Documentos de Académico
Documentos de Profesional
Documentos de Cultura
II.
Contexto VII.
Definición de
estrategias y acciones
I. Comunicación y III. de control para
consulta Evaluación de responder a los riesgos
riesgos
VI.
IV. Mapa de riesgos
Evaluación de
controles V.
Evaluación de
riesgos respecto
a controles
Etapa III.- Evaluación de Riesgos
Estima la magnitud de los riesgos internos y externos que pueden evitar el logro de los objetivos de la
organización.
F.
Identificación de
los posibles
A. efectos de los
Identificación, E. riesgos. G.
selección y Tipo de factor de Valoración del grado de
impacto antes de la
descripción de riesgo. evaluación de controles
riesgos
B. D. H.
Valoración del grado de
Nivel de Identificación de impacto antes de la
decisión del factores de evaluación de controles.
(Valoración inicial)
riesgo. C. riesgo.
Clasificación
de los riesgos.
El concepto de RIESGO EN Auditoría
Impacto
Probabilidad de ocurrencia
Clasificación de Riesgos
• Es el riesgo que conlleva cada actividad por sí misma en ausencia de controles. Este tipo de
riesgo tiene que ver exclusivamente con la actividad económica o negocio de la empresa,
Riesgo independientemente de los sistemas de control interno que allí se estén aplicando.
Inherente
• Es el riesgo de que los controles establecidos por la entidad no prevengan ni detecten una incorrección
significativa
Riesgo de Cuando existen bajos niveles de riesgos de control es porque se están efectuando o están implementados
excelentes procedimientos para el buen desarrollo de los procesos de la organización
Control
• Es aquel que existe en todo momento por lo cual se genera la posibilidad de que un
auditor emita una información errada por el hecho de no haber detectado errores o
Riesgo de faltas significativas que podría modificar por completo la opinión dada en un informe.
Auditoría
Clasificación
Es elde Riesgos
riesgo que conlleva cada actividad por sí misma en ausencia de controles. Este tipo de riesgo tiene
que ver exclusivamente con la actividad económica o negocio de la empresa, independientemente de los
sistemas de control interno que allí se estén aplicando. Entre los factores que llevan a la existencia de este
Riesgo tipo de riesgos esta la naturaleza de las actividades económicas, como también el volumen tanto de
Inherente
transacciones como de productos y/o servicios, además tiene relevancia la parte gerencial y la calidad de
recurso humano con que cuenta la entidad.
Es el riesgo de que los controles establecidos por la entidad no prevengan ni detecten una incorrección
significativa
Aquí influye de manera muy importante los sistemas de control interno que estén implementados en la
empresa y en que circunstancias lleguen a ser insuficientes o inadecuados para la aplicación y detección
Riesgo de oportuna de irregularidades
Control Cuando existen bajos niveles de riesgos de control es porque se están efectuando o están implementados
excelentes procedimientos para el buen desarrollo de los procesos de la organización.
Entre los factores relevantes que determina este tipo de riesgo son los sistemas de información,
contabilidad y control.
RA= RI x RC x RD
Donde:
RA= Riesgo de Auditoría
RI= Riesgo Inherente
RC= Riesgo de Control
RD= Riesgo de Detección
RIESGO DE AUDITORIA
Si:
RI= 40%
RC= 38%
RD= 10%
RA= RI x RC x RD
RA= .40 x .38 x .10
RA= .0152
RA= 1.5%
RIESGO DE AUDITORIA: ejemplos
Si:
RA= 1.5%
RI= 40%
RC= 38%
RA= RI x RC x RD
.015 = .40 x .38 x RD
RD= .015/ .40 x .38
RD= .015/.152
RD= .9868 = 9.86%
RIESGOS
Etapa III Evaluación de Riesgos
14
Análisis del Riesgo.
Evaluación del riesgo inherente ó riesgo bruto:
Es la evaluación preliminar del riesgo, con la cual la Organización quiere conocer el nivel de exposición
al mismo, sin tener en cuenta las medidas de mitigación o los controles. En esta evaluación se
involucran dos conceptos la probabilidad de ocurrencia y la magnitud del impacto.
