AUDITORIA BASADA EN LA

ADMINISTRACION DE RIESGOS - ABAR

EL ERROR... ESE FLAGELO
DEFINICIÓN DE RIESGO
 TIPOS DE RIESGOS
 ADMINISTRACIÓN DEL
RIESGO
 CASO PRÁCTICO
02/05/2010 Preparado por: William Caicedo Diaz 1
 EL ERROR HUMANO…
ESE FLAGELO

EL ERROR ES
INHERENTE AL SER
HUMANO… LA
CUESTIÓN ES, NO
SOBREPASAR LA
CUOTA DIARIA.

John Nigro

02/05/2010 Preparado por: William Caicedo Diaz 2

 CONTROL: Mide lo que se pueda
medir, y lo que nó, ¡hazlo medible!
Cada error que El mayor error que
cometemos es una puede cometer un
oportunidad para hombre es vivir con
aprender. Emerson miedo a cometer otro
Si cierras la puerta a error. E. Hubbar
todos los errores, Cometer un error y
dejarás por fuera la no corregirlo, es otro
verdad. Tagore error. Confucio

02/05/2010 Preparado por: William Caicedo Diaz 3

 CONTROL: ¡Mide lo que se pueda
medir, y lo que nó, hazlo medible!
Por los defectos de los Equivocarse… Es el
demas, el sabio corrige riesgo inherente de
los propios. Pubilio Ciro
quienes toman
Cuando seas consciente decisiones…
de que lo hecho quedó
bien realizado, W. Caicedo
entonces y solo
entonces, mejóralo.
T.A. Edison

02/05/2010 Preparado por: William Caicedo Diaz 4

CONOCIMIENTO
ACCESO = OPORTUNIDAD
TIEMPO

+
NECESIDAD
IMPUNIDAD = MOTIVACIÓN
PRESIÓN

02/05/2010 Preparado por: William Caicedo Diaz 5

 UN GRAVE PROBLEMA

02/05/2010 Preparado por: William Caicedo Diaz 6

 DEFINICIÓN DE RIESGO
“ PROBABILIDAD DE OCURRENCIA
DE UN HECHO QUE ME GENERA
DAÑO O BENEFICIO“

“ PROBABILIDAD DE TENER UN
RESULTADO DIFERENTE A LO
ESPERADO ”

02/05/2010 Preparado por: William Caicedo Diaz 7

 Riesgo de Aceptación Incorrecta o de Rechazo Incorrecto
02/05/2010 Preparado por: William Caicedo Diaz 8
 ADMINISTRACIÓN DE RIESGOS
(1) IDENTIFICACIÓN

(2) EVALUACIÓN: Proceso general de estimar la

magnitud de un riesgo y decidir si éste es
tolerable o no. (NTC OHSAS 18001)

(3) CONTROL: Prevención , Corrección,

Detección y Financiación

(4) ACTUALIZACIÓN CONTROLES

(5) SEGUIMIENTO Y RETROALIMENTACIÓN

02/05/2010 Preparado por: William Caicedo Diaz 9

 Identificación de los riesgos

Una buena técnica es emplear las siete W:

Qué, cuándo, cómo, dónde, cuanto, por qué, quién(es).
02/05/2010 Preparado por: William Caicedo Diaz 10
 ESCALA VALORACIÓN HUMANA

VALOR NIVEL DESCRIPCION

1 Insignificante Sin lesiones
Marginal Leves sin
2
incapacidades
5 Grave Leves incapacidades
10 Critico Victima grave-hospital
Desastroso Varios graves- Un
20
muerto
50 Catastrofico Varios muertos
02/05/2010 Preparado por: William Caicedo Diaz 11
 ESCALA VALORACIÓN AMBIENTAL

VALOR NIVEL DESCRIPCION

1 Insignificante Sin Contaminación
2 Marginal Leves recuperables
5 Grave Leves o recuperables
Grave Recuperables M.
10 Critico
Plazo
20 Desastroso Grave Recuperab L. P.
50 Catastrofico Grave no recuperable

