UNIVERSIDAD DAVINCI DE GUATEMALA

LOS RIESGOS EN AUDITORIA

Docente:
Lic. Carlos Sigüenza
¿ QUÉ ES UN RIESGO ?
 ¿Qué son riesgos?
Definición de Riesgo:
Es la posibilidad de que los acontecimientos actuales y futuros,
esperados o no, puedan tener un efecto negativo o perjudicial en el
capital, la reputación, los objetivos o los ingresos de la institución.

Cada individuo, cada organización, cada entidad tiene que tomar

riesgo.
El riesgo es como el fuego : bueno y malo si no se controla
Manejo de riesgo no se trata de evitar todos los riesgos
Manejo de riesgo es un balance:

Riesgo Recompensa
 ¿Qué es un control?
• Un control es una medida que reduce el riesgo
• Medidas “detectivescas”
• Tipos de controles:
• Preventivo
• Correctivo
 Ejemplo:

¿Cuáles son los controles preventivos aquí?

¿Cuáles son los controles correctivos?
¿Qué es mejor? ¿preventivo o correctivo y por qué?
 Ejemplos de Controles
Piense en:
• Organizacion/entes de toma de decision/niveles de
autorizacion
• Documentación
• Temas relacionados al personal
• Proceso de credito
• IT, controles en el sistema de informacion gerencial
• Reportes de excepciones
• Infraestructura institucional: estatutos, manuales, registros.
• Segregacion de actividades.
 Segregación de responsabilidades
•Definición de Segregación de responsabilidades (SdR):
• Se requiere de más de una persona para completar una tarea.
• Autorización de función
• Registro de funciones, por ejemplo. Preparación de
documentos de base o codificar o informes sobre
rendimientos.
• Custodiar un activo directa o indirectamente, por ejemplo
recibir cheques o implementar código de origen o cambios en
las bases de datos
• conciliaciones o auditoría
• Nadie debería tener el control absoluto sobre el proceso de
crédito de principio al final
• También significa : no compartir passwords!
 Segregación de funciones
Funciones de custodia
Manejo de efectivo
Manejo de activos
Elaboración de cheques
Recibiendo cheques en e-mail
Autorización de funciones
Autorización
Registro de funciones de transacciones
Preparar documentos
Mantenimiento de entradas
Preparación de conciliaciones
Preparar reportes de desempeño
 Planes, políticas y manuales
Cuáles:
• Planes estratégicos y de negocios
• Política de crédito
• Manual de recursos humanos
• Manual financiero
• Política de control interno
• Manual de auditoría
• Política de ahorros y depósitos
 Diferentes tipos de riesgos
• Existen diferentes tipos de riesgo:
• Riesgo estratégico: la probabilidad de pérdidas derivadas de
una estrategia pobre o malos planes de negocios.
• Riesgo de negocios: la probabilidad de pérdida inherente de
productos y servicios en relación con su medio ambiente
tales como competencia y condiciones económicas adversas.
• Riesgo financiero
• Riesgo no financiero
• Riesgo de reputación…
• …y mucho más …
 Riesgo financiero
• Riesgo de crédito: probabilidad de pérdida
debido a que un prestatario no pague
• Riesgo de concentración
• Riesgo de mercado: probabilidad de pèrdida
debido a fluctuaciones de precios
• Riesgo de tasas de interés
• Riesgo de tasa cambiaria
• Riesgo Patrimonial
• Riesgo de materias primas/ inmobiliarias
 Riesgo financiero
• Riesgo de crédito: probabilidad de pérdida
debido a que un prestatario no pague
• Riesgo de concentración
• Riesgo de mercado: probabilidad de pérdida
debido a fluctuaciones de precios
• Riesgo de tasas de interés
• Riesgo de tasa cambiaria
• Riesgo inherente a las acciones
• Riesgo de materias primas/ inmobiliarias
 Reporte “Bananaskin”: riesgos en MFI’s
Estudio de riesgo de las microfinanzas:
• 2011 2012
• 1 Riesgo crediticio 1 Sobreendeudamiento
• 2 Reputación 2 Gobierno corporativo
• 3 Competencia 3 Calidad administrativa
• 4 Gobierno corporativo 4 Riesgo crediticio
• 5 Injerencia política 5 Injerencia política
• 6 Regulación inapropiada 6 Calidad de la gestión de riesgos
• 7 Calidad administrativa 7 Gestión de clientes
• 8 Personal 8 Competencia
• 9 Desviación de la misión 9 Regulación
• 10 Expectativas irrealizables 10 Liquidez
 Bananaskin 2012 Latinoamerica
• 1. Sobreendeudamiento
• 2. Competencia
• 3. Gobierno corporativo
• 4. Injerencia política
• 5. Gestión del cliente
• 6. Calidad de la gestión de riesgos
• 7. Riesgo crediticio
• 8. Regulación
• 9. Desviación de la misión
• 10. Personal
 Riesgos no financieros