Magnitud del
Probabilidad de ocurrencia:
impacto: Es el
Es la posibilidad que un evento se materialice. Para determinar la probabilidad se puede resultado de un
evento expresado
utilizar el análisis cualitativo o cuantitativo, así como la estadística de la situación. cualitativa o
El análisis cualitativo se utiliza para aquellos casos en los cuales no existen datos para generar cuantitativamente, sea
este una pérdida,
estadísticas; ésta se asocia al criterio de frecuencia (medida de las veces que se sucede un evento perjuicio o desventaja.
expresado como la cantidad de ocurrencias en un tiempo dado). Se definen rangos sobre
los resultados posibles
asociados a un
evento.
Análisis del Riesgo.
B Muy
Baja
I Inferi Meno Important Mayo Superio Extremo Bajo
L or r e r r
I NIVEL DE
IMPACTO
D
D
Análisis del Riesgo.
Un mapa de riesgos es la visualización global de los riesgos de una
organización, diferenciándolos de acuerdo con sus niveles de criticidad.
Se convierte en una carta de navegación para conocer y definir estrategias de gestión para
los riesgos.
Análisis del Riesgo.
Probabilidad de Ocurrencia
Probabilidad de Ocurrencia
Magnitud de Impacto
Criterios Cualitativos
Corresponde a la evaluación del efecto y la
consecuencia producida al materializarse un riesgo al Critico
interior de la entidad. Las variables que son tenidas en - Interrupción de las operaciones por más de 4 horas.
cuenta para definir el impacto se encuentran divididas
en dos grupos: - Intervención por parte de la Comisión Nacional Bancaria y
de Valores (CNBV) por Incumplimientos legales y/o
contractuales.
Cuantitativos: Aquellos criterios que miden el impacto
de los riesgos desde el punto de vista financiero. - Impacto que afecte la imagen negativamente en el mercado
relacionada con prácticas inseguras y/o irregulares.
Cualitativos: Aquellos criterios que miden el impacto - Pérdida de información crítica de la Compañía y/o de terceros
de los riesgos intangibles, que generalmente no son que no se pueda recuperar.
fáciles de medir desde el punto de vista financiero (Ej. Mayor
La reputación (imagen, temas legales, pérdida de
clientes, entre otros.) - Interrupción de las operaciones entre 2 a 4 horas.
- Sanciones económicas por incumplimiento de las normas
Los cinco niveles de impacto ubicados en el mapa de establecidas (operaciones / obligaciones contractuales).
riesgos son:
• Crítico /Catastrófico
- Impacto que afecte negativamente la imagen en el mercado
relacionada con el servicio al cliente.
• Mayor/Grave
• Importante/Moderado - Pérdida de información crítica de la Compañía o de terceros
• Menor/Bajo que no se pueda recuperar fácilmente.
• Inferior/Menor.
Análisis del Riesgo.
Magnitud de Impacto Criterios Cualitativos
Corresponde a la evaluación del efecto y la Importante
consecuencia producida al materializarse un riesgo al - Llamados de atención o requerimientos realizado por los
interior de la entidad. Las variables que son tenidas en entes reguladores.
cuenta para definir el impacto se encuentran divididas - Interrupción de las operaciones entre 1 y menor a 2 horas.
en dos grupos:
- Inoportunidad de la información ocasionando retrasos en las
labores de las áreas o en la respuesta a los entes reguladores.
Cuantitativos: Aquellos criterios que miden el impacto
de los riesgos desde el punto de vista financiero. - Reproceso de actividades y aumento de la carga operativa
(ejecutar nuevamente actividades de los procesos por errores
Cualitativos: Aquellos criterios que miden el impacto operativos).
de los riesgos intangibles, que generalmente no son - Impacto que afecta negativamente la imagen con los clientes.
fáciles de medir desde el punto de vista financiero (Ej. Menor
La reputación (imagen, temas legales, pérdida de - Interrupción de las operaciones menor a 1 hora.
clientes, entre otros.)