02/05/2010 Preparado por: William Caicedo Diaz 12

 ESCALA VALORACIÓN OPERACIONAL

VALOR NIVEL DESCRIPCION

1 Insignificante Menos de 8 horas
2 Marginal De 8 a 24 horas
5 Grave De 2 a 5 dias
10 Critico Entre 6 y 15 dias
20 Desastroso Entre 16 y 30 dias
50 Catastrofico Mas de 30 dias

02/05/2010 Preparado por: William Caicedo Diaz 13

 ESCALA VALORACIÓN FALTANTES
INVENTARIO

VALOR NIVEL DESCRIPCION

1 Insignificante Menor de 200mil
2 Marginal Entre 200 y 500mil
5 Grave Entre 500mil y 1millon
10 Critico Entre 1 y 2millones
20 Desastroso Entre 2 y 5millones
50 Catastrofico Mas de 5 millones

02/05/2010 Preparado por: William Caicedo Diaz 14

 ESCALA VALORACIÓN IMAGEN

VALOR NIVEL DESCRIPCION

1 Insignificante Solo en el Dpto o taller
2 Marginal Solo en la Empresa
5 Grave Externa a nivel local
10 Critico Externa a Nivel regional
20 Desastroso Externa a nivel Nal.
Externa a nivel
50 Catastrofico
Internacional

02/05/2010 Preparado por: William Caicedo Diaz 15

 ESCALA VALORACIÓN SUSTRACCIÓN
INFORMACIÓN

VALOR NIVEL DESCRIPCION

1 Insignificante <= 10% no crítica
2 Marginal >10%<30% no crítica
5 Grave >30% de inf no crítica
10 Critico <=10% inf crítica
20 Desastroso >10%<30% crítica
50 Catastrofico >30% iform crítica

02/05/2010 Preparado por: William Caicedo Diaz 16

 ESCALA VALORACIÓN PERDIDA
PARTICIPACIÓN MERCADO

VALOR NIVEL DESCRIPCION

1 Insignificante Pérdida <=0.1%
2 Marginal Perdida >0.1%<0,5%
5 Grave Perdida >0,5%<2%
10 Critico Perdida >2%<5%
20 Desastroso Perdida >5%<10%
50 Catastrófico >10% del mercado

02/05/2010 Preparado por: William Caicedo Diaz 17

 Identificación y Evaluación de Riesgos
Evaluar Controles Existentes
 Evaluar protección que ofrecen los
controles seleccionados, por cada
causa de riesgo crítico.
 Para que sea Apropiada, se deben
satisfacer por lo menos dos de los
tres siguientes criterios:
o ¿Beneficios mayores que los costos ?.
o ¿Se cumple mezcla de tres tipos de controles:
Preventivo, Detectivo y Correctivo ?.
o ¿Calificación Promedio por clase es superior a 3.5 ?

02/05/2010 Preparado por: William Caicedo Diaz 18

Una definición de Control…

“Control es la acción que se ejerce

sobre una causa de riesgo con el fin
de reducir su probabilidad de
ocurrencia o el impacto que
puede generar su ocurrencia”.

02/05/2010 Preparado por: William Caicedo Diaz 19

 Relación entre Causas
del Riesgo y Controles
Objetivo de los controles: Los controles actúan
sobre las causas del riesgo de tres maneras, mutuamente
excluyentes:
a) Como control Preventivo. Para evitar la
ocurrencia de la causa del riesgo, ó
b) Como control Correctivo. Controles claves que
actúan durante el proceso y que permiten corregir
las deficiencias.
c) Como control Detectivo. Controles claves que
sólo actúan una vez que el proceso ha terminado.

02/05/2010 Preparado por: William Caicedo Diaz 20

 CLASIFICACIÓN DEL CONTROL CLAVE.
Diseño del control: Oportunidad de la acción
del control (O):

Clasificación Descripción
Preventivo (Pv) Controles claves que actúan antes o al
inicio de un proceso.
Correctivo (Cr) Controles claves que actúan durante el
proceso y que permiten corregir las
deficiencias.
Detectivo (Dt) Controles claves que sólo actúan una vez
que el proceso ha terminado.

02/05/2010 Preparado por: William Caicedo Diaz 21

 Periodicidad en la acción del control (PD):
Clasificación Descripción
Permanente Controles claves aplicados durante
(Pe) todo el proceso, es decir, en cada
operación.
Periódico (Pd) Controles claves aplicados en
forma constante sólo cuando ha
transcurrido un periódico específico
de tiempo
Ocasional (Oc) Controles claves que se aplican
sólo en forma ocasional en un
proceso.
02/05/2010 Preparado por: William Caicedo Diaz 22
Automatización en la aplicación del control (A):

Clasificación Descripción
Controles claves incorporados en el
100%
proceso, cuya aplicación es
Automatizado (At)
completamente informatizada. Están
incorporados en los sistemas
informatizados
Semi – Controles claves incorporados en el
automatizado (Sa) proceso, cuya aplicación es
parcialmente desarrollada mediante
sistemas informatizados.
Manual (Ma) Controles claves incorporados en el
proceso, cuya aplicación no considera
uso de sistemas informatizados
23
Escala de clasificación de la eficiencia de los controles.
CARACTERÍSTICAS DISEÑO CONTROL
REQUISITO EN CLAVE/FUNDAMENTAL VALOR DEL
CUMPLIMIENTO CON PERIODICIDAD OPORTUNIDAD AUTOMATIZACIÓN CLASIFICACIÓN DISEÑO DEL
NORMAS DE CONTROL (PD) (O) (A) CONTROL
PERMANENTE PREVENTIVO INFORMATIZADO
CUMPLIMIENTO OPTIMO
PERMANENTE PREVENTIVO SEMI INFORMAT
PERMANENTE PREVENTIVO MANUAL
CUMPLIMIENTO PERMANENTE CORRECTIVO INFORMATIZADO OPTIMO 5
OPTIMO PERMANENTE CORRECTIVO SEMI INFORMAT
PERMANENTE CORRECTIVO MANUAL
PERMANENTE DETECTIVO INFORMATIZADO
CUMPLIMIENTO
PERMANENTE DETECTIVO SEMI INFORMAT
ADECUADO
PERMANENTE DETECTIVO MANUAL
CUMPLIMIENTO PERIODICO PREVENTIVO INFORMATIZADO BUENO 4
ADECUADO PERIODICO PREVENTIVO SEMI INFORMAT
PERIODICO PREVENTIVO MANUAL
CUMPLIMIENTO PERIODICO CORRECTIVO INFORMATIZADO
ACEPTABLE PERIODICO CORRECTIVO SEMI INFORMAT
PERIODICO CORRECTIVO MANUAL MAS QUE
CUMPLIMIENTO PERIODICO DETECTIVO INFORMATIZADO 3
ACEPTABLE PERIODICO DETECTIVO SEMI INFORMAT
REGULAR
PERIODICO DETECTIVO MANUAL
CUMPLIMIENTO OCASIONAL PREVENTIVO INFORMATIZADO
REGULAR OCASIONAL PREVENTIVO SEMI INFORMAT
OCASIONAL PREVENTIVO MANUAL
CUMPLIMIENTO OCASIONAL CORRECTIVO INFORMATIZADO REGULAR 2
REGULAR OCASIONAL CORRECTIVO SEMI INFORMAT
OCASIONAL CORRECTIVO MANUAL
OCASIONAL DETECTIVO INFORMATIZADO
CUMPLIMIENTO
OCASIONAL DETECTIVO SEMI INFORMAT
DEFICIENTE DEFICIENTE 1
OCASIONAL DETECTIVO MANUAL
NO DETERMINADO NO DETERMINADO NO DETERMINADO
INSUFICIENTE INEXISTENTE 1

02/05/2010 Preparado por: William Caicedo Diaz 24

 ENFOQUE PREVENTIVO DE LAS
TRES BARRERAS DE CONTROL FACTORES DE
VULNERABILIDAD

Transacciones
INSTALACIONES
C1
C2
CAUSAS
DE C2 C3
BARRERA BARRERA BARRERA
RIESGO
PERSONAS
PREVENTIVA CONCOMITANTE DETECTIVA O
C3 O CORRECTIVA POSTERIOR
C3

DATOS

SISTEMAS
INFORMACIÓN

FEEDBACK
ECONÓMICOS

02/05/2010 Preparado por: William Caicedo Diaz 25

 ESCALAS DE VALORACIÓN SUGERIDAS PARA
CONSTRUIR LA MATRIZ DE RIESGOS.
SEVERIDAD DEL RIESGO: Categorías de probabilidad:

Categoría Valor Descripción

Casi certeza 5 Riesgo cuya probabilidad de ocurrencia es muy alta, es decir,

se tiene un alto grado de seguridad que éste se presente. (90%
a 100%)

Probable 4 Riesgo cuya probabilidad de ocurrencia es alta, es decir, se

tiene entre 66% a 89% de seguridad que éste se presente.

Moderado 3 Riesgo cuya probabilidad de ocurrencia es media, es decir, se

tiene entre 31% a 65% de seguridad que éste se presente.

Improbable 2 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se

tiene entre 11% a 30% de seguridad que éste se presente.

Muy improbable 1 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir,

se tiene entre 1% a 10% de seguridad que éste se presente.

02/05/2010 Preparado por: William Caicedo Diaz 26

 ESCALAS DE VALORACIÓN SUGERIDAS PARA
CONSTRUIR LA MATRIZ DE RIESGOS.
SEVERIDAD DEL RIESGO: Categorías de Impacto

Categoría Valor Descripción

Riesgo cuya materialización influye gravemente en el

Catastróficas 5 desarrollo del proceso y en el cumplimiento de sus
objetivos, impidiendo finalmente que éste se desarrolle.
Riesgo cuya materialización dañaría significativamente
Mayores 4 el desarrollo del proceso y el cumplimiento de sus objetivos,
impidiendo que éste se desarrolle en forma normal.
Riesgo cuya materialización causaría un deterioro en el
Moderadas 3 desarrollo del proceso dificultando o retrasando el
cumplimiento de sus objetivos, impidiendo que éste se
desarrolle en forma adecuada.

Menores 2 Riesgo que causa un daño menor en el desarrollo del proceso

y que no afecta mayormente el cumplimiento de sus objetivos
estratégicos.

Insignificantes 1 Riesgo que puede tener un pequeño o nulo efecto en el

desarrollo del proceso y que no afecta el cumplimiento de sus
objetivos estratégicos.
02/05/2010 Preparado por: William Caicedo Diaz 27
 Identificar y evaluar Controles
Existentes
y Riesgo Residual

 Evaluar protección que ofrecen los

controles seleccionados por cada objetivo
de control COBIT (1)
 Generar Hallazgos de auditoría para causas
de riesgo con protección inapropiada.
 Generar Diagnóstico de la Auditoría.
(1) Las siglas COBIT significan
Objetivos de Control para Tecnología
de Información y Tecnologías
relacionadas (Control Objectives for
Information Systems and related
Technology).

02/05/2010 Preparado por: William Caicedo Diaz 28

 Mapa de riesgos
Relaciones entre Severidad del riesgo y Eficiencia del control que determinan la escala del nivel de exposición al riesgo