• Están relacionados con la operación del día a día de

la organización, por ejemplo:
• Riego operativo
• Riesgo de cumplimiento
• Riesgo legal.

• Un riesgo, pocas veces es “independiente”

• Riesgo reputacional…..
 Riesgo de cumplimiento

• El riesgo de no adherirse a las leyes y reglamentos.

• Ejemplos:
• Lavado de dinero
• Conflictos de interés
• Soborno
• Aceptar regalos excesivos / entretenimiento
• Sostener posiciones inadecuadas fuera
• Personal comercial
• La concesión de préstamos a partes relacionadas (familiares, amigos, etc.).

• ¿Existen políticas establecidas para estos riesgos?

• ¿El personal está al tanto de estos riesgos?
 Riesgo reputacional– estrategias para mitigarlo

• Definir una estrategia de riesgo reputacional

• Monitorear las banderas rojas/advertencias tempranas (por ejemplo, Internet, blogs, etc.)
• Equipo de gestión de crisis;
• Inventario completo de todos los interesados
• Mantener contacto regular con las partes interesadas; crear confianza
• Crear un consejo de representantes de las partes interesadas
• Preparación de una respuesta detallada durante un profundo análisis de la fuente,
• Preparar la comunicación para las distintas partes interesadas, comunicación oportuna
• Capacitación del personal
7. ¿Qué es Riesgo Operativo (RO)?
Basilea II

Riesgo Operativo
El riesgo de pérdida resultante de procesos internos inadecuados o fallidos,
personas, sistemas o eventos externos.

Se trata sobre cómo estamos organizamos, cómo actuamos y las herramientas

que utilizamos.
 Elementos del RO
• Gente: pueden cometer errores, olvidar cosas, llegar tarde, etc. O pueden cometer
fraude o mostrar un comportamiento poco ético ... (interna / externa)
• Sistemas: fallas de TI, sistemas, etc. También técnicos (aire acondicionado,
suministro de energía, etc)
• Procesos: Procesamiento incorrecto, presentación de informes, la demora, los
problemas del proyecto, los productos fallos / defectos …
• Los eventos externos: desastres naturales (inundaciones ...), incendios,
terremotos, huracanes. También creados por el hombre: político / normativo, los
ataques terroristas, huelgas, bloqueos de caminos ....
Basilea II categorías de Riesgo Operativo

Actividad Criminal Actividad Criminal

Interna Externa
Fallas en Sistemas
Actividad No de Información
Autorizada

Mala practicas del

Fallas de empleado
Procesos Riesgo Operativo
(Basilea II)
Discontinuidad del
Fallas de negocio
Sistema Clientse, productos,
Fallas de Control negocios, malas
practicas
¿Cómo defines este riesgo?
 Definición de Riesgo

El rayo es la CAUSA

Evento

La posibilidad de que la
El costo de
casa sea impactada por
reparación
un rayo es la es el
PROBABILIDAD IMPACTO

El riesgo de que mi casa se queme debido a un rayo, teniendo como resultado la

pérdida de todas mis pertenencias.
 Definición de Riesgo
El riesgo de que mi casa se queme debido a un rayo,
teniendo como resultado la pérdida de todas mis pertenencias.

El Mi casa Se queme Debido Un rayo Rensultan La perdida

Riesgo a do en de todas mis
pertenencias
que

Evento Evento:   Causa   Impacto/

Probabilidad
Consecuencia Pérdida

- Causa
- Evento
-Impacto
Inventario de Riesgos: cómo formularlos
• ¿Qué has escrito?, ¿contiene los 3 elementos?:
• Causa
• Evento
• Impacto

• El riesgo de<evento> debido a <causa> resultando en

<impacto>
• Ejemplo:
• El riesgo de <tener un accidente> debido a <no ver el
tráfico antes de cruzar la calle> resulta en<lesiones severas
o muerte>
 Mira de nuevo los riesgos: lecciones aprendidas

• Efecto domino: un riesgo es causado por otro, etc

• Raiz-Causa: ¿cuál es el riesgo orginal?¿dónde
empezo?
• Lecciones Aprendidas: Cómo prevenir la próxima
vez?

• ¿Se pueden definir las Raices-Causas y lecciones

aprendidas?
 “Lo que no se puede medir no
se puede controlar; lo que no se
puede controlar no se puede
gestionar; lo que no se puede
gestionar no se puede mejorar.”
 GESTIÓN DEL RIESGO OPERACIONAL
Ciclo de la gestión del R.O.:

IDENTIFICAC
IÓN

MITIGACIÓ EVALUACI
N ÓN

SEGUIMIEN
TO

27
 GESTIÓN DEL RIESGO OPERACIONAL
• Ciclo de la gestión del R.O.: IDENTIFICACIÓN

• Mapa de procesos, riesgos y controles:

• Elaboración y mantenimiento de un mapa global de procesos, riesgos y
controles que capture todas las exposiciones materiales al riesgo
operacional.
• Es importante que el proceso de identificación incluya aquellos riesgos
de baja frecuencia y alto impacto que se podrían dar a la entidad aunque
no exista evidencia histórica.

• Autoevaluaciones:
• Valoración periódica del riesgo inherente y riesgo residual

28
 GESTIÓN DEL RIESGO OPERACIONAL
• Ciclo de la gestión del R.O.: EVALUACIÓN
• Analizar el resultado:
• Ver los riesgos más críticos, donde se concentra el riesgo del
centro,
• Ver si las autoevaluaciones son coherentes con los históricos
de pérdida
• Determinar si es preciso desarrollar algún plan de acción
• La actualización del mapa de riesgos, procesos y de las
autoevaluaciones se debe realizar anualmente.

29
 GESTIÓN DEL RIESGO OPERACIONAL
• Ciclo de la gestión del R.O.: SEGUIMIENTO

• Captura y seguimiento de eventos: Establecer procesos

de captura, clasificación, investigación y, en su caso,
información a la alta dirección, de datos sobre eventos
operacionales acaecidos

• KRI's (Indicadores Clave de Riesgo):

• Comprobar periódicamente si alguno de los indicadores
ha superado los umbrales preestablecidos

30
 GESTIÓN DEL RIESGO OPERACIONAL
• Ciclo de la gestión del R.O.: MITIGACIÓN

• Planes de acción:
1. En base a un indicador de exposición al riesgo, se generan
anualmente de forma automática planes de acción.
2. Los centros tienen opción en crear de forma manual en
cualquier momento en función de:
• El análisis de las autoevaluaciones realizadas, por ejemplo para aquellos
riesgos más críticos.
• El seguimiento de los eventos de pérdida, por ejemplo en aquellos riesgos
en que se concentran más eventos de pérdida o los más significativos.

31
¿TOLERANCIA AL RIESGO?
TOLERANCIA AL RIESGO
Es el límite máximo de riesgo que la empresa
puede asumir. Esta tolerancia depende del
capital, los activos líquidos y la capacidad de
endeudamiento, entre otros, de cada empresa.
¿APETITOS DE RIESGO?
APETITOS DE RIESGO
El apetito de riesgo se refiere a la cantidad de
exposición a impactos adversos potenciales que
la empresa está dispuesta a aceptar para
alcanzar sus objetivos. Pero ¿cómo determinar
si el apetito de riesgo de una empresa es
excesivo o si, por el contrario, es demasiado
conservador? En el presente artículo daremos
información clave para contestar a esta
importante pregunta.
Marco Conceptual Administración de Riesgo
“Si no puedes medirlo,
no puedes controlarlo