- No afecta la oportunidad de la información de manera
significativa, no altera el funcionamiento de las áreas
Los cinco niveles de impacto ubicados en el mapa de
receptoras y procesadoras de información.
riesgos son:
• Crítico /Catastrófico - Incremento entre el 10% y el 20% del numero de reclamos
• Mayor/Grave formulados por los clientes.
• Importante/Moderado Inferior
• Menor/Bajo
No hay interrupción de operaciones
• Inferior/Menor.
Análisis del Riesgo.
Magnitud de Impacto
Criterios Cualitativos
Corresponde a la evaluación del efecto y la
consecuencia producida al materializarse un riesgo al Catatrófico
interior de la entidad. Las variables que son tenidas en - Influye directamente en el cumplimiento de la misión, visión,
cuenta para definir el impacto se encuentran divididas metas y objetivos de la institución y puede implicar pérdida
en dos grupos: patrimonial, incumplimientos normativos, problemas
operativos o impacto ambiental y deterioro de la imagen,
Cuantitativos: Aquellos criterios que miden el impacto dejando además sin funcionar totalmente o por un período
de los riesgos desde el punto de vista financiero. importante de tiempo, afectando los programas, proyectos,
procesos o servicios sustantivos de la institución
Cualitativos: Aquellos criterios que miden el impacto
de los riesgos intangibles, que generalmente no son
fáciles de medir desde el punto de vista financiero (Ej. Grave
La reputación (imagen, temas legales, pérdida de
clientes, entre otros.) - Dañaría significativamente el patrimonio, incumplimientos
normativos, problemas operativos o de impacto ambiental y
Los cinco niveles de impacto ubicados en el mapa de deterioro de la imagen o logro de las metas y objetivos
riesgos son: institucionales. Además se requiere una cantidad importante
• Crítico /Catastrófico de tiempo para investigar y corregir daños
• Mayor/Grave
• Importante/Moderado
• Menor/Bajo
• Inferior/Menor.
Análisis del Riesgo.
Magnitud de Impacto
Criterios Cualitativos
Corresponde a la evaluación del efecto y la
consecuencia producida al materializarse un riesgo al Moderado
interior de la entidad. Las variables que son tenidas en -
cuenta para definir el impacto se encuentran divididas - Causaría, ya sea una pérdida importante en el
en dos grupos: patrimonio o un deterioro significativo en la imagen
institucional.
Cuantitativos: Aquellos criterios que miden el impacto
de los riesgos desde el punto de vista financiero. Bajo
Cualitativos: Aquellos criterios que miden el impacto - Causa un daño en el patrimonio o imagen institucional,
de los riesgos intangibles, que generalmente no son que se puede corregir en el corto tiempo y no afecta el
fáciles de medir desde el punto de vista financiero (Ej. cumplimiento de las metas y objetivos institucionales
La reputación (imagen, temas legales, pérdida de
clientes, entre otros.) Bajo
Menor
Los cinco niveles de impacto ubicados en el mapa de - Riesgo que puede ocasionar pequeños o nulos efectos en la
riesgos son: institución.
• Crítico /Catastrófico
• Mayor/Grave
• Importante/Moderado
• Menor/Bajo
• Inferior/Menor.
Análisis del Riesgo.
Análisis del Riesgo.
Identificación del Riesgo
Matriz de Riesgos
Proceso No Riesgo Del Proceso Tipo de Riesgo Evento / Falla Factor de riesgo
1 2 6
3 4 5
Severidad
Riesgo Del Tipo de Evento / Factor de Probabilidad Impacto del
Proceso No
Proceso Falla riesgo Riesgo
Riesgo Inherente
7 8 9
7 8 Impacto:
Probabilidad:
El impacto del riesgo sin tener en cuenta los controles asociados y de acuerdo con los
Calificación de la probabilidad de
criterios cuantitativos o cualitativos definidos
ocurrencia del riesgo sin tener
en cuenta los controles
En este punto, se tienen en cuenta los criterios para calificación de riesgos definidos.
asociados.
