León 12 de Junio del 2021
COMPONENTE: Auditoria II
UNIDAD II: Riesgos de Auditoria
Un riesgo de auditoría es aquel que existe en todo momento por lo cual genera la posibilidad de
que un auditor emita una información errada por el hecho de no haber detectado errores o faltas
significativas que podría modificar por completo la opinión dada en un informe.
La posibilidad de existencia de errores puede presentarse en distintos niveles, por lo tanto se debe
analizar de la forma más apropiada para observar la implicación de cada nivel sobre las auditorias
que vayan a ser realizadas.
Son distintas las situaciones o hechos que conllevan a trabajar de diferentes formas y que permiten
determinar el nivel de riesgo por cada situación en particular.
Es así como se han determinado tres tipos de riesgos los cuales son: Riesgo inherente, riesgo de
control y riesgo de detección.
Riesgo inherente: Este tipo de riesgo tiene ver exclusivamente con la actividad económica o
negocio de la empresa, independientemente de los sistemas de control interno que allí se estén
aplicando.
Si se trata de una auditoría financiera es la susceptibilidad de los estados financieros a la
existencia de errores significativos; este tipo de riesgo está fuera del control de un auditor por lo
que difícilmente se puede determinar o tomar decisiones para desaparecer el riesgo ya que es
algo innato de la actividad realizada por la empresa.
Entre los factores que llevan a la existencia de este tipo de riesgos esta la naturaleza de las
actividades económicas, como también la naturaleza de volumen tanto de transacciones como de
productos y/o servicios, además tiene relevancia la parte gerencial y la calidad de recurso humano
con que cuenta la entidad.
Riesgo de control: Aquí influye de manera muy importante los sistemas de control interno que
estén implementados en la empresa y que en circunstancias lleguen a ser insuficientes o
inadecuados para la aplicación y detección oportuna de irregularidades. Es por esto la necesidad
y relevancia que una administración tenga en constante revisión, verificación y ajustes los
procesos de control interno.
Cuando existen bajos niveles de riesgos de control es porque se están efectuando o están
implementados excelentes procedimientos para el buen desarrollo de los procesos de la
organización.
Entre los factores relevantes que determina este tipo de riesgo son los sistemas de
información, contabilidad y control.
Riesgo de detección: Este tipo de riesgo está directamente relacionado con los procedimientos de
auditoría por lo que se trata de la no detección de la existencia de erros en el proceso realizado.
La Responsabilidad de llevar a cabo una auditoria con procedimientos adecuados es total
responsabilidad del grupo auditor, es tan importante este riesgo que bien trabajado contribuye a
debilitar el riesgo de control y el riesgo inherente de la compañía.
Es por esto que un proceso de auditoría que contenga problemas de detección muy seguramente
en el momento en que no se analice la información de la forma adecuada no va a contribuir a la
detección de riesgos inherentes y de control a que está expuesta la información del ente y además
se podría estar dando un dictamen incorrecto.
Administración de Riesgos
El riesgo es una condición del mundo real en el cual hay una exposición a la adversidad,
conformada por una combinación de circunstancias del entorno, donde hay posibilidad de pérdidas.
Por tal razón todas las empresas productoras de bienes o servicios se deben ocupar de estudios
que garanticen la identificación de Riesgos como elemento fundamental para garantizar la calidad
del servicio o del producto final.
1
� Técnicas de Procedimientos para Administrar Riesgos
EVITAR RIESGOS: Un riesgo es evitado cuando en la organización no se acepta. Esta
técnica puede ser más negativa que positiva. Si el evitar riesgos fuera usado excesivamente el
negocio sería privado de muchas oportunidades de ganancia (por ejemplo: arriesgarse a hacer
una inversión) y probablemente no alcanzaría sus objetivos.
REDUCCIÓN DE RIESGOS: Los riegos pueden ser reducidos, por ejemplo con:
programas de seguridad, guardias de seguridad, alarmas y estimación de futuras pérdidas con la
asesoría de personas expertas.
CONSERVACIÓN DE RIESGOS: Es quizás el más común de los métodos para enfrentar
los riesgos, pues muchas veces una acción positiva no es transferirlo o reducir su acción. Cada
organización debe decidir cuales riegos se retienen, o se transfieren basándose en su margen de
contingencia, una pérdida puede ser un desastre financiero para una organización siendo
fácilmente sostenido por otra organización.
COMPARTIR RIESGOS: Cuando los riesgos son compartidos, la posibilidad de pérdida es
transferida del individuo al grupo.
Definición de Administración de Riesgos
La administración de riesgos es una aproximación científica del comportamiento de los riesgos,
anticipando posibles pérdidas accidentales con el diseño e implementación de procedimientos que
minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir.
Control de Riesgos: Técnica diseñada para minimizar los posibles costos causados por los
riesgos a que esté expuesta la organización, esta técnica abarca el rechazo de cualquier
exposición a pérdida de una actividad particular y la reducción del potencial de las posibles
pérdidas.
Como podemos apreciar, las bibliografías consultadas recogen diferentes criterios de Riesgo, pero
ninguno de ellos estudia y mucho menos profundiza en el tema de los Riesgos que se asumen en
cada subproceso de la Auditoría, aspecto de vital importancia para garantizar la calidad de la
misma.
