AUDITORIA OPERACIONAL Y EEFF

Módulo II
Patricio Reyes Peña
Semestre 2-2022
Clase 14 : martes 04.10.22

Análisis de Riesgo
Mapas de Riesgos
Riesgos en Auditoria
Análisis de Riesgos
 Video
Riesgo de Auditoria,
riesgo control y riesgo inherente

https://www.youtube.com/watch?v=6KT8s3x5Wzk

4
 Video
¿Cómo hacer un análisis de riesgos? Ejemplo

https://www.youtube.com/watch?v=uU345FZoQvI

5
Análisis de Riesgos: Un proceso utilizado para identificar y evaluar riesgos y sus efectos potenciales. Los análisis de riesgos se utilizan
para identificar aquellos elementos o áreas que presentan el riesgo, vulnerabilidad o exposición más altos para la empresa para incluirlos
en el plan de auditoría anual de SI. Los análisis de riesgos se utilizan también para gestionar la ejecución de los proyectos y el riesgo en
beneficio del proyecto.

El propósito de un auditor es identificar riesgos y asegurar que los riesgos residuales (que quedan después de aplicar controles) son
aceptables de administrar.
Todas las actividades presentan riesgos, en algunas más que en otras. Es el costo de todo negocio. Las consecuencias de un
riesgo son evaluadas, los riesgos medidos, y se seleccionan alternativas. Un auditor debe considerar tres tipos de riesgos
cuando planifica una auditoría:

Riesgos Inherentes: La susceptibilidad de un error en un negocio o proceso, no presente en un control interno. P.e.: Instalar un
Sistema Operativo sin sus parches de seguridad y conectar servidor en red.

Riesgo de Control: Un control puesto en algún lugar no prevengas, corrija o detecte un error en sus fases tempranas.

Riesgo de Detección: El riesgo de que los procedimientos del auditor no detecten un error.

15
Análisis de Riesgos:
Un proceso utilizado para identificar y evaluar riesgos y sus efectos potenciales. Los análisis de
riesgos se utilizan para identificar aquellos elementos o áreas que presentan el riesgo,
vulnerabilidad o exposición más altos para la empresa para incluirlos en el plan de auditoría
anual de SI. Los análisis de riesgos se utilizan también para gestionar la ejecución de los
proyectos y el riesgo en beneficio del proyecto.

El propósito de un auditor es identificar riesgos y asegurar que los riesgos residuales (que quedan después
de aplicar controles) son aceptables de administrar.
Todas las actividades presentan riesgos, en algunas más que en otras. Es el costo de todo negocio.
Las consecuencias de un riesgo son evaluadas, los riesgos medidos, y se seleccionan alternativas.
Un auditor debe considerar tres tipos de riesgos cuando planifica una auditoría:

15
Atributos de la información que la hacen valiosa para la toma de decisiones:

• Completa: Si la información se pierde u oculta al que toma la decisión, el resultado de la decisión será pobre.

•Exacta: Errores en la entrada, conversión o procesos puede dar como resultado conclusiones invalidas
•que darán lugar a decisiones erróneas.
•Autorizada: La información puede ser semánticamente correcta, pero representar transacciones invalidas o no
autorizadas.
•Auditable: La información debe ser seguible a través de los documentos fuente o su ejecución seguida
•mediante sistemas de control monitorizados y pre-verificados.
•Económica: El coste de producir la información debería no exceder su valor cuando se utiliza.
•Adecuada: Información específica debe estar disponible solamente para aquellos que la necesitan para asegurar
una gestión eficiente. Demasiada información irrelevante a disposición de quién debe tomar la decisión puede
ocultar el proceso.
•Oportuna: La información pierde su valor cuando a quién tiene que tomar la decisión, se le entrega después de
que la necesita.
•Segura: La información debe ser protegida de su difusión a personas no autorizadas, sin ello puede dar lugar a
pérdidas económicas en la organización. Debe estar protegida contra destrucciones accidentales o voluntarias

17
El mapa de riesgos es una herramienta que tiene por objeto mostrar gráficamente el diagnóstico
del proceso de evaluación de riesgos en una fecha dada. Se determina mediante la interacción de
la probabilidad o frecuencia por el impacto de los tipos de riesgos en los diferentes procesos,
actividades o funciones de un negocio. En simultáneo, contribuye a realizar una revisión o
diagnóstico del control interno que existe para mitigar los riesgos.

En realidad ayuda mediante sucesivas diagramaciones a conocer las diversas instancias por las
que pasa una evaluación de riesgos hasta definir el tratamiento de los riesgos.

Inicialmente proporciona el resultado de la evaluación de riesgos por los responsables de la

gestión de riesgos.

Contribuye a decidir los desplazamientos del resultados inicial para lograr un nuevo nivel una vez
propuesto el tratamiento de los riesgos, este último respetando el límite de exposición al apetito al
riesgo.