En este punto, se tienen en cuenta 9 Severidad
Severidaddel
delRiesgo Inherente:
Riesgo Inherente:
En
loseste punto,
criterios se tienen
para en cuenta
calificación de De acuerdo a la calificación de probabilidad e impacto inherente, se asigna la
los criterios
riesgos para calificación de
definidos. severidad del riesgo
riesgos definidos.
Evaluación del Riesgo.
Se establece el Mapa de Riesgo Inherente
R2 Operaciones ejecutadas por fuera del perfil de riesgos de la entidad por debilidad en el monitoreo y control.
R3 Informes y reportes internos o externos presentados con información errada o de manera inoportuna.
MATRIZ DE RIESGO PARA LA CLASE
P
R I RIESGO
O Muy Alta/Recurrente EXTREMO DE
B ATENCION
A 5 5 25 125 625 3125 INMEDIATA II I
B
I
L IV RIESGO
I Alta/Muy probable ALTO DE
D 4 4 20 100 500 2500 SEGUIMIENTO III IV
A
D II RIESGO
MODERADO
D Moderada/Probable DE ATENCION
E
3 3 50 75 375 1875 PERIODICA
O
II RIESGO I RIESGO
C
III RIESGO MODERADO
U Baja/Inusual EXTREMO DE
R BAJO DE ATENCION ATENCION
R 2 2 10 50 250 1250 CONTROLADO PERIODICA INMEDIATA
E
N
C III RIESGO IV RIESGO
Muy Baja/Remota BAJO ALTO DE
I
A 1 1 5 25 125 625 CONTROLADO SEGUIMIENTO
1 5 25 125 625
Inferior/Menor. Menor/Bajo Importante/Moderado Mayor/Grave Crítico /Catastrófico
GRADO DE IMPACTO
RIESGO
≤ 10 BAJO CONTROLADO III
10 < y ≤ 75 MODERADO DE ATENCION PERIODICA II
75< y ≤ 500 ALTO DE SEGUIMIENTO IV
≥ 625 EXTREMO DE ATENCION INMEDIATA I
Etapa IV Evaluación de Controles
a) Comprobar la existencia o no de controles para cada factor de riesgo y,
en su caso, sus efectos
b) Describir los controles existentes para administrar los factores de riesgo
y, en su caso, sus efectos
c) Determinar el tipo de control: preventivo, correctivo o detectivo
d) Identificar en los controles:
▪ Deficiencia: No está documentado, no está formalizado, no se aplica, no es efectivo
▪ Suficiencia: Cuando se cumplen los requisitos anteriores
30
Tratamiento de Riesgos
CONTROLES
PREVENTIVOS
Clasificación Descripción
Preventivo (Pv) Controles claves que actúan antes o al inicio de una actividad.
Correctivo (Cr) Controles claves que actúan durante el proceso y que permiten corregir las
deficiencias.
Detectivo (Dt) Controles claves que solo actúan una vez que el proceso ha terminado.
Tratamiento de Riesgos
C
T
I
V
I
El control se ejerce sin
Automático
intervención de personas a
D
través de un sistema
A
programado
D
Tratamiento de Riesgos
Información
Ayuda en la actualizada y de
Formación de referencia para el
Nuevo Personal resto de
empleados
Aporta Claridad
a las funciones.
(quien, que,
como, cuando,
evidencia).
Constituye un Establece
medio para expectativas de
conservar el desempeño y
conocimiento de conducta.
la organización
Tratamiento de Riesgos
Como debe estar redactado un control en una matriz de riesgos, para que desde
la lectura se pueda hacer una idea preliminar del diseño del control y que
realmente sea un control:
Frecuencia Que
Cuando
Quien
El Profesional de Nomina mensualmente a partir de la segunda semana del cierre del mes, realiza los
cuadres de saldos de cuentas de nomina (vacaciones, sueldos, bonificaciones, horas extras, pasivos
pensionales, etc.) comparando los saldos reportados en el aplicativo SRH Vs Saldos contables del
aplicativo PEOPLE SOFT, en caso de observar diferencias solicita las justificaciones o correcciones,
como evidencia del control deja conciliación en Excel con las justificaciones a las diferencias en caso
que existan.