En estudios de casos analizados, observamos que cuando no se conocen las tareas y actividades
específicas del proceso de la Auditoría, los resultados finales no se corresponden por los
esperados por quienes ordenan la Auditoría, teniendo como causa, la falta de previsión de las
tareas a realizar en cada uno de los subprocesos, y las medidas por supuesto para evitar la
comisión de errores y fallas que pongan en riesgo el cumplimiento sistémico y escalonado de cada
subproceso, simulando el ejercicio de una producción en serie.
En estudios realizados, hemos podido observar que riesgos desde cualquier subproceso de
Auditoría, sin lugar a dudas deterioran la calidad del servicio de ésta.
No es usual que Unidades dedicadas al servicio de auditoría y mucho menos, las destinadas a
servicios de Auditoría Interna, trabajan en aras de diagnosticar y evaluar los posibles riesgos en la
ejecución de los diferentes subprocesos que intervienen en un servicio de Auditoría.
No es posible diagnosticar riesgos desde una mesa, pues esto no puede ser esquemático y mucho
menos ser una fórmula para sustituir. En cada organización deberá efectuarse un estudio y trazar
la estrategia de la cadena de valores de ésta y el tipo de servicio que se debe realizar.
Para ello sería preciso conocer cómo está funcionando la cadena de valores en esa organización,
pues es fundamental mantener la consecución de las tareas y cumplir y hacer cumplir el
mantenimiento del flujo logístico de los subprocesos, ya que uno depende del otro.
Luego, tendríamos que la Cadena de Valores en todos los subprocesos de Auditoría, debe
representarse de la siguiente forma.
2
�A continuación detallamos el resultado del estudio efectuado a las Supervisiones efectuadas en un
período de 2 años a diferentes profesionales en el ejercicio de determinadas auditorías.
Puede observarse, que el diagnóstico fue necesario realizarlo, partiendo del flujo logístico de la
Cadena de Valores a partir de cada subproceso de Auditoría en una organización de Auditoría
Interna, donde señalamos las tareas más importantes a realizar en cada uno de éstos, en este
servicio, que como proceso fundamental realiza esta organización, y hacemos mención a riesgos
en el cumplimiento, de diferentes tareas, y posibles en cualquier organización que brinde los
servicios de auditoría.
Subprocesos Tareas Riesgos de control
Exploración 1. Concebir la planificación para
Previa 1. Conocer las características exámenes innecesarios.
de la entidad. 2. Extensión de pruebas por
2. Lograr comprender el desconocimiento del ambiente de control.
ambiente de control. 3. Desconocimiento de antecedentes de
3. Comprender el flujo de las deficiencias o presuntos hechos delictivos
operaciones. como resultado de auditorías anteriores.
4. Estudiar Papeles de 4. El auditor no sea capaz de identificar la
Trabajo archivados de la naturaleza operativa del negocio, su
auditoría anterior. organización, ubicación de sus
instalaciones, las ventas, producciones,
servicios prestados, su estructura financiera,
las operaciones de compra y venta y
3
� muchos otros asuntos que pudieran ser
significativos en lo que se va auditar
5. No concebir un
adecuado planeamiento del trabajo a
realizar y/o no dirigirlo hacia las cuestiones
que resulten de mayor interés de acuerdo
con los objetivos previstos
1. Definir los aspectos que 1.
Planeamiento deben ser objetos de 2. Extensión de pruebas sin cumplir
comprobación, por las objetivos necesarios para realizar la
expectativas que dio la Auditoría ordenada.
exploración, así como 3. No se desarrolla la estrategia general
determinar las áreas, funciones para el examen.
y materias críticas. 4. Incapacidad de crear o adaptar el
2. Analizar la reiteración de Programa de Auditoría.
deficiencias y sus causas.
3. Definir las formas o
medios de comprobación que
se van a utilizar.
4. Definición de lo objetivos
específicos de la Auditoría.
5. Determinación de los
auditores y otros especialistas
que se requieran, atendiendo a
los objetivos propuestos, la
magnitud del trabajo y su
complejidad.
6. Programas flexibles
confeccionados
específicamente, de acuerdo
con los objetivos trazados, que
den respuesta a la
comprobación de las tres E
(Economía, eficiencia y
eficacia).
7. Determinación del tiempo
que se empleará en desarrollar
la Auditoría, así como
del costo estimado.
1. Obtener evidencias suficie
Ejecución ntes, competentes y relevantes 1. No llevar a cabo el examen de acuerdo
para fundamentar los juicios y con las normas de normas de auditoría
conclusiones. generalmente aceptadas.
2. Cumplir 2. No asegurarse de la persona
las acciones previstas en el responsable y competente sobre la
planeamiento elaborado. razonabilidad de las diferentes
3. Preparar papeles de manifestaciones financieras.
trabajo para todos los 3. El auditor no está preparado para dudar
exámenes efectuados. de la validez e integridad de la evidencia.
4. Que la muestra tomada no sea
4
� 4. Efectuar la revