UNIVERSIDAD PRIVADA DE TACNA

FACULTAD DE CIENCIAS EMPRESARIALES

ESCUELA PROFESIONAL DE CIENCIAS CONTABLES Y FINANCIERAS

Título del Trabajo:

Enfoque de auditoria para los riesgos claves
Elaborado por:
Espezua Carrasco Fiorella Adriana
Laura Quispe Sheyla Lanés
Calle Quispe Gabriela Yaneth
Torres Choque Diego Armando

Docente:
Yolanda Acero Condori

Curso:
Auditoria I

Ciclo, Turno:
VI, Noche

[FECHA]
Tacna-Perú
[NOMBRE DE LA COMPAÑÍA]
[Dirección2017
de la compañía]
0
 ÍNDICE

INTRODUCCIÓN .................................................................................................................................. 0
I. ENFOQUE DE AUDITORIA PARA LOS RIESGOS CLAVES .............................................. 1
1.1. Definiciones .................................................................................................................................. 1
II. OBJETIVOS DE AUDITORIA BASADOS EN RIESGOS ...................................................... 2
III. FUNCIONES DE AUDITORIA BASADO EN RIESGOS ....................................................... 2
IV. CONCEPTUALIZACIÓN DE RIESGOS .................................................................................. 3
4.1. ¿Qué es el riesgo? ......................................................................................................................... 3
4.2. Riesgo inherente: .......................................................................................................................... 3
4.3. Riesgo de fraude: .......................................................................................................................... 3
4.4. Riesgo de control: ......................................................................................................................... 4
4.5. Riesgo combinado: ...................................................................................................................... 4
4.6. Riesgo de detección: ..................................................................................................................... 4
V. DETERMINACIÓN DE RIESGOS ........................................................................................... 4
5.1. Determinación de riesgo de Control ............................................................................................. 4
5.2. Determinación de riesgo de Detección ......................................................................................... 6
5.3. Determinación de riesgo de ambiente de control.......................................................................... 7
VI. DISEÑO PARA DETERMINAR LOS RIESGOS EN EL PROCESO DE AUDITORIA
INTERNO ............................................................................................................................................... 8
6.1. Definición de los criterios ............................................................................................................. 8
a) Identificación ........................................................................................................................ 8
b) Análisis: ................................................................................................................................ 8
c) Supervisión y monitoreo: ...................................................................................................... 9
d) Comunicación y consulta: ..................................................................................................... 9
6.2. Diagnóstico del proceso de auditoria ............................................................................................ 9
a) Tareas a ejecutar ................................................................................................................... 9
b) Clasificación de los riesgos ................................................................................................. 10
c) Mapa de los riesgos ............................................................................................................. 11
VII. EVALUACIÓN DE LA AUDITORIA EXTERNA CON UN ENFOQUE BASADO EN
RIESGOS .............................................................................................................................................. 14
7.1. Seguridad razonable.................................................................................................................... 14
7.2. Riesgo de auditoria ..................................................................................................................... 15
7.3. Aserciones .................................................................................................................................. 15
0
 7.4. Interrelaciones entre los componentes del riesgo de auditoría ................................................... 16
7.5. Valoración del riesgo .................................................................................................................. 17
7.6. El Enfoque basado en Riesgos .................................................................................................... 18
7.7. Presentación de reportes ............................................................................................................. 20
I. CONCLUSIONES .................................................................................................................... 22
II. RECOMENDACIONES ........................................................................................................... 23
III. REFERENCIA BIBLIOGRAFICA .......................................................................................... 24

1
 INTRODUCCIÓN

El presente trabajo se profundizara en el tema de “Enfoque de auditoria para los riesgos

claves” Se consideró importante definir conceptualmente el “riesgo de auditoría” que junto
con su clasificación, objetivos, funciones, determinaciones de riesgo; ayudarán a realizar una
adecuada evaluación del riesgo que debe realizar el auditor para definir el enfoque de
auditoría que dará a su trabajo.

Las prácticas actuales conciben que una auditoría basada en riesgos requiera que el auditor
entienda primero la entidad y luego identifique y evalúe los riesgos de declaración
distorsionada significativa contenida en los estados financieros. Una vez reconocida la
existencia de riesgos en los Estados Contables.

Es muy importante que la evaluación de riesgos que efectúe el auditor en las instancias
previas al desarrollo del plan dependa el enfoque que dará a su trabajo, es decir, su respuesta
a los riesgos potenciales identificados. Decidir el enfoque de auditoría implica entonces poner
sobre el tapete cuestiones disímiles que tienen que ver con la consideración del riesgo desde
diversas aristas.