Como Que pasa si hay Evidencia
excepciones.
Actividades de Control Clave Comunes
Actividades de control más comunes que se pueden considerar como claves en los procesos de una
organización son:
Aprobar: Autorización para ejecutar una transacción, otorgada por una persona que tiene facultades
para hacerlo.
Calcular: Computar o volver a computar un importe que resulta de otros datos obtenidos en el
proceso
Documentar: Preservar información original o documentar la base lógica de las opiniones emitidas
para referencia futura
Examinar: Verificar la existencia o el surgimiento de un atributo
Comparar: Comparaciones entre dos atributos diferentes para verificar si coinciden
Controlar: Verificar para asegurar que una acción se esté realizando
Restringir: No permitir una acción no aceptable
Segregar: Separar las responsabilidades incompatibles que pueden crear la posibilidad para una
acción no deseada
Supervisar: Proporcionar instrucciones y supervisión para asegurar que las acciones y las tareas se
lleven a cabo tal como se diseñaron
Tratamiento de Riesgos
Un Control Bien La persona que ejecuta el control tiene el conocimiento y la experiencia suficiente.
El riesgo residual es aquél que permanece después que la Dirección toma las
acciones de control necesarias para reducir la probabilidad y consecuencia del
riesgo.
de atención I. Riesgos
II. Riesgos
de atención
periódica inmediata
impacto
Impacto
MATRIZ DE RIESGO PARA LA CLASE
P
R I RIESGO
O Muy Alta/Recurrente EXTREMO DE
B ATENCION
A 5 5 25 125 625 3125 INMEDIATA II I
B
I
L IV RIESGO
I Alta/Muy probable ALTO DE
D 4 4 20 100 500 2500 SEGUIMIENTO III IV
A
D II RIESGO
MODERADO
D Moderada/Probable DE ATENCION
E
3 3 50 75 375 1875 PERIODICA
O
II RIESGO I RIESGO
C
III RIESGO MODERADO
U Baja/Inusual EXTREMO DE
R BAJO DE ATENCION ATENCION
R 2 2 10 50 250 1250 CONTROLADO PERIODICA INMEDIATA
E
N
C III RIESGO IV RIESGO
Muy Baja/Remota BAJO ALTO DE
I
A 1 1 5 25 125 625 CONTROLADO SEGUIMIENTO
1 5 25 125 625
Inferior/Menor. Menor/Bajo Importante/Moderado Mayor/Grave Crítico /Catastrófico
GRADO DE IMPACTO
RIESGO
≤ 10 BAJO CONTROLADO III
10 < y ≤ 75 MODERADO DE ATENCION PERIODICA II
75< y ≤ 500 ALTO DE SEGUIMIENTO IV
≥ 625 EXTREMO DE ATENCION INMEDIATA I
Etapa VII.- Estrategias y Acciones de Control (AC) para responder a los riesgos
48
Etapa VII.- Estrategias y Acciones de Control (AC) para responder a los riesgos.
1. Evitar el riesgo
3. Asumir el riesgo
4. Transferir el riesgo
5. Compartir el riesgo
Tratamiento del Riesgo.
Identificar las opciones de mitigación de riesgo
Identificar las opciones para mitigar/tratar los riesgos consiste en realizar la evaluación de
dichas opciones, preparar los planes de mitigación de riesgos y su implementación. Sin
embargo, la Organización puede decidir aceptar el riesgo sin tomar acciones adicionales …
Transferir Posibles
estrategias
Apetito Reducir establecidas
de Riesgo por la
Evitar
Dirección de
la Entidad.