25 5,0 6,3 8,3 12,5 25,0

EXTREMO
20 4,0 5,0 6,7 10,0 20,0
16 3,2 4,0 5,3 8,0 16,0
15 3,0 3,8 5,0 7,5 15,0
SEVERIDAD DEL RIESGO

12 2,4 3,0 4,0 6,0 12,0

ALTO

10 2,0 2,5 3,3 5,0 10,0

9 1,8 2,3 3,0 4,5 9,0
8 1,6 2,0 2,7 4,0 8,0
MODERADO

6 1,2 1,5 2,0 3,0 6,0

5 1,0 1,3 1,7 2,5 5,0
4 0,8 1,0 1,3 2,0 4,0
3 0,6 0,8 1,0 1,5 3,0
BAJO

2 0,4 0,5 0,7 1,0 2,0

1 0,2 0,3 0,3 0,5 1,0
0 5 4 3 2 1

OPTIMO MUY BUENO ACEPTABLE REGULAR DEFICIENTE

NIVEL DEL CONTROL

02/05/2010 Preparado por: William Caicedo Diaz 29

 Identificando opciones para
el tratamiento del riesgo
CRITERIO DE ACEPTABILIDAD
CONVENCIONES CUALITATIVAS
• >32% - INADMISIBLE: Rechazar
• 16,1% a 32% - INACEPTABLE: Evitar o Atomizar
• 12,1% a 16% - ALTO: Evitar, compartir o transferir
• 0 a 12% - ACEPTABLE: Reducir o asumir

Veamos su aplicación en la siguiente matriz:

02/05/2010 Preparado por: William Caicedo Diaz 30

 Relaciones entre Severidad del riesgo y Eficiencia del control
25 20% 25% 33% 50% 100%

EXTREMO
20 16% 20% 27% 40% 80%
16 13% 16% 21% 32% 64%
SEVERIDAD DEL RIESGO

15 12% 15% 20% 30% 60%

12 10% 12% 16% 24% 48%
ALTO

10 8% 10% 13% 20% 40%

9 7% 9% 12% 18% 36%
8 6% 8% 11% 16% 32%
MODERADO

6 5% 6% 8% 12% 24%
5 4% 5% 7% 10% 20%
4 3% 4% 5% 8% 16%
3 2% 3% 4% 6% 12%
BAJO

2 2% 2% 3% 4% 8%
1 1% 1% 1% 2% 4%
0 5 4 3 2 1
OPTIMO MUY BUENO ACEPTABLE REGULAR DEFICIENTE

NIVEL DEL CONTROL

02/05/2010 Preparado por: William Caicedo Diaz 31
Indicador del nivel de exposición al riesgo.

INDICADOR DE EXPOSICION AL NVEL DE EXPOSICION AL

VALOR
RIESGO RIESGO

8,0 – 25,0 NO ACEPTABLE (Na)

4,0 – 7,99 MAYOR (Ma)

NIVEL SEVERIDAD DEL RIESGO
NIVEL EFICIENCIA DEL CONTROL
3,0 – 3,99 MEDIA (Md)

0,2 - 2,99 MENOR (Me)

Tal como se indicó, la escala previamente presentada, ha sido construida con

base a la relación entre el nivel de severidad del riesgo (Bajo, Moderado, Alto.
Extremo) y el nivel de eficiencia del control asociado a ese riesgo (Deficiente, Regular,
Más que regular, Bueno, Óptimo).

02/05/2010 Preparado por: William Caicedo Diaz 32

 Relaciones entre Severidad del riesgo y Eficiencia del control
INACEPTABLE: INACEPTABLE: Evitar o INADMISIBLE: INADMISIBLE: INADMISIBLE:
25 Evitar o Atomizar Atomizar Rechazar Rechazar Rechazar
INACEPTABLE: INACEPTABLE: Evitar o INACEPTABLE: Evitar o INACEPTABLE: Evitar INADMISIBLE:
EXTREMO 20 Evitar o Atomizar Atomizar Atomizar o Atomizar Rechazar
ALTO: Evitar,
INACEPTABLE: Evitar o INACEPTABLE: Evitar o INACEPTABLE: Evitar INADMISIBLE:
16 compartir o
Atomizar Atomizar o Atomizar Rechazar
transferir
ACEPTABLE: Reducir ALTO: Evitar, compartir INACEPTABLE: Evitar o INACEPTABLE: Evitar INADMISIBLE:
15
SEVERIDAD DEL RIESGO

o asumir o transferir Atomizar o Atomizar Rechazar

ACEPTABLE: Reducir ACEPTABLE: Reducir o INACEPTABLE: Evitar o INACEPTABLE: Evitar INADMISIBLE:
12 o asumir asumir Atomizar o Atomizar Rechazar
ALTO