0
 I. ENFOQUE DE AUDITORIA PARA LOS RIESGOS CLAVES

1.1. Definiciones

 La auditoría con un enfoque basado en riesgos trata sobre la identificación

y análisis de los riesgos relevantes para alcanzar los objetivos y determinar
las actividades de control.
 Una recopilación, acumulación y evaluación de evidencia sobre
información de una entidad, para determinar e informar el grado de
cumplimiento entre la información y los criterios establecidos.
 Un proceso sistemático para obtener y evaluar riesgos de manera objetiva,
las evidencias relacionadas con informes sobre actividades económicas y
otras situaciones que tienen una relación directa con las actividades que se
desarrollan en una entidad pública o privada. El fin del proceso consiste en
determinar el grado de precisión del contenido informativo con las
evidencias que le dieron origen, así como determinar si dichos informes se
han elaborado observando principios establecidos para el caso&.
 Es un proceso sistemático, esto quiere decir que en toda Auditoría debe
existir un conjunto de procedimientos lógicos y organizados que el auditor
debe cumplir para la recopilación de la información que necesita para
emitir su opinión final. Sin embargo cabe destacar que estos
procedimientos varían de acuerdo a las características que reúna cada
empresa, pero esto no significa, que el auditor no deba dar cumplimiento a
los estándares generales establecidos por la profesión.
 La palabra Auditoría viene del latín AUDITORIUS, y de esta proviene
auditor, que tiene la virtud de oír, y el diccionario lo considera revisor de
cuentas colegiado pero se asume que esa virtud de oír y revisar cuentas
está encaminada a la evaluación de la economía, la eficiencia y la eficacia
en el uso de los recursos, así como al control de los mismos.
 La Auditoría puede definirse como un proceso sistemático para obtener y
evaluar de manera objetiva las evidencias relacionadas con informes sobre
actividades económicas y otros acontecimientos relacionados, cuyo fin
consiste en determinar el grado de correspondencia del contenido
informativo con las evidencias que le dieron origen, así como establecer si
dichos informes se han elaborado observando los principios establecidos
para el caso.
 Es la investigación, consulta, revisión, verificación, comprobación y
evidencia aplicada a la Empresa. Es el examen realizado por el personal
calificado e independiente de acuerdo con Normas de Contabilidad; con el
fin de esperar una opinión que muestre lo acontecido en el negocio;
requisito fundamental es la independencia.
 Se define también la Auditoría como un proceso sistemático, que consiste
en obtener y evaluar objetivamente evidencias sobre las afirmaciones
relativas a los actos o eventos de carácter económico – administrativo, con

1
 el fin de determinar el grado de correspondencia entre esas afirmaciones y
los criterios establecidos, para luego comunicar los resultados a las
personas interesadas. Se practica por profesionales calificados e
independientes, de conformidad con normas y procedimientos técnicos

II. OBJETIVOS DE AUDITORIA BASADOS EN RIESGOS

El Estándar Internacional de Auditoría ISA 200 establece: “El objetivo de la auditoría de

estados financieros es permitirle al auditor expresar una opinión respecto de si los estados
financieros están preparados, en todos los aspectos materiales, de acuerdo con la estructura
aplicable de información financiera”.

En la auditoría basada en riesgos el objetivo del auditor es “obtener seguridad razonable

de que en los estados financieros no existan declaraciones equivocadas materiales causadas
por fraude o error”.
Esto implica tres pasos clave:

 Valorar los riesgos de declaración equivocada material contenida en los estados

financieros;
 Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los riesgos
valorados y reduzcan a un nivel aceptablemente bajo los riesgos de declaraciones
materiales contenidas en los estados financieros; y
 Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos de
auditoría.

Esta Metodología basada en riesgos facilita y mejora la calidad de auditoría, transforma el

proceso de Auditoría tradicional en una nueva estructura para evaluar de qué manera se
administra los riesgos del negocio de una compañía.

La ventaja de este enfoque es que permite adquirir un entendimiento integral del negocio,
incluyendo las estrategias, los riesgos de negocio y los procesos para administrarlos, lo que
resulta en una auditoría efectiva y eficiente.

Se centra en claves del éxito y en los indicadores claves de rendimiento (valor agregado,
programas de calidad total) que impulsan a las compañías y que permite agregar valor mediante
auditoría.

III. FUNCIONES DE AUDITORIA BASADO EN RIESGOS

 Incorporar al universo de los asuntos de auditoría la visión de riesgo que tiene la

organización.
 Valorar los riesgos de declaración equivocada material contenida en los estados
financieros.
 Desarrollar procesos de auditoría basada en riesgos e incorporarlos en los planes
anuales de la auditoría.

2
 Darle seguimiento al plan comercial y ajustar el plan de la auditoría ante cambios en
el primero.
 Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los
riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de
declaraciones materiales contenidas en los estados financieros.
 Utilizar técnicas y procedimientos de riesgo cuando se realiza la auditoría.
 Informar a los administradores y responsables de la organización los resultados de las
auditorías con un lenguaje de riesgos y no de control interno.
 Identificar de manera conjunta los riesgos que pudieran afectar adversamente la
habilidad de la organización para alcanzar sus objetivos.
 Ayudar a evaluar el impacto que pudieran tener estos riesgos dentro de la
organización.
 Sugerir el tratamiento y/o las acciones que deberán establecerse para disminuir la
probabilidad de exposición a estos riesgos.
 Diseñar un programa de auditoría basada en los principales riesgos del negocio.
 Evaluar la suficiencia y efectividad de los controles internos actuales.
 Obtener planes de acción de los responsables para corregir las fallas de control
identificadas.
 Dar a conocer los resultados a la Dirección General y a su Comité de Auditoría,
mediante reporte de auditoría redactado adecuadamente, basado en los hallazgos de
auditoría para una oportuna y adecuada toma de decisiones.

IV. CONCEPTUALIZACIÓN DE RIESGOS

4.1. ¿Qué es el riesgo?

Cualquier obstáculo que se oponga al logro de los objetivos globales y
específicos dentro de una organización.

Situaciones adversas cuyas consecuencias para una organización es la pérdida

de un activo (tangible o intangible)

El riesgo ante el trabajo ordenado, es el riesgo de que el auditor exprese una

conclusión inapropiada. El auditor planea y realiza el trabajo entonces de manera
tal que reduzca a un nivel aceptable el riesgo de expresar una conclusión
inapropiada. En general, esos riesgos se pueden representar por los componentes
que se presentan a continuación:

4.2. Riesgo inherente:

Susceptibilidad de la aserción a estar declarada equivocadamente, la cual

podría ser material individualmente o cuando se agrega con otras declaraciones
equivocadas, asumiendo que no hay controles relacionados.

4.3. Riesgo de fraude:

(Parte del riesgo inherente o posible riesgo de control); El riesgo de un acto

intencional cometido por uno o más individuos de la administración, de quienes

3
 tengan a cargo el gobierno, empleados o terceros, que conlleva el uso de engaño
para obtener una ventaja injusta o ilegal.

4.4. Riesgo de control:

(¿Los controles internos existentes mitigan los riesgos inherentes?); Riesgo de

que el sistema de control interno de la entidad no prevenga o no detectará, sobre
una base oportuna, la declaración equivocada que podría ser material,
individualmente o cuando se agrega con otras declaraciones equivocadas

4.5. Riesgo combinado:

Es un término que se usa algunas veces para referirse a los riesgos valorados
(riesgo inherente y de control) de declaración equivocada tanto a nivel de estado
financiero como a nivel de aserción.

4.6. Riesgo de detección:

Es el riesgo de que el auditor no detectará la declaración equivocada que existe

en una aserción que podría ser material, ya sea individualmente o cuando se
agrega con otras declaraciones equivocadas.

El nivel aceptable del riesgo de detección para un nivel dado de riesgo de

auditoría equivale a la relación inversa con los riesgos de declaración equivocada
material a nivel de aserción.

V. DETERMINACIÓN DE RIESGOS

Representa el riesgo de que ocurran errores importantes en un rubro específico de los

estados financieros, o en un tipo específico de negocio, en función de las características o
particularidades de dicho rubro (cuenta, saldo o grupo de transacciones) o negocio, sin
considerar el efecto de los procedimientos de control interno que pudieran existir.
El riesgo inherente toma en cuenta el hecho de que la probabilidad de que ocurran errores
importantes es mayor en algunos tipos de negocios, o en algunas cuentas o grupos de
transacciones.

Para la determinación del riesgo inherente, la auditoría se basa en la aplicación y

evaluación del Marco Integrado de Control Interno específicamente en lo que se refiere a
Actividades (MICICAM por Actividades).

5.1. Determinación de riesgo de Control

El auditor debe efectuar un estudio y evaluación adecuados del control interno

existente, que le sirvan de base para determinar el grado de confianza que va
depositar en él; asimismo, que le permita determinar la naturaleza, extensión y
oportunidad que va a dar a los procedimientos de auditoría.

4
 a) Los elementos que integran la estructura de control son los siguientes:
b) El ambiente de control.
c) La evaluación de riesgos.
d) Los sistemas de información y comunicación.
e) Los procedimientos de control.
f) La vigilancia.

Los procedimientos de auditoría recomendados para llevar a cabo el estudio y

evaluación del control interno durante el proceso de planeación de una auditoría
son los siguientes:
 Una prueba de cumplimiento es la comprobación de que uno o más
procedimientos de control interno estuvieron operando con efectividad
durante el periodo auditado.
 La naturaleza y oportunidad de aplicación de las pruebas de
cumplimiento están relacionadas entre sí. Existen procedimientos de
control interno que producen evidencia documental, la cual puede
examinarse en cualquier momento. En cambio, otros procedimientos no
dejan evidencia documental; en estos casos, el cumplimiento sólo puede
determinarse mediante observación visual directa en el momento en que
esos procedimientos son ejecutados por el personal de la entidad.
 Como regla general, las pruebas de cumplimiento deben concluirse
antes de iniciar las pruebas sustantivas. Lo anterior permite ajustar
eficientemente el alcance de las pruebas sustantivas, si las pruebas de
cumplimiento demuestran que determinados controles no están, de
hecho operando o lo están haciendo en forma deficiente.

El riesgo de control representa el riesgo de que los errores importantes

(que excedan a la importancia relativa al agregarse a otros errores) que
pudieran existir en un rubro específico de los estados financieros, no sean
prevenidos o detectados oportunamente por el sistema de control interno
contable en vigor.

El riesgo de control disminuye en la medida en que aumenta la

efectividad con que el sistema de control interno alcanza los objetivos,
tanto generales como Específicos establecidos. Sin embargo, el riesgo de
control nunca desaparece totalmente, aun cuando se alcancen todos los
objetivos del sistema de control interno, debido a las limitaciones
inherentes a cualquier sistema de este tipo.

Los riesgos inherentes y de control, existen en forma independiente de la

auditoría, la función del auditor consiste simplemente en evaluarlos
adecuadamente, lo cual en la práctica pude hacerse en forma independiente
o combinada.

5
 La Auditoría lleva a cabo el estudio del control interno de las entidades
mediante la aplicación de sus Cuestionarios de Control Interno y de la Guía
para la

5.2. Determinación de riesgo de Detección

El ‘Riesgo de auditoría’ representa la posibilidad de que el auditor pueda dar

una opinión sin salvedades, sobre unos estados financieros que contengan errores
o desviaciones de los principios de contabilidad, en exceso a la importancia
relativa.

Riesgo de detección.- Representa el riesgo de que los procedimientos aplicados

por el auditor no detecten los posibles errores importantes que hayan escapado a
los procedimientos de control interno.

El riesgo de detección lo establece el auditor al determinar la naturaleza,

alcance y oportunidad de sus pruebas sustantivas.”.

El riesgo de detección se debe establecer en relación inversa a los riesgos

inherentes y de control.

En la fase de planeación el auditor considera estos conceptos para asegurarse

de que obtendrá la evidencia suficiente y competente que le servirá para que, en la
fase de evaluación de resultados, pueda juzgar si, en su opinión, los estados
financieros están presentados razonablemente de acuerdo con principios de
contabilidad generalmente aceptados.

El riesgo de auditoría debe considerarse por el auditor al nivel de los estados

financieros tomados en su conjunto. Sin embargo, en virtud de que la mayoría de
los procedimientos de auditoría se aplican sobre saldos de cuentas o grupos de
transacciones, el riesgo de auditoría debe considerarse también a ese nivel, en sus
tres componentes.

Durante la planeación se deberá evaluar el riesgo de un error importante (ya sea

causado por un error o fraude). El auditor deberá considerar el efecto de estas
evaluaciones en la estrategia de auditoría, así como en el alcance de las pruebas
sustantivas. El entendimiento que el auditor tenga del control interno de la entidad
pudiera aumentar o mitigar su preocupación acerca del riesgo de errores
importantes.

Cuando el auditor ha concluido que existe un riesgo importante de errores

significativos dentro de los estados financieros, el auditor deberá considerar esta
conclusión para determinar la naturaleza, oportunidad y alcance de los
procedimientos; la asignación de personal; y los requerimientos de niveles
apropiados de supervisión.

6
 Al evaluar el riesgo de auditoría para una cuenta o grupo de transacciones, el
auditor evalúa el ambiente de control, el riesgo inherente y el riesgo de control y
establece el riesgo de detección, como ya se explicó anteriormente.

El término “error” se refiere a fallas involuntarias en la información financiera,

tales como:

 Errores aritméticos que los empleados cometen en los registros y en la

información contable.
 Equivocaciones en la aplicación de principios de contabilidad.
 Falta de criterio o mala interpretación de los hechos existentes a la
fecha en que se preparan los estados financieros, por parte del
empleado, funcionario o encargado de ello.

Por otra parte se deben tomar en consideración los fraudes en la auditoria de los
estados financieros para lo cual definiremos los siguientes términos de
irregularidad o fraude como:

Distorsiones provocadas en el registro de las operaciones y en la información

financiera o actos intencionales para sustraer activos (robos), u ocultar
obligaciones que tienen o pueden tener un impacto significativo en los estados
financieros sujetos a examen.

Considerando los resultados de la evaluación del riesgo inherente y riesgo de

control a que hacen referencia los dos incisos anteriores utilizando las
herramientas correspondientes, el auditor establecerá el riesgo de detección que a
su juicio le permita obtener la evidencia suficiente y competente para sustentar sus
hallazgos y su opinión sobre la razonabilidad de los estados financieros. Las
fórmulas y cálculos empleados para la estimación de los resultados deberán
plasmarse y conservarse en los papeles de trabajo de la auditoría.

5.3. Determinación de riesgo de ambiente de control

De acuerdo con el Boletín 3050, El Ambiente de Control representa la

combinación de factores que afectan las políticas y procedimientos de una entidad,
fortaleciendo o debilitando sus controles.
Dichos factores son los siguientes:
a) Actitud de la administración hacia los controles establecidos.
b) Estructura de organización de la entidad.
c) Funcionamiento del consejo de administración y sus comités.
d) Métodos para asignar autoridad y responsabilidad.
e) Métodos de control administrativo para supervisar y dar seguimiento al
cumplimiento de las políticas y procedimientos, incluyendo la función de
auditoría interna.

7
 f) Políticas y prácticas de personal.
g) Influencias externas que afectan las operaciones y prácticas de la entidad.”
VI. DISEÑO PARA DETERMINAR LOS RIESGOS EN EL PROCESO DE
AUDITORIA INTERNO

6.1. Definición de los criterios

Los pasos a seguir en el tratamiento de los riesgos serán los que se describen a
continuación:
a) Identificación

Los riesgos serán identificados, en los puntos vulnerables de cada

subproceso, atendiendo a las diversas fuentes que pueden originarlos y las
posibles manifestaciones de ocurrencia de los mismos. Se detallará si su fuente
es interna o externa. Deberá entenderse quedar registrado:
 Cuál es el riesgo
 Cómo puede manifestarse
 Por qué
 Qué controles existen en ese momento para contrarrestar sus efectos.

b) Análisis:

Parte del análisis que se realiza, a los riesgos identificados, en cuanto a las
consecuencias y probabilidades de ocurrencia de los mismos.
 Probabilidad
 Impacto
Se analizan los riesgos combinando las estimaciones de impacto y su
probabilidad de ocurrencia, en el contexto de las medidas de control existentes,
valorando las fortalezas y debilidades de cada uno. Si algún riesgo resulta
excluido se debe mencionar en el análisis. Al combinar las consecuencias de
ocurrir un evento con las probabilidades de que ocurra se llega a determinar un
nivel de riesgo Evaluación.
Los Niveles de Riesgo en la Dirección de Auditoría Interna serán los
siguientes:
 Aceptable
 Moderado
 Inaceptable
Las fuentes de información que pueden ser utilizadas para estos fines son:
 Datos estadísticos
 Experiencias

8
  Práctica diaria
 Datos relevantes de publicaciones
 Comprobaciones efectuadas por investigación de mercado
 Resultados de experimentos
 Modelos establecidos
 Opiniones y juicios de expertos y especialistas

Las técnicas para analizar los riesgos, entre otras, puede ser:
 Entrevistas
 Grupos de expertos
 Cuestionarios individuales
c) Supervisión y monitoreo:

Es preciso que los riesgos y la efectividad de las medidas de control de cada

uno, sea monitoreado y supervisado para tener la seguridad de que las
condiciones cambiantes, tanto internas como del entorno, no alteren las
prioridades del tratamiento de los mismos. Además contribuye a la
identificación de las nuevas fuentes de riesgos y por consiguiente el comienzo
del tratamiento de los nuevos riesgos identificados.

d) Comunicación y consulta:

En cada paso del proceso de administración de los riesgos es importante

mantener una adecuada comunicación de los interesados. En cada paso debe
existir una forma en que se comunique el trabajo que se está realizando con los
riesgos.

Esta comunicación debe preverse en ambas direcciones, es decir, solamente

no estará concebida esta como un flujo de información hacia los interesados,
debe existir la retroalimentación del emisor con los criterios de todos los
involucrados, de manera que exista comunicación sobre el control ejercido, es
decir información de los Supervisores hacia los niveles correspondientes,
incluido el auditor, y asesoría con el fin de lograr mejoras en el ejercicio de la
auditoría Interna.
6.2. Diagnóstico del proceso de auditoria

a) Tareas a ejecutar

Para efectuar el diagnóstico del proceso de auditoría Interna e identificar los

riesgos en el proceso, debe efectuarse el estudio partiendo de las tareas
previstas para cada subproceso, y determinar los riesgos.
Para ello se debe utilizar un Estándar el que se muestra a continuación:
Subprocesos → tareas → riesgo de control

9
 Conocidos los riesgos, debe iniciarse el proceso de evaluación de los
mismos, lo que requerimos los siguientes pasos:
b) Clasificación de los riesgos

Evaluación.- Es el resultado de comparar los niveles de riesgo establecidos,

con los criterios que se tienen preestablecidos para su evaluación. En este caso
los criterios son los siguientes:
a) Probabilidad de ocurrencia del Riesgo
b) Impacto ante la ocurrencia del Riesgo.
Para ello:
Las probabilidades de ocurrencia deberán determinarse en:

 Poco Frecuente (PF)

 Moderado (M)
 Frecuente (F)
Poco Frecuente: cuando el Riesgo ocurre sólo en circunstancias
excepcionales.
Moderado: Puede ocurrir en algún momento.
Frecuente: Se espera que ocurra en la mayoría de las circunstancias.
El Impacto ante la ocurrencia sería considerado de:

 Leve (L)
 Moderado (M)
 Grande (G)
Leve: Perjuicios tolerables. Baja pérdida financiera.
Moderado: Requiere de un tratamiento diferenciado: Pérdida financiera
media.
Grande: Requiere tratamiento diferenciado. Alta pérdida financiera.
La evaluación del Riesgo sería de:

Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles actuales,

siguiendo los procedimientos de rutina.

Moderado: (Riesgo Medio). Se consideran riesgos Aceptables con Medidas

de Control. Se deben acometer acciones de reducción de daños y especificar
las responsabilidades de su implantación y supervisión.

Inaceptable: (Riesgo Alto). Deben tomarse de inmediato acciones de

reducción de Impacto y Probabilidad para atenuar la gravedad del riesgo. Se
especificará el responsable y la fecha de revisión sistemática.

10
Si se quisiera evaluar el Impacto de los Riesgos en un subproceso, se utiliza un
Estándar el que se muestra a continuación:

Para evaluar, se utiliza el Estándar, donde se identifican todos los riesgos de

cada uno de los subprocesos diagnosticados anteriormente, y se evalúan en
conformidad con lo previsto anteriormente.

UAI: Clasificación del Riesgo

Impacto Probabilidad
(6) (7) Nivel de
No. Riesgo E I
Riesgo
L M G F M PF

La evaluación de riesgos proporciona la lista de prioridades para el

tratamiento de los riesgos por medio de las acciones a seguir en cada caso.
Se deben tener en cuenta los objetivos de la organización y el grado de
oportunidad que se puede alcanzar como resultado de tratar el riesgo. Se
tendrá en cuenta, también, el grado de beneficio para las partes
involucradas.

c) Mapa de los riesgos

Luego de evaluado todos los riesgos, se sitúan en el cuadrante del Mapa

que le corresponde según la MATRIZ. Resulta una técnica conocida y muy
usada, como herramienta de trabajo, la representación gráfica.
Se ilustra a continuación:

MATRIZ DE RIESGOS

Frecuente Inaceptable Inaceptable Inaceptable

PROBABILIDAD

Moderado Moderado Moderado Inaceptable

Poco
Aceptable Moderado Inaceptable
Frecuente

Leve Moderado Grande

IMPACTO

Niveles de Riesgo (Matriz)

11
 Como puede observarse, el gráfico anterior ilustra los cuadrantes donde
según su Impacto y Probabilidad de Ocurrencia se sitúan estos Riesgos, y
su color identifica la Evaluación del mismo, lo que no significa que en el
Plan de Medidas no se tengan en cuenta todos los Riesgos, pues deberá
mantenerse el seguimiento de todos los identificados y el Plan de acción de
cada uno.

Las opciones a tener en cuenta para acometer acciones de reducción de

riesgos pueden ser:

 Evitarlo
 Reducir probabilidad de ocurrencia
 Reducir consecuencias
 Transferir el riesgo
 Retener el riesgo
Luego estas opciones deberán evaluarse y tener en cuenta el costo
beneficio de la decisión de tratamiento del riesgo.

Se confeccionarán planes de tratamiento de riesgos. En los mismos se

tendrá en cuenta:

 El riesgo en orden de prioridad

 Opciones posibles de tratamiento
 Nivel que adquiere el riesgo luego de ser tratado
 Resultado del análisis costo beneficio
 Responsable de acometer la acción
 Calendario de implementación
 Forma en que se va a monitorear
Y desde luego muchas otras, que puedan derivarse de un análisis
casuístico en una UAI. El Plan de Acción estaría en correspondencia con el
tipo de riesgo, con la organización donde se realiza el servicio, con el tipo
de auditoría, con el subproceso que se realice y por supuesto con el auditor
o auxiliar que la ejecute.

Vital importancia reviste el dominio de la actividad, el monitoreo en la

ejecución sucesiva sobre el manejo de futuras acciones y la supervisión
sistemática en diferentes momentos de realización de las auditorías en
correspondencia sobre la incidencia de los riesgos pasados o reiterados en
los subprocesos con mayores impactos.

Las Organizaciones de Auditoría Interna deben elaborar planes de

Acción que contribuyan a la preparación del auditor sobre el cumplimiento
del ejercicio de la profesión.

Plan de Acción
El Plan de Acción estaría en correspondencia con el tipo de riesgo, con
la organización donde se realiza el servicio, con el tipo de auditoría, con el

12
subproceso que se realice y por supuesto con el auditor o auxiliar que la
ejecute. Vital importancia reviste el dominio de la actividad, el monitoreo
en la ejecución sucesiva sobre el manejo de futuras acciones y la
supervisión sistemática en diferentes momentos de realización de las
auditorías en correspondencia sobre la incidencia de los riesgos pasados o
reiterados en los subprocesos que mayores impactos se han observados.

Por el impacto que hoy produce la ocurrencia de los riesgos observados

en la investigación, debe elaborarse un Plan de Acción en el que se
proponga, fundamentalmente
 El diseño de un Sistema Organizativo de ejecución para cada
uno de los subprocesos de la auditoría.
 Capacitar a los profesionales de la auditoría en la formación
teórico-práctica que garantice la calidad en el ejercicio de sus
funciones.
 Evaluar los resultados de las supervisiones
 Mantener la vigilancia de la posible comisión de riesgos en el
desarrollo sistemático del ejercicio de las auditorías.
 Monitorear el cumplimiento de la Cadena de Valores por cada
profesional, Etc.
Responsables:
 Departamento de Auditoría
 Supervisor
 Jefe de Grupo
 Auditor
Estándares:
Consiste en Guías, con determinado aspectos a evaluar, por cada
subproceso, el cual debe concluir con una evaluación, la que deberá
clasificar según la probabilidad de ocurrencia y el Impacto ante la misma.

Deberá además de resumirse, representarse en un gráfico, con el fin de

elaborar el consecuente Plan de Acción para reducir la probabilidad de
ocurrencia.

Controles:
Frecuentemente debe evaluarse el comportamiento de cada subproceso
y por cada área de trabajo.
Resulta importante establecer un sistema de control en esa Cadena de
Valores, donde todos los subprocesos en Auditoría son necesarios para
lograr un servicio eficaz, y eficiente, con los requerimientos de calidad
esperada. Una administración eficiente de los Riesgos, sería entonces una
aproximación científica de su comportamiento, anticipando posibles
pérdidas accidentales con el diseño e implementación de procedimientos

13
 que minimicen la ocurrencia de pérdidas o el impacto financiero de las
pérdidas que puedan ocurrir.

VII. EVALUACIÓN DE LA AUDITORIA EXTERNA CON UN ENFOQUE

BASADO EN RIESGOS

En la auditoría basada en riesgos el objetivo del auditor es obtener seguridad razonable

de que en los estados financieros no existan declaraciones equivocadas materiales
causadas por fraude o error. Esto implica tres pasos clave:

 Valorar los riesgos de declaración equivocada material contenida en los estados

financieros;
 Diseñar y ejecutar procedimientos de auditoría adicionales que respondan a los
riesgos valorados y reduzcan a un nivel aceptablemente bajo los riesgos de
declaraciones materiales contenidas en los estados financieros; y
 Emitir un reporte de auditoría redactado adecuadamente, basado en los hallazgos de
auditoría.
7.1. Seguridad razonable

El auditor no puede dar seguridad absoluta debido a las limitaciones

inherentes del trabajo llevado a cabo, los juicios humanos que se requieren, y
la naturaleza de la evidencia examinada. La siguiente muestra resalta algunas
de las limitaciones de la auditoría.

Limitaciones
Uso de pruebas
Limitaciones del control interno
Fraude que permanece sin ser detectado
Naturaleza de la evidencia de auditoría
disponible
Disponibilidad de la evidencia de
auditoría
Confianza en los hechos por el auditor
Razones
Cualquier muestra menor que el 100% de
la población introduce algún riesgo de que
la declaración equivocada no sea detectada.
Aún los controles mejor diseñados y más
efectivos pueden ser eludidos o negados
por la administración o por colusión entre
los empleados.
Dado que el fraude está diseñado para no
ser descubierto, siempre hay la posibilidad
de que no será descubierto.
La mayoría de la evidencia de auditoría
tiende a ser de carácter persuasiva, más que
conclusiva
Para llegar a conclusiones absolutas sobre
aserciones especificas tales como lo
estimados hechos a valor razonable.
Se requiere juicio profesional para:
 Identificar y tratar de manera

14

Dificultad para asegurar la completitud
apropiada los factores de riesgo;
 Decidir qué evidencia obtener;
 Valorar los estimados hechos por la
administración; y
 Obtener conclusiones con base en la
evidencia y las representaciones de
la administración.
Riesgo de que alguna información
importante no se conozca, no se obtenga o
le haya sido ocultada al auditor.

7.2. Riesgo de auditoria

El auditor debe planear y ejecutar la auditoría para reducir el riesgo de

auditoría a un nivel bajo aceptable que sea consistente con el objetivo de la
auditoría.
El riesgo de auditoría contiene dos elementos clave:

 El riesgo de que los estados financieros contengan una declaración

equivocada material (riesgo inherente y de control);
 El riesgo de que el auditor no detectará tal declaración equivocada (riesgo
de detección o del contrato).
Para reducir el riesgo de auditoría a un riesgo bajo aceptable, el auditor tiene
que:

 Valorar el riesgo de declaración equivocada material; y

 Limitar el riesgo de detección. Esto también se puede lograr mediante la
aplicación de procedimientos que respondan a los riesgos valorados en los
niveles de estado financiero, clases de transacciones, saldos de cuenta y
aserción.
7.3. Aserciones

Se relacionan con el reconocimiento, medición, presentación y revelación de

los diversos elementos (cantidades y revelaciones) contenidos en los estados
financieros.
A continuación alguna de las aserciones que se presentan en ISA 500:

 C = Completitud (totalidad);
 E = Existencia, la cual incluye ocurrencia;
 A = Exactitud, que incluye inicio, clasificación y derechos y
obligaciones; y
 V = Valuación
De los auditores se requiere que valoren los riesgos de declaración equivocada
material en dos niveles.