Aceptar
Tratamiento del Riesgo.
TRATAMIENTO DEL RIESGO
• Se refiere a eliminar el factor o factores que puedan provocar la materialización del
Evitar el riesgo
Riesgo
• Los riesgos de bajo nivel, pueden ser aceptados, pudiendo no ser necesaria una
acción adicional, aunque se requiera su control y seguimiento,
Usted trabaja en “La Entidad Dinero a Toda Hora” y debe analizar que
medida de tratamiento o de mitigación tomaría en los siguientes riesgos y
casos que se han presentado en la organización.
1. Se le ha presentado a la entidad en el transcurso del 2014, ocho 8 eventos de riesgo materializados por suplantación de clientes que solicitan
cartera de crédito y que han representado una perdida de 30.000 dólares al año, sobre una utilidad de 2.500.000 dólares . Al evaluar las
alternativas a implementar la alternativa que existe para garantizar que esto no pase por el Gerente de Crédito es :
a. Implementar un mecanismo de identificación directa donde se le tome la huella al cliente y directamente se coteja con la
registradora publica y salgan los datos de manera automática del cliente, como nombres, apellidos, identificación, etc . Este sistema
vale implementarlo 250.000 dólares y un pago a la registraduria por el servicio mensual de 6.000 dólares mensuales .
Usted que acción tomaría : Aceptar el Riesgo / Evitar el Riesgo / Compartir o transferir / Reducir o Mitigar el Riesgo.
TRATAMIENTO DEL RIESGO (ejemplos)
2. Existen indicios que hay personas que están reportando horas extras trabajadas después de la salidad (5:30 pm) sin
trabajarlas y en muchos de los casos ya se han ido de la organización, y reportan horas extras como si estuvieran
laborando . Al Analizar los rubros mensuales de la nomina el pago de horas extras asciende mensualmente a 1.500
dólares mensuales de una nomina de 730.000 Dólares mensuales, la entidad esta evaluando para mitigar este
riesgo dentro se sus alternativas instalar un identificador de llegada y salida de los funcionarios a través de huellas que
permita identificar y cotejar con el reporte de horas extras las entradas y salidas del personal, los equipos y la
installation en las zonas de trabajo cuestan 30.000 dólares, y un mantenimiento mensual de 1.250 dólares .
Usted que acción tomaría : Aceptar el Riesgo / Evitar el Riesgo / Compartir o transferir / Reducir o Mitigar el Riesgo.
TRATAMIENTO DEL RIESGO (ejemplos)
3. En el año 2014, la entidad tuvo 150 eventos de perdida materializados por adulteración o pago de cheques ficticios que
ascendieron a 800.000 dólares, el 10% de sus ingresos, al realizar las investigaciones correspondientes se llego a la
conclusión de que los controles se realizaron, pero el papel y las firmas eran de muy buena calidad y a simple vista del cajero
o con los líquidos de seguridad era difícil identificar su adulteración, la empresa a la fecha tiene una propuesta de la
empresa Chequeando, que son expertos peritos en seguridad y detección de firmas y documentación fraudulenta y están
proponiendo a la entidad prestar el servicio de revisión de cheques por un valor mensual de 4.000 dólares mensuales y en caso
de que se presente algún ilícito por adulteración la Empresa chequeando reconoce el pago al Banco de los dineros que
le llegaran a defraudar .
Usted que acción tomaría : Aceptar el Riesgo / Evitar el Riesgo / Compartir o transferir / Reducir o Mitigar el Riesgo.
TRATAMIENTO DEL RIESGO
RIESGOS MEDIDA
ANTES S
DE
MEDIDAS
Inherente EVITA
R
RIESGOS
DESPUES
DE
MEDIDAS
No Hay
Riesgo
TRATAMIENTO DEL RIESGO
RIESGOS MEDIDA
ANTES S
DE
MEDIDAS
Inherente REDUCI
R
COMPARTIR
RIESGOS
DESPUES
DE
MEDIDAS