Gobernabilidad

Guía Organizando/Arreglando
Identificación del
Riesgo

Pruebas Medición del

Riesgo

Mitigación del
Reportes Administrativos Riesgo Reportes Operacionales

Monitoreo de Riesgos
 Buena Gobernabilidad
La gobernabilidad es el sistema de personas y procesos, contenidos en el
consejo de administración, que mantienen a una organización en la pista y
por el cual toma decisiones importantes.
• Cultura: Sintonizados en lo alto
• Consejo de Administración
• Comisiones del Consejo
• Gerencia/Equipo Gerencial
• Comités gerenciales
• Departamento de Riesgos
• Departamento de Auditoría Interna
• Comunicación y sensibilización
 Tres líneas del Modelo de Defensa

1era Línea de 2da Línea de 3ra Línea de

Defensa Defensa Defensa

Gestión de Riesgo
Personal en
atención al

Auditor Externo
cliente y Control y Finanzas

Regulador
personal de Auditoría
soporte Interna
Gestión de Riesgo de Seguro
administrativo
(sucursales,
oficiales de Legal yd e Cumplimiento
crédito,
operaciones)
Roles y responsabilidades en la gestión de riesgo
• Miembro del Consejo Aprueba el presupuesto y la planificación
• Aprueba políticas
• Alta Dirección Identifica riesgos
• Desarrolla políticas e indicadores
• Asigna responsabilidades
• Administración sucursal Implementa políticas Actitud de
• Monitorea el cumplimiento los directivos
• Personal operacional Sigue las políticas
• Ofrece sugerencias
• Provee retroalimentación
• Auditoría Interna Verifica el cumplimiento
• de las políticas

• Identifica riesgos no controlados

Consejo, gerencia & comités
•Comités de Consejo
• Junta Directiva
• Comité de Auditoría
• Comité de Nombramiento / Remuneración
•Comités Administrativos
• Equipo Administrativo
• Comité de crédito
• ALCO
• Comité de riesgo
• Comité de Producto
• Comité Directivo de Tecnologías de la Información
 Comité de Riesgo
• Participación
• Director Ejecutivo
• Personal de atención al cliente y operacional
• Funciones de apoyo
• Frecuencia
• Mensualmente
• Contenido
• Todos los elementos del marco institucional
• Detalles en Términos de Referencia
 Identificación de riesgo
• Auditorías / revisiones
• Independientes
• Formales
• Revisión de políticas/ procedimientos
• Pero…
• ¿Qué se chequea?
• Alcance
• ToD / ToE

Complementario
• Autoevaluación de riesgo
• Muy interactiva
• Gerencia participa y define sus propios riesgos
• Más compromiso
• Ventaja importate: más concienciación!
• Seguimiento más fácil
• Pero…
• Alcance
• Toma tiempo de Gerencia
• Valoración& revisión de productos
• Nuevos productos / projectos
• Productos / projectos existentes
 ¿Cómo medimos el riesgo?

Casi 1

•
certero
PROBABILIDA
D
Probable

• 2
Posible

Improbable 3
•

Raro

Insignificante Menor Moderado Mayor Catastrófico

IMPACTO
 Severidad del riesgo
• El riesgo es medido en términos de probabilidad e
impacto.

Impacto:
• Financiero
• Misión
• Seguridad y bienestar de las personas
• Continuidad de los procesos
• Reputación
• Normativo (por ejemplo: multas, inspecciones)
 Apliación de técnicas de reducción
Probabilidad

•
• 2

3
•

Impacto / pérdida
 NIA 315
Identificación y evaluación de los riesgos de error material
mediante el entendimiento de la entidad y su entorno
ALCANCE Y OBJETIVOS DE LA NORMA

¿Por qué es responsabilidad del

auditor obtener un
entendimiento de la entidad y su
entorno, incluyendo su control
interno?
 ALCANCE Y OBJETIVOS DE LA NORMA
Para:
• Identificar
• y valorar los riesgos

Como:
• Comprender a la entidad y su entorno

Que hacer:
•Diseñar e implementar respuestas a los riesgos evaluados
 DEFINICIONES
• Aseveraciones, Representaciones de la administración,
que utiliza el auditor para considerar los diferentes tipos
de errores que puedan ocurrir.
• Riesgo de negocio, condiciones, hechos o acciones que
afectan a la entidad para lograr sus objetivos.
• Control Interno, proceso diseñado e implementado por la
entidad (gobierno corp., admón., gerencia, etc.)
• Procedimientos de evaluación del riesgo, procedimientos
de auditoria para entender a una entidad.
• Riesgo importante, Riesgo identificado y valorado.
 REQUISITOS
Procedimientos para la evaluación del riesgo y actividades
relacionadas

El auditor deberá aplicar procedimientos de

evaluación del riesgo para proporcionar una
base para la identificación y valoración de
riesgos de error material a los niveles de estado
financiero y de aseveración.

“PROCESO BASICO DE AUDITORIA”

1. ¿QUE SE ENTIENDE O CUÁL ES EL PROCESO
BÁSICO DE AUDITORIA?

2. ¿CÓMO SE INICIA, CUÁL ES SU PROCESO Y

COMO FINALIZA?
EL PROCESO BÁSICO DE LA AUDITORIA

Planeación

Informes Evaluación

Terminación Ejecución
 Procedimientos para la evaluación del
riesgo y actividades relacionadas
Información previa para identificar los riesgos
de error material:

1. Factores internos de la entidad

2. Naturaleza de las operaciones
3. Estructura de la entidad
4. Políticas y procedimientos contables
El entendimiento que se requiere de la entidad y su entorno,
incluyendo el control interno de la entidad

Control interno de la entidad

• El auditor deberá obtener un entendimiento del control interno relevante
a la auditoría.
• Aunque es probable que la mayoría de los controles relevantes a la
auditoría se relacionen con la información financiera, no todos los
controles que se relacionan con la información financiera son relevantes a
la auditoría.
• Es cuestión de juicio profesional del auditor si un control, en lo particular o
en combinación con otros, es relevante a la auditoría.

Naturaleza y alcance del entendimiento de los controles relevantes.

Al obtener un entendimiento de los controles que son relevantes a la
auditoría, el auditor deberá evaluar el diseño de esos controles y determinar
si se han implementado, mediante la aplicación de procedimientos, así como
al realizar los cuestionamientos al personal de la entidad.
 El papel de auditor en la evaluación de
riesgos
Esta misma norma, en el párrafo 7, establece:
“El auditor deberá realizar los siguientes procedimientos de
evaluación del riesgo para obtener un entendimiento de la
entidad y su entorno, incluyendo su control interno:”
1. Investigación con la administración y otros dentro de la
entidad:
Investigaciones dirigidas a los encargados del mando
(gobierno corporativo), al personal de auditoría interna, con
empleados implicados en el inicio, procesamiento o registros
de transacciones complejas o inusuales, con el asesor legal, o
con personal de mercadotecnia y ventas.
 El papel de auditor en la evaluación de
riesgos
2. Procedimientos analíticos:
Éstos implican procedimientos analíticos de
evaluación de riesgos. No obstante lo más
frecuente es la aplicación de procedimientos
relacionados con el Entendimiento de la entidad y
su entorno, incluyendo su control interno
indicados en el párrafo 20 que indica:
“El entendimiento de la entidad y su entorno por el
auditor consiste de un entendimiento de los
siguientes aspectos:
 El papel de auditor en la evaluación de
riesgos
3. Observación e inspección: de acuerdo al párrafo 20 incluye:

• Observación de actividades y operaciones de la entidad

• Inspección de documentos (como planes y estrategias del
negocio), registros y manuales de control interno.
• Lectura de informes preparados por la administración (como
informes trimestrales de la administración y estados financieros
provisionales) y los encargados del mando (gobierno
corporativo) (como minutas de las reuniones del consejo de
directores).
• Visitas a las instalaciones y plantas de la entidad.
• Rastreo de transacciones relevantes para la información
financiera a través del sistema de información (revisiones)
 COMPONENTES DEL CONTROL INTERNO

• Entorno de control
• El proceso de
evaluación de riesgo de
la entidad
• Sistema de información
• Actividades de control
relevantes a la
auditoría
• Monitoreo de los
controles
 RIESGOS EN AUDITORIA
• EL RIESGO INHERENTE

• EL RIESGO DE DETECCIÓN

• EL RIESGO DE CONTROL