15
  El primero es el nivel del estado financiero en general, que se refiere a los
riesgos de declaración equivocada material que se relacionan de manera
generalizada con los estados financieros como un todo y que
potencialmente afectan muchas aserciones.

 El segundo se relaciona con los riesgos identificables con aserciones

específicas a nivel de clase de transacciones, saldos de cuenta, o
revelación. Esto significa que para cada saldo de cuenta, clase de
transacciones y revelación, se debe hacer la valoración del riesgo (como
alto, moderado o bajo) para cada aserción individual (C, E, A, y V en el
diagrama que se presenta abajo) que se esté tratando. La diferencia entre el
riesgo valorado a nivel de estado financiero en general y a nivel de
aserción se ilustra abajo (solamente de manera parcial).
7.4. Interrelaciones entre los componentes del riesgo de auditoría

Notas:

 El término "controles a nivel de entidad" incorpora muchos elementos de

los componentes del control interno ambiente de control, valoración del
riesgo y monitoreo.
 Muchos riesgos de negocio también pueden ser riesgos de fraude. Por
ejemplo, un sistema de ventas pobremente controlado puede derivar en
riesgos de declaración equivocada y también ofrecen la oportunidad de que
ocurra el fraude. Por esta razón, se sugiere que se mantengan listas
separadas de los factores del riesgo de negocio y de fraude.

16
 Auditoría de acuerdo con los Estándares Internacionales de Auditoría, el
auditor debe cumplir con cada uno de los Estándares Internacionales de
Auditoría.
El auditor debe planear y ejecutar la auditoría con una actitud de
escepticismo profesional, reconociendo que pueden existir circunstancias
que causen que los estados financieros estén declarados equivocadamente
en forma material.

El auditor debe determinar si es aceptable la estructura de información

financiera adoptada por la administración en la preparación de los estados
financieros.

A través de esta Guía, el proceso de auditoría se presenta en tres fases

diferentes:
 Valoración del riesgo;
 Respuesta al riesgo; y
 Presentación de reportes.
Abajo se destacan las diversas tareas que corresponden a cada una de
esas fases.
7.5. Valoración del riesgo

Notas:
1. Refiérase a ISA 230 para una lista más completa de la documentación que se requiere
2. Planeación es un proceso continuo e interactivo a través de la auditoría
3. RDEM = riesgos de declaración equivocada material

17
7.6. El Enfoque basado en Riesgos

Las auditorías basadas en riesgo requieren que los profesionales en

ejercicio entiendan la entidad y su entorno, incluyendo el control interno. El
propósito es identificar y valorar los riesgos de declaración equivocada
material de los estados financieros.

Dado que las valoraciones del riesgo requieren considerable juicio

profesional, esta fase probablemente requerirá tiempo del socio de auditoría y
del personal principal de la auditoría para identificar y valorar los diversos
tipos de riesgo y desarrollar entonces la respuesta de auditoría que sea
apropiada.
La fase de la auditoría denominada valoración del riesgo conlleva los
siguientes pasos:
 Aplicar procedimientos de aceptación o continuidad del cliente;
 Planear el contrato en general;
 Aplicar procedimientos de valoración del riesgo para entender el
negocio e identificar los riesgos inherente y de control;
 Identificar los procedimientos de control interno relevantes y valorar
su diseño e implementación (esos controles prevendrían que ocurran
las declaraciones equivocadas materiales o detectarían y corregirían
las declaraciones equivocadas (Luego que hayan ocurrido);
 Valorar los riesgos de declaración equivocada material contenida en
los estados financieros;
 Identificar cualesquiera riesgos significantes que requieran especial
consideración de auditoría y esos riesgos para los cuales los solos
procedimientos sustantivos no son suficientes;
 Comunicar, a la administración y a quienes tienen a cargo el
gobierno, cualesquiera debilidades materiales en el diseño e
implementación del control interno; y
 Hacer una valoración informada de los riesgos de declaración
equivocada material a nivel de estado financiero y a nivel de
aserción.
Partes de la fase de auditoría denominada valoración del riesgo a menudo
se llevan a cabo antes de final del año.
El tiempo que conlleva aplicar los procedimientos de valoración del riesgo
a menudo puede ser compensado por la reducción, o aún por la eliminación,
del trabajo de auditoría en las áreas de riesgo bajo. El conocimiento y las
luces que se ganan también se pueden usar para hacerle a la administración de
la entidad comentarios y recomendaciones prácticos sobre cómo minimizar o
reducir el riesgo.
Un proceso efectivo de valoración del riesgo requiere que todos los
miembros del equipo del contrato participen y se comuniquen efectivamente.

18
El equipo de auditoría1 se debe reunir o hablar regularmente para compartir
sus luces.
Esto se puede lograr mediante:
 Planeación de las reuniones del equipo para discutir la estrategia general
de auditoría y detallar el plan de auditoría, hacer lluvias de ideas sobre
cómo podría ocurrir el fraude, y diseñar procedimientos de auditoría que
puedan detectar si tal fraude de hecho ocurrió; y
 Reuniones del equipo (durante o al final del trabajo de campo) para
discutir las implicaciones de los hallazgos de auditoría, identificar
cualesquiera indicadores de fraude y determinar la necesidad (si la hay) de
aplicar cualesquier procedimientos de auditoría adicionales.

