Así mismo, cabe aclarar que esta
auditoria basada en riesgos se concentra en optimizar de la mejor manera posible el
control o descontrol de las organizaciones en cuanto a los riesgos más prioritarios, esto
hace, por consiguiente, que los recursos de las auditorias se utilicen también de manera
más optima, dando la posibilidad de menores gastos y recomendaciones a la
organización en cuestión.

Dentro de la Auditoria basada en riesgos tenemos que aclarar que este plan esta más
bien determinado por el comité de auditoría, los cuales buscan garantías sobre los
posibles riesgos que podrían abrumar a la empresa y de los cuales estos no tienen
conocimientos de cómo manejar, es por esta razón que se requiere de la auditoria, lo
cual lleva a todo lo antes mencionado, concluyendo con recomendaciones por parte de
la auditoria para poder manejar procesos y evitar riesgos, o al menos de cierta manera,
minimizarlos para que el daño sea el mínimo posible.

Para finalizar podemos aclarar que el Anexo 4 Plan de Continuidad de Negocio se

suscitara en dado caso que los riesgos hayan sido mayores y deban ejercerse
procedimientos para un posible descontrol que ponga en riesgo a la organización, siendo
conocidas como Contingencias Operativas.

16
 Referencias

Hernández, C. (s/f). Qué es la Auditoría basada en riesgos y cuáles son sus ventajas –

Instituto Nacional de Contadores Públicos de Colombia. Org.co. Recuperado el 26

de marzo de 2023, de https://incp.org.co/la-auditoriabasada-riesgos-cuales-
ventajas/

IBM Services. (noviembre 25, 2020) Adáptese y responda a los riesgos con un plan de

continuidad del negocio (BCP). IBM. https://www.ibm.com/mx-

es/services/business-continuity/plan

KENOS. (marzo 01, 2022). ¿En qué consiste una auditoría de riesgos de TI? KENOS.

https://www.kenos.com.mx/2022/03/01/en-que-consiste-una-auditoria-de-
riesgos-de-
ti/#:~:text=La%20auditor%C3%ADa%20de%20riesgos%20de%20TI%20es%20el
%20proceso%20de,la%20informaci%C3%B3n%20dentro%20del%20negocio.

17