Refleja el mapa de riesgos definitivo en la que se definió qué nivel del riesgo se desea aceptar,
luego de decidir por asumir, prevenir, proteger o transferir parte del riesgo.

En auditoría el mapa de riesgos es quizá el más utilizado, pero es necesario recordar que existen
otras herramientas a ser consultadas que proporcionan importante información para la realización
de un efectivo trabajo de auditoría basada en riesgos.
Riesgo Inherente
• Tipo de organización
• Tamaño de la organización
• Nivel de resistencia a la auditoría
• Cultura organizacional
• Estilo de Gerencia
• Estilo de comunicación
• Sistemas de gerencia y administración en la organización
Riesgo de detección
• Experticia del auditor
• Claridad de los objetivos o alcance
• Aptitud y actitud del equipo multidisciplinario
• Planificación y administración de los recursos
• Enfermedad, contingencia en el grupo auditor
• Conocimiento previo de la unidad a ser auditada
• Conocimiento de técnicas de auditoría
• Comprensión de la metodología
Riesgo de Control
• Mecanismos de control financiero
• Mecanismos de control de gestión u operacional
• Información y comunicación
• Ambiente de Control
• Supervisión
• Mecanismos de evaluación de riesgos
Mapa de Riesgos
 Causa del Clase de Probabilidad del Descripción del Tipo de
Riesgo Descripción del Riesgo Riesgo Riesgo Riesgo Control Control

Existen planes de
continuidad de
negocios, políticas,
normativas,
Inexistencia de un plan de Deficiencias procedimientos y
Continuidad continuidad o incapacidad para Factores en el mesas de trabajo Correctiv
de Negocio enfrentar contingencias externos Servicio Probable periódicas. o

Que la información del cliente y o del

Banco contenida en los procesos de
Seguridad de pagos y/o recaudación, pueda ser Existe un Comité de
la obtenida por terceros no Fraude Eventos Seguridad de la Preventiv
Información autorizados. externo Externos Probable Información. o
Riesgo Descripción Efectividad (Calidad del Control)
A Riesgo de no cumplir con los plazos ofrecidos al cliente. Media
B Riesgo de no realizar un análisis de impacto a proyectos. Media
C Riesgo de no satisfacer los requerimientos acordados con el cliente. Buena
D Riesgo de no realizar adecuadamente la entrada en producción del producto. Buena
E Riesgo de no capacitar adecuadamente a los clientes. Buena
F Riesgo de que los sistemas para dar soporte no estén disponibles. Media
G Riesgo de que los servicios entregados por Proveedores Externos no estén disponibles Media
H Riesgo de que los problemas propios de una puesta en marcha no sean atendidos Buena
I Riesgo de que existan errores en la información Buena
J Riesgo de enfrentar una rotación de personal importante. Media
Ejemplo de Matriz de Riesgos
Los controles pueden ser de tres tipos:

PREVENTIVOS (Evitan la ocurrencia de las causas)

Ofrecen la primera línea de defensa contra los eventos no deseables

Los riesgos que sobrepasen esta barrera deben ser detectados por los otros
tipos de controles
Reducen la frecuencia de la amenaza
• Validaciones
• Inspecciones periódicas
• Segregación de funciones
Son transparentes para las personas.
Son de bajo costo.
Estos controles son generalmente automáticos
DETECTIVOS (Detectan la ocurrencia de las causas)

Ofrecen la segunda barrera. Informan la ocurrencia de los hechos no deseados

Accionan alarmas, alertan al personal
Registran la ocurrencia de los hechos (Logs y Totales de balanceo)
Bloquean la operación del sistema
Verifican la efectividad del control preventivo
• Completitud de datos de entrada
• Pruebas de razonabilidad

CORRECTIVOS (Corrigen las consecuencias producidas)

Toman acción para resolver el problema
Implican reprocesos
Son muy costosos

Ejemplos
Planes de contingencia
Procedimientos de backup y recuperación
Procedimientos de recuperación de errores
Riesgos en Auditoria
Guía para identificar riesgos en el Proceso de Ventas – Auditoría Interna

 Que se realicen ventas a clientes ficticios

 Que se tramiten pedidos a clientes no autorizados o bloqueados.
 Que se realicen ventas con precios no autorizados
 Que se realicen descuentos en la factura no autorizados
 Que no se facturen la totalidad los pedidos
 Que los impuestos no se calculen correctamente
 Que la venta no se registre en las cuentas correspondientes
 Que la información de ventas no se suba íntegramente al libro mayor
 Que se registren ventas ficticias
 Que las ventas no se registren el periodo correcto
 Que la mercancía no se le entregue al cliente
 Que se retire mercancía no facturada
 Que los recaudos recibidos no ingresen a la Compañía
 Que los recaudos no se apliquen en la cuenta y/o tercero correspondiente
 Que los recaudos no se apliquen en el libro mayor
 Que se reciban pagos en efectivo y que estos puedan ser sustraídos.
 Que se contabilicen devoluciones y/o descuentos no autorizadas
 Que se disminuyan saldos por cobrar con notas crédito ficticias y/o de otros clientes
 Que no se reconozcan devoluciones y descuentos en ventas de forma oportuna.
Guía para identificar riesgos en el Proceso de Ventas – Auditoría Externa