La segunda fase de la auditoría es diseñar y aplicar procedimientos de

auditoría adicionales que respondan a los riesgos valorados de declaración
equivocada y que aportarán la evidencia necesaria para respaldar la opinión
de auditoría.
Algunos de los asuntos que el auditor debe considerar cuando planea los
procedimientos de auditoría incluyen:
 Aserciones que no pueden ser tratadas únicamente con procedimientos
sustantivos. Esto puede ocurrir cuando haya procesamiento altamente
automatizado de las transacciones con poca o ninguna intervención
manual.
 Existencia de control interno que, si se prueba, podría reducir la
necesidad/alcance de otros procedimientos sustantivos.
 El potencial de procedimientos analíticos sustantivos que reducirían la
necesidad/alcance de otros tipos de procedimientos.
 La necesidad de incorporar un elemento de impredecibilidad en los
procedimientos aplicados.
 La necesidad de aplicar procedimientos de auditoría adicionales para tratar
el potencial de que la administración eluda los controles u otros escenarios
de fraude.
 La necesidad de aplicar procedimientos específicos para tratar los "riesgos
significantes" que han sido identificados.

19
 Los procedimientos de auditoría diseñados para cubrir los riesgos
valorados podrían incluir una mezcla de:
 Pruebas de la efectividad operacional del control interno; y
 Procedimientos sustantivos tales como pruebas de los detalles y
procedimientos analíticos.
7.7. Presentación de reportes

La fase final de la auditoría es valorar la evidencia de auditoría obtenida y

determinar si es suficiente y apropiada para reducir a un nivel bajo los riesgos
de declaración equivocada material contenida en los estados financieros.
ISA 200 establece:
El auditor no debe representar el cumplimiento con los Estándares
Internacionales de Auditoría a menos que el auditor haya cumplido
plenamente con todos los Estándares Internacionales de Auditoría que sean
relevantes para la auditoría.
En esta etapa es importante tomarse tiempo para determinar:
 Si ha habido cambio en el nivel valorado del riesgo;
 Si son apropiadas las conclusiones alcanzadas a partir del trabajo
realizado; y
 Si se han encontrado cualesquiera circunstancias sospechosas.
Cualesquiera riesgos adicionales deben ser valorados de manera
apropiada y aplicar procedimientos de auditoría adicionales cuando se
requiera. Cuando se han aplicado todos los procedimientos y se han
alcanzado las Conclusiones:

20
 Los hallazgos de auditoría deben ser reportados a la administración y a
quienes están a cargo del gobierno; y
 La opinión de auditoría debe ser formada y tomada la decisión respecto
de la redacción apropiada para el reporte del auditor.

21
 I. CONCLUSIONES

Primera.- Después del análisis del trabajo realizado se puede observar en líneas generales
que el riesgo en cualquier grado siempre es latente, esto aunque la empresa revise
constantemente los niveles de control interno, derivado de las debilidades que puedan existir
por no cumplir con la normativa interna como externa del control interno. Según los análisis
estadísticos ejercidos en diferentes épocas señalan que el riesgo puede ser combatible siempre
y cuando se ejerzan acciones que subsanen todas las debilidades de control interno. Las
estadísticas generalizadas también muestran una tendencia a calificar un determinado riesgo
en calificación de impacto, tal como lo es el riesgo alto, mostrando el total interés que la
empresa tiene para minimizar la debilidad y fortalecer mayor control sobre los posibles
riesgos existentes.

Segunda.- Es notable resaltar que la mayoría de los riesgos se derivan del mal empleo del
control interno ejercido sobre cualquier tipo de empresa, sin embargo la empresa que se
puede estar estudiando le puede brindar toda la posibilidad para poder erradicar el posible
impacto que pueda tener sobre la misma.

Dentro de los aspectos evaluados solo dos temas tienen un cierto grado de madurez para
mitigar cualquier tipo de riesgos que puedan presentarse en las diferentes evaluaciones al
control interno de cada dependencia, y a continuación se detallan las dos propuestas con el fin
de contrarrestar el riesgo medio y alto en cualquier grado de dificultad

22
 II. RECOMENDACIONES

Primera.- Como nos podemos dar cuenta en el trabajo desarrollado nos da varios pasos y
claves para poder desarrollar eficazmente nuestra profesión en el tema la Auditoria con un
enfoque basado en riegos, por lo que les hacemos las siguientes recomendaciones: Valorar los
riesgos de declaración equivocada material contenida en los estados financieros;

Segunda.-.Recordar que la naturaleza y oportunidad de aplicación de las pruebas de

cumplimiento están relacionadas entre sí. Existen procedimientos de control interno que
producen evidencia documental, la cual puede examinarse en cualquier momento. En cambio,
otros procedimientos no dejan evidencia documental; en estos casos, el cumplimiento sólo
puede determinarse mediante observación visual directa en el momento en que esos
procedimientos son ejecutados por el personal de la entidad.

23
 III. REFERENCIA BIBLIOGRAFICA

cemla. (s.f.). www.cemla.or. Recuperado el 20 de Noviembre de 2017, de www.cemla.or:

http://www.cemla.org/PDF/estudios/pub-lib-vg.pdf
Mantilla, A. S. (2008). Auditoria Financiera de pymes. Bogota: Ecoe Ediciones.
Meza, M. A. (2015). Auditoria Financiera Basado en las NIA conforme a las NIIF. Lima:
Instituto pacifico.

www.oas.org. (s.f.). Recuperado el 20 de Noviembre de 2017, de www.oas.org:

http://www.oas.org/juridico/PDFs/mesicic4_ven_ries_aud_2014.pdf

www.oas.org. (s.f.). Recuperado el 21 de Noviembre de 2017, de www.oas.org:

http://www.oas.org/juridico/PDFs/mesicic4_ven_ries_aud_2014.pdf

24