ACEPTABLE: Reducir ACEPTABLE: Reducir o ALTO: Evitar, compartir INACEPTABLE: Evitar INADMISIBLE:
10 o asumir asumir o transferir o Atomizar Rechazar

ACEPTABLE: Reducir ACEPTABLE: Reducir o ACEPTABLE: Reducir o INACEPTABLE: Evitar INADMISIBLE:

9 o asumir asumir asumir o Atomizar Rechazar
ACEPTABLE: Reducir ACEPTABLE: Reducir o ACEPTABLE: Reducir o INACEPTABLE: Evitar INACEPTABLE: Evitar o
8
MODERADO

o asumir asumir asumir o Atomizar Atomizar

ACEPTABLE: Reducir ACEPTABLE: Reducir o ACEPTABLE: Reducir o ACEPTABLE: Reducir INACEPTABLE: Evitar o
6 o asumir asumir asumir o asumir Atomizar
ACEPTABLE: Reducir ACEPTABLE: Reducir o ACEPTABLE: Reducir o ACEPTABLE: Reducir INACEPTABLE: Evitar o
5 o asumir asumir asumir o asumir Atomizar
ACEPTABLE: Reducir ACEPTABLE: Reducir o ACEPTABLE: Reducir o ACEPTABLE: Reducir INACEPTABLE: Evitar o
4 o asumir asumir asumir o asumir Atomizar
ACEPTABLE: Reducir ACEPTABLE: Reducir o ACEPTABLE: Reducir o ACEPTABLE: Reducir ACEPTABLE: Reducir o
3
BAJO

o asumir asumir asumir o asumir asumir

ACEPTABLE: Reducir ACEPTABLE: Reducir o ACEPTABLE: Reducir o ACEPTABLE: Reducir ACEPTABLE: Reducir o
2 o asumir asumir asumir o asumir asumir
ACEPTABLE: Reducir ACEPTABLE: Reducir o ACEPTABLE: Reducir o ACEPTABLE: Reducir ACEPTABLE: Reducir o
1 o asumir asumir asumir o asumir asumir

0 5 4 3 2 1
OPTIMO MUY BUENO ACEPTABLE REGULAR DEFICIENTE

NIVEL DEL CONTROL

02/05/2010 Preparado por: William Caicedo Diaz 33
 Los Estudiantes deberán,
mediante el uso de las TIC’s,
realizar un taller de A.B.A.R.,
aplicando los conocimientos
y herramientas aquí vistas u
otras similares, investigadas
y/o desarrolladas por ellos
ABAR: Auditoria Basada en la Administración del Riesgo

02/05/2010 Preparado por: William Caicedo Diaz 34

 Conclusiones:
1. El primer paso del auditor para poder trabajar las
metodologías ERM, es hacerlo bajo la
metodología de Auditoria Basada en la
Administración del riesgo.
2. En la actualidad el nuevo paradigma de la
priorización debe ser el riesgo en todas sus
manifestaciones y categorías.
3. Actualmente el ejercicio de la auditoria está
pasando por una nueva etapa paradigmática, con
enfoque a riesgos de negocio, de procesos, de
información financiera y de cumplimiento de
normas, con calidad total.
02/05/2010 Preparado por: William Caicedo Diaz 35
 Bibliografía
• Caja de Compensación Familiar CAFAM, Bogotá,
Colombia, guía de seguimientos de los planes de
Mitigación de Riesgos aplicado por el
Departamento de Auditoría para implementar la
cultura del autocontrol en la Corporación, 2002.
• Díaz Muñoz Nelson, XXII Conferencia
Interamericana de Contabilidad, volumen II
trabajos técnicos Nacionales, La Metodología
Matricial Base para una Auditoría Integral
• Estándar Australiano - Neocelandés AS/NZ
4360, administración del riesgo, aplicación

02/05/2010 Preparado por: William Caicedo Diaz 36

 EL ERROR HUMANO…
ESE FLAGELO

GRACIAS
02/05/2010 Preparado por: William Caicedo Diaz 37