TÉCNICA DE EVALUACIÓN DE RIESGOS

La gestión de Riesgo empresarial (ERM) es un proceso estructurado, consistente y

continuo implementado a través de toda la organización para identificar, evaluar, medir
y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus
objetivos.

Existen numerosas técnicas de evaluación de riesgos –informatizadas y no

informatizadas– disponibles para el área de Auditoría Interna. Éstas varían desde las
simples clasificaciones de riesgo alto, medio y bajo basadas en el juicio del Auditor,
hasta los cálculos complejos y aparentemente científicos que suministran una
clasificación numérica de riesgo. El Auditor Interno debe tener en cuenta el grado de
complejidad y detalle apropiados para la organización auditada.

Todas las técnicas de evaluación de riesgos dependen de juicios subjetivos en algún

momento del proceso. El área de Auditoría Interna debe identificar las decisiones
subjetivas requeridas a fin de utilizar una tecnica específica y considerar si estos juicios
pueden emitirse y validarse con un grado de exactitud apropiado.

Al decidir cuál es la tecnica de evaluación de riesgos más apropiada, el área de

Auditoría Interna debe tener en cuenta:

· El tipo de información que debe recopilarse (algunos sistemas utilizan el efecto

financiero como única medida – esto no siempre resulta adecuado para las auditorías de
TI).

· El costo del software u otras licencias requeridas para utilizar la técnica.

· El grado de disponibilidad de la información requerida.

· La cantidad de información adicional que debe recopilarse antes de poder obtener

una salida confiable, y el costo de recopilar dicha información (incluyendo el tiempo
que debe dedicarse a esa tarea).

· Las opiniones de otros usuarios de la técnica y sus puntos de vista sobre su eficacia
en la tarea de mejorar la eficiencia y/o efectividad de sus auditorías.

· La buena disposición de la gerencia para aceptar la técnica como medio para

determinar el tipo y nivel de trabajo de auditoría a realizar.

No puede esperarse que una técnica de evaluación de riesgos determinada resulte

apropiada en todas las situaciones. Las condiciones que inciden en el desarrollo de las
auditorías pueden modificarse con el tiempo. Periódicamente, el área de Auditoría
Interna debe realizar una nueva evaluación de la idoneidad de las técnicas de evaluación
de riesgos seleccionadas.
Uso de la Evaluación de Riesgos

El Auditor Interno debe utilizar las técnicas de evaluación de riesgos seleccionadas al

desarrollar el plan global de auditoría y al planificar las auditorías específicas. La
evaluación de riesgos, en combinación con otras técnicas de auditoría, debe tenerse en
cuenta al tomar decisiones de planificación relacionadas con:

· La naturaleza, el alcance y la oportunidad de los procedimientos de auditoría.

· Las áreas o funciones de negocio a auditar.

· El tiempo y los recursos a asignar a cada una de las auditorías.

El Auditor de SI debe tener en cuenta los siguientes tipos de riesgo, a fin de determinar
su nivel global:

· Riesgo inherente

· Riesgo de control

· Riesgo de detección

Riesgo inherente

El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer

un error que podría ser material, en forma individual o en combinación con otros,
suponiendo la inexistencia de controles internos relacionados. Por otro lado, el riesgo
inherente asociado a la seguridad de una PC independiente es normalmente bajo,
cuando un análisis adecuado demuestra que no se utiliza con propósitos críticos de
negocio.

El riesgo inherente para la mayoría de las áreas de auditoría de TI es normalmente alto

dado que, por lo general, el posible efecto de los errores se extiende a varios sistemas de
negocios y a un gran número de usuarios.

Al evaluar el riesgo inherente, el Auditor de TI debe tener en cuenta tanto los controles
generales de TI como los detallados.

En lo que respecta a los controles generales de TI, el Auditor Interno debe tener en
cuenta lo siguiente, al nivel apropiado para el área de auditoría en cuestión:

· La integridad, experiencia y conocimiento de la Gerencia de TI.

· Los cambios en la Gerencia de TI.

· La presión ejercida sobre la Gerencia de TI, que puede predisponerla a ocultar o

distorsionar información

· La naturaleza del negocio y de los sistemas de la organización

· Los factores que afectan el rendimiento de la organización en general

· El grado de influencia de terceros en el control de los sistemas auditados

Al nivel de los controles detallados de TI, el Auditor Interno debe tener en cuenta, en el
nivel apropiado para el área de auditoría en cuestión:

· Los hallazgos y fecha de auditorías anteriores en el área.

· La complejidad de los sistemas involucrados.

· El nivel de intervención manual requerida.

· La propensión a la pérdida o apropiación indebida de los bienes controlados por

el sistema (por ej., inventario, nómina, etc.)

· La probabilidad de que se produzcan picos de actividad en ciertos momentos del

período de auditoría.

· Las actividades que no estén comprendidas en la rutina de procesamiento de SI

· La integridad, experiencia y habilidades de la gerencia y el personal que

participan en la aplicación de los controles de TI.

Riesgo de Control

Es el riesgo por el que un error, que podría cometerse en un área de auditoría -y que
podría ser material, individualmente o en combinación con otros, no pueda ser evitado o
detectado y corregido oportunamente por el sistema de control interno. Por ejemplo, el
riesgo de control asociado a las revisiones manuales de registros computadorizados es
normalmente alto debido a que las actividades que requieren investigación a menudo se
pierden con facilidad por el volumen de información registrada. El riesgo de control
asociado a los procedimientos computarizados de validación de datos es normalmente
bajo puesto que los procesos se aplican con regularidad.

El Auditor Interno debe evaluar el riesgo de control como un riesgo alto a menos que
los controles internos pertinentes:

· Se identifiquen

· Se consideren eficaces

· Se prueben y confirmen como adecuadamente operativos

Riesgo de Detección

Es el riesgo que se produce cuando los procedimientos sustantivos del Auditor Interno
no detectan un error que podría ser material, individualmente o en combinación con
otros. Por ejemplo, el riesgo de detección asociado a la identificación de violaciones de
la seguridad en un sistema de aplicación es normalmente alto, debido a que en el
transcurso de la auditoría, los registros de todo su período no se encuentran disponibles.
El riesgo de detección asociado con la identificación de la falta de planes de
recuperación ante desastres es normalmente bajo, dado que su existencia puede
verificarse con facilidad.

Al determinar el nivel de pruebas sustantivas requeridas, el Auditor Interno debe tener

en cuenta:

· La evaluación del riesgo inherente.

· La conclusión sobre riesgos de control a la que se llega luego de las pruebas de

cumplimiento.

Cuanto más exhaustiva es la evaluación del riesgo inherente y de control, mayor es la

evidencia de auditoría que debería obtener el Auditor Interno mediante la ejecución de
los procedimientos sustantivos de auditoría.

Documentación

El área de Auditoría Interna deberá documentar la técnica o metodología de evaluación

de riesgos utilizada en una auditoría. Normalmente, la documentación deberá incluir:

· Una descripción de la metodología de evaluación de riesgos utilizada.

· La identificación de exposiciones significativas y los riesgos correspondientes.

· Los riesgos y exposiciones que la auditoría se propone abordar.

· La evidencia de auditoría utilizada para respaldar la evaluación de riesgos del

Auditor Interno.

En resumen, el nivel de trabajo de auditoría requerido para lograr un objetivo de

auditoría específico resulta de una decisión subjetiva del Auditor Interno. Uno de los
aspectos de esta decisión es el riesgo de llegar a una conclusión incorrecta basada en los
hallazgos de auditoría (riesgo de auditoría). El otro es el riesgo de cometer errores en el
área auditada (riesgo de error). El Auditor Interno debe tener en cuenta las normas
profesionales al determinar cómo implementar la evaluación de riesgos mencionada, así
como también, utilizar el juicio profesional en su aplicación y estar preparado para
justificar cualquier desviación respecto de ellas.
Las técnicas de evaluación de riesgos, a demás permiten:

· Mayor posibilidad de alcanzar los objetivos

· Consolida reportes de riesgos distintos a nivel de la junta

· Incrementa el entendimiento de riesgos claves y sus más amplias implicaciones

· Identifica y comparte riesgos alrededor del negocio

· Crea mayor enfoque de la gerencia en asuntos que realmente importan

· Menos sorpresas y crisis;

· Mayor enfoque interno en hacer lo correcto en la forma correcta;

· Incrementa la posibilidad de que cambios en iniciativas puedan ser logrados;

· Capacidad de tomar mayor riesgo por mayores recompensas

· Más información sobre riesgos tomados y decisiones realizadas.

· Identificación de amenazas potenciales;

· Evaluación de riesgo, por ejemplo: impacto y posibilidad de ocurrencia de las

amenazas

· Selección e implementación respuestas a riesgos

· Fijar controles y otras actividades de respuestas

· Comunicación de información sobre riesgos de manera consistente en todos los

niveles de la organización

· Centralizar monitoreo y control de los procesos de gestión de riesgo y de los

resultados

· Proveer aseguramiento sobre la eficiencia con la cual los riesgos están siendo
gestionados.

El ERM puede realizar una enorme contribución ayudando a la organización a gestionar

los riesgos para poder alcanzar sus objetivos. Los beneficios incluyen:

• Brindar aseguramiento sobre procesos de gestión de riesgo.

• Brindar aseguramiento de que los riesgos son correctamente evaluados
• Evaluación de los procesos de gestión de riesgo.
• Evaluación de reporte de riesgos claves.
 • Revisión del manejo de los riesgos claves.
• Facilitación, identificación y evaluación de riesgos.
• Entrenamiento a la gerencia sobre respuesta a riesgos.
• Coordinación de actividades de ERM.
• Consolidación de reportes sobre riesgos.
• Mantenimiento y desarrollo del marco de ERM.
• Defender el establecimiento del ERM.
• Desarrollo de estrategias de gestión de riesgo para aprobación de la junta.
• Establecer el apetito de riesgo.
• Imponer procesos de gestión de riesgo.
• Manejar el aseguramiento sobre los riesgos.
• Tomar decisiones en respuesta a los riesgos.
• Implementar respuestas a riesgos a favor de administración.
• Responsabilidad de la gestión.

TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA (TAACS —

CAATS COMPUTER ASSISTED AUDIT TECHNIQUES)

CAATs (Computer Assisted Audit Techniques = Técnicas de auditoría asistida por

computadora) – Cualquier técnica de auditoría automatizada, tal como el software
generalizado de auditoría, generadores de datos de prueba, programas de auditoría
computadorizados, y sistemas expertos en auditoría.

Las TAACs son programas y datos de computadora que el auditor usa como parte de
los procedimientos de auditoría para procesar datos importantes para la auditoría
contenidos en los sistemas de información de una entidad. Los datos pueden ser datos
de transacciones, sobre los que el auditor desea realizar pruebas de controles o
procedimientos sustantivos, o pueden ser otros tipos de datos.

Las TAACs pueden consistir en programas de paquete, programas escritos para un

propósito, programas de utilería o programas de administración del sistema.

• Los programas en paquete son programas generalizados de computadora diseñados

para desempeñar funciones de procesamiento de datos, tales como leer datos,
seleccionar y analizar información, hacer cálculos, crear archivos de datos, etc

• Los programas escritos para un propósito desempeñan tareas de auditoría en

circunstancias específicas. Estos programas pueden desarrollarse por el auditor, por la
entidad que está siendo auditada o por un programador externo contratado por el
auditor.

• Los programas de utilerías se usan por una entidad para desempeñar funciones
comunes de procesamiento de datos, tales como clasificación, creación e impresión de
archivos. Estos programas generalmente no están diseñados para propósitos de
auditoría.
• Los programas de administración del sistema son herramientas de productividad
mejorada que típicamente son parte de un ambiente sofisticado de sistemas operativos,
por ejemplo, software de recuperación de datos o software de comparación de códigos.
Incluyen:

Fotos instantáneas: Esta técnica implica tomar una foto de una transacción mientras
fluye por los sistemas de computadora. Esta técnica permite al auditor rastrear los datos
y evaluar los procesos de computadora aplicados a los datos.

Archivo de revisión de auditoría del control del sistema. Este implica incorporar
módulos de software de auditoría dentro de un sistema de aplicaciones para
proporcionar monitoreo continuo de las transacciones del sistema.

Factores que inciden en la utilización de TAACs

1. La naturaleza del área a auditar y el enfoque de la auditoría.
2. Los esfuerzos y el tiempo requerido para ejecutar la auditoría.
3. La disponibilidad de información.
4. El grado de cooperación del cliente en el caso de una auditoría externa
5. El grado de apoyo del personal del CPD en el caso de una auditoría interna.
6. La disponibilidad del personal calificado para la aplicación de estos programas
7. Consideraciones económicas.

Ventajas:

1. La información puede ser reorganizada en un formato que facilite el examen de

auditoría.
2. Los datos pueden ser examinados y analizados más rápidamente.
3. Todo el registro de datos puede ser revisado en menos tiempo del que lleva
seleccionar manualmente una muestra.
4. Los items significativos o de naturaleza inusual pueden ser identificados con
rapidez, permitiendo concentrar esfuerzos de auditoría en asuntos de
importancia.
5. No existe una dependencia del personal del CPD.

Las TAACs pueden usarse para desarrollar diversos procedimientos de auditoría,

incluyendo los siguientes:

· Pruebas de detalles de transacciones y saldos, por ejemplo, el uso de software de

auditoría para recalcular los intereses o la extracción de facturas por encima de un cierto
valor de los registros de computadora;

· Procedimientos analíticos, por ejemplo, identificar inconsistencias o fluctuaciones

importantes

· Pruebas de controles generales, por ejemplo, pruebas de la instalación o

configuración del sistema operativo o procedimientos de acceso a las bibliotecas de
programas o el uso de software de comparación de códigos para verificar que la versión
del programa en uso es la versión aprobada por la administración
· Muestreo de programas para extraer datos para pruebas de auditoría;

· Pruebas de controles de aplicación, por ejemplo, pruebas del funcionamiento de

un control programado

· Rehacer cálculos realizados por los sistemas de contabilidad de la entidad.

· Las rutinas de auditoría incorporadas a veces están integradas en un sistema de

computadoras de una entidad para proporcionar datos de uso posterior por el auditor.

El creciente poder y sofisticación de las microcomputadoras, ha dado como

resultado otras herramientas para uso del auditor.

En algunos casos, las laptops serán enlazadas a los sistemas de computadora central del
auditor. Ejemplos de estas técnicas incluyen:

Sistemas expertos, por ejemplo en el diseño de programas de auditoría y en la

planeación de auditoría y evaluación de riesgos
Herramientas para evaluar los procedimientos de un cliente para la administración de
riesgos
Papeles de trabajo electrónicos, planeados para la extracción directa de datos de los
registros de la computadora del cliente, por ejemplo: descargar el libro mayor para
pruebas de auditoría
Programas de modelaje corporativo y financiero para usar como pruebas predecibles de
auditoría.

Consideraciones en el uso de Taacs

Al planear una auditoría, el auditor puede considerar una combinación apropiada de

técnicas de auditoría manuales y con ayuda de computadora.

· El conocimiento, pericia y experiencia del equipo de auditoría del ambiente de CIS,

· La disponibilidad de TAACs e instalaciones y datos adecuados de computación

· La imposibilidad de pruebas manuales

· Efectividad y eficiencia

· Oportunidad.

Antes de usar TAACs el auditor considera los controles incorporados en el diseño de los
sistemas de computadora de la entidad a los que se aplicarían éstas para determinar
cómo deberían emplearse.
Conocimiento, pericia y experiencia del equipo de auditoría del ambiente de CIS

La NIA 401, “Auditoría en un Ambiente de Sistemas de Información por Computadora”

trata del nivel de habilidades y competencia que necesita el equipo de auditoría para
conducir una auditoría en un ambiente de CIS. Específicamente, el equipo de auditoría
deberá tener suficiente conocimiento para planear, ejecutar y usar los resultados de la
TAAC particular que se adopte. El nivel de conocimiento requerido depende de la
complejidad y naturaleza de la TAAC y del sistema de información de la entidad.

Disponibilidad de TAACs e instalaciones adecuadas de computación

El auditor deberá considerar la disponibilidad de las TAACs, instalaciones adecuadas de

computación y los sistemas de información y datos necesarios basados en
computadoras. El auditor puede planear el uso de otras instalaciones de computación
cuando el uso de TAACs en una computadora de la entidad no es económico o no es
factible. Además, el auditor puede elegir usar sus propias instalaciones, como
microcomputadoras o laptops.

Imposibilidad de pruebas manuales

Quizá no sea posible desempeñar manualmente algunos procedimientos de auditoría

porque dependen de un procesamiento complejo (por ejemplo, análisis estadístico
avanzado) o implica cantidades de datos que sobrepasarían cualquier procedimiento
manual. Además, muchos sistemas de información por computadora desempeñan tareas
para las que no hay evidencia de copias impresas disponibles y, por lo tanto, puede no
ser factible para el auditor desempeñar las pruebas manualmente.

Efectividad y eficiencia

La efectividad y eficiencia de los procedimientos de auditoría pueden mejorarse usando

las TAACs para obtener y evaluar la evidencia de auditoría. Las TAACs son a menudo
un medio eficiente de poner a prueba un gran número de transacciones o controles sobre
grandes volúmenes por medio de:

• Analizar y seleccionar muestras de un gran volumen de transacciones

• Aplicar procedimientos analíticos
• Desarrollar procedimientos sustantivos.

Los asuntos relacionados con la eficiencia que pueden ser considerados por el auditor
incluyen:

• El tiempo para planear, diseñar, ejecutar y evaluar la TAAC

• Revisión técnica y horas de asistencia
• Diseño e impresión de formas (por ejemplo, confirmaciones)
• Disponibilidad de recursos de computación.
Oportunidad

Ciertos datos, como detalles de transacciones, a menudo se conservan por sólo un corto
tiempo, y pueden no estar disponibles en forma legible por la máquina para cuando el
auditor lo requiere.

Cuando el tiempo disponible para desempeñar una auditoría sea limitado, el auditor
puede planear el uso de una TAAC, porque cumplirá con su requerimiento de tiempo
mejor que otros procedimientos posibles.

Utilización de TAACs

Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:

• Establecer el objetivo de aplicación de la TAAC

• Archivos de la entidad
• Identificar los archivos específicos o bases de datos que deben examinarse
• Entender la relación entre las tablas de datos cuando deba examinarse una base
de datos
• Definir las pruebas o procedimientos específicos y transacciones relacionadas y
saldos afectados
• Definir los requerimientos de datos de salida
• Convenir con el usuario y departamentos de CIS, si es apropiado, en las copias
de los archivos relevantes o tablas de bases de datos que deben hacerse en la
fecha y momento apropiado del corte
• Identificar al personal que puede participar en el diseño y aplicación de la
TAAC
• Refinar las estimaciones de costos y beneficios
• Asegurarse que el uso de la TAAC está controlado y documentado en forma
apropiada
• Organizar las actividades administrativas, incluyendo las habilidades necesarias
e instalaciones de computación
• Conciliar los datos que deban usarse para la TAAC con los registros contables
• Ejecutar la aplicación de la TAAC
• Evaluar los resultados.

Control de la aplicación de la TAAC

Los procedimientos específicos necesarios para controlar el uso de una TAAC dependen
de la aplicación particular. Al establecer el control, el auditor considera la necesidad de:

• Aprobar especificaciones y conducir una revisión del trabajo que deba

desarrollar la TAAC
• Revisar los controles generales de la entidad que puedan contribuir a la
integridad de la TAAC, Cuando dichos controles no son confiables el auditor
puede considerar el proceso de la aplicación de la TAAC en otra instalación de
computación adecuada
 • Asegurar la integración apropiada de los datos de salida dentro del proceso de
auditoría por parte del auditor.

Los procedimientos llevados a cabo por el auditor para controlar las aplicaciones de la
TAAC pueden incluir:

• Participar en el diseño y pruebas de la TAAC

• Verificar, si es aplicable, la codificación del programa para asegurar que esté de
acuerdo con las especificaciones detalladas del programa
• Solicitar al personal de computación de la entidad revisar las instrucciones del
sistema operativo para asegurar que el software correrá en la instalación de
computación de la entidad
• Ejecutar el software de auditoría en pequeños archivos de prueba antes de
ejecutarlo en los archivos principales de datos
• Verificar si se usaron los archivos correctos
• Obtener evidencia de que el software de auditoría funcionó según lo planeado
• Establecer medidas apropiadas de seguridad para salvaguardar la integridad y
confidencialidad de los datos.

Cuando el auditor utilice una TAAC, puede requerir la cooperación de personal de la

entidad con amplio conocimiento de la instalación de computación. En estas
circunstancias, el auditor puede considerar si el personal influyó en forma inapropiada
en los resultados de la TAAC.

Documentación

El estándar de papeles de trabajo y de procedimientos de retención para una TAAC es

consistente con el de la auditoría como un todo (ver NIA 230, “Documentación”).

Los papeles de trabajo necesitan contener suficiente documentación para describir la

aplicación de la TAAC, tal como:

a) Planeación

• Objetivos de la TAAC;

• Consideración de la TAAC especifica que se va a usar

• Controles que se van a ejercer

• Personal, tiempo, y costo.

b) Ejecución

• Preparación de la TAAC y procedimientos de prueba y controles;

• Detalles de las pruebas realizadas por la TAAC, detalles de datos de entrada,

procesamiento y datos de salida
• Información técnica relevante sobre el sistema de contabilidad de la entidad, tal como
la organización de archivos.

c) Evidencia de auditoría

• Datos de salida proporcionados

• Descripción del trabajo de auditoría desarrollado en los datos de salida

• Conclusiones de auditoría.

d) Otros

• Recomendaciones a la administración de la entidad

• Además, puede ser útil documentar las sugerencias para usar la TAAC en años
futuros.