 Se realizan facturas con información incompleta de los proveedores

 Compras no requeridos o que no corresponden con el requerimiento inicial
 Pagos sin la documentación soporte completa
 Duplicidad en los pagos realizados
 Facturas con doble registro o con información errada al momento de registrarla
contablemente.
 Informalidad en los procedimientos de las cuentas por pagar.
 Liquidación errada de la tasa de cambio de las facturas generadas en el exterior.
 Sanciones económicas por registro de facturas que no corresponden con el período
contable.
 Presupuesto ejecutado que no corresponde con el centro de costos.
 Pérdida de beneficios económicos por incumplimiento en los acuerdos de pago con los
proveedores.
 Registro de cuentas por pagar por funcionarios que no corresponde o a proveedores que
no han prestado el servicio.
 Informalidad en los procedimientos para el registro y aprobación de las cuentas por pagar.
En un contexto en el cual las empresas cada vez más dependen de los sistemas como medio para
alcanzar los objetivos definidos, el auditor interno cada vez más debe interiorizarse del funcionamiento de
dichas aplicaciones...

En un contexto en el cual las empresas cada vez más dependen de los sistemas como medio para
alcanzar los objetivos definidos, el auditor interno cada vez más debe interiorizarse del funcionamiento de
dichas aplicaciones, de los riegos que las mismas acarrean así como la forma de monitorear y mitigar
dichos riesgos.

Bajo este razonamiento, un aspecto principal a la hora de analizar el control interno dentro de una
organización es poder diferenciar que es “Un control de aplicación” vs. “Controles generales del ambiente
de computo”. En primer término, los “Controles de aplicación” son aquellos controles que son aplicables
para un determinado proceso de negocio o aplicación, entre ellos podemos encontrar la edición de
registros, segregación de funciones, totales de control, logs de transacciones y reportes de errores.

El objetivo principal de los controles de aplicación es asegurar:

 Que el ingreso de los datos es exacto, completo, autorizado y correcto

 Que los datos son procesos en tiempo oportuno
 Los datos son almacenados de forma adecuada y completa
 Que las salidas del sistema son adecuadas y completas
 Que registros son mantenidos para realizar un seguimiento de las entradas y eventuales salidas
del sistema.
Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los datos que son ingresados
al sistema,

Controles de Procesamiento: Estos controles, principalmente automáticos proveen una manera automática

de asegurar que el procesamiento de las transacciones es completa, adecuado y autorizado.

Controles de salida: Básicamente estos controles direccionan a que operaciones fueron realizadas con los
datos. Y comparando también básicamente las salidas generadas con los ingresos realizados.

Controles de integridad: Estos controles permitan verificar la integridad y consistencia de los datos

procesados.

Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia identificar hechos inusuales para
posterior investigar los mismos.
Algunos de los aspectos que se deben tener en cuenta durante el proceso de evaluación de los controles
de TI son los siguientes:
¿Es efectivo el control?
¿Alcanza el resultado esperado?
¿Es efectivo el conjunto de controles preventivos, de detección y correctivos?
¿El control provee evidencia cuando los parámetros de control son rebasados o cuando fallan? ¿Cómo se
alerta a la Dirección de los fallos y qué pasos se espera que se den?
¿Se conserva la evidencia (pistas de auditoría o de gestión)?
No es fácil definir los controles de línea base de TI porque las amenazas generales, como el software
malicioso y la “piratería informática” cambian y frecuentemente se implantan nuevas tecnologías y
aplicaciones en la organización. Las siguientes cuestiones deben ser consideradas cuando se selecciona
un conjunto adecuado de controles de línea base:
¿Existen políticas que incluyan controles de TI?
¿Se han definido, asignado y aceptado las responsabilidades de TI y de controles de TI?
¿Se han asegurado lógica y físicamente los equipos y herramientas de la infraestructura de TI?
¿Se usan mecanismos de control para el acceso y la autenticación?
¿Se ha implementado un software antivirus y se realiza su mantenimiento?
¿Se ha implementado una tecnología de filtros de seguridad conforme a la política de la empresa (por
ejemplo, en lo lugares de conexiones externas, como Internet, y en los lugares donde se necesita una
separación entre redes internas)?
¿Se han completado evaluaciones de vulnerabilidades, se han identificado los riesgos y todo se ha resuelto
adecuadamente?
¿Existen procesos de gestión de configuración, de cambios y de aseguramiento de calidad?
¿Existen procesos de supervisión y de medición del servicio?
¿Se dispone de especialistas con competencias en auditoría de TI (sea interna o externamente)?
Hoy vimos

Análisis de Riesgo
Mapas de Riesgos
Riesgos en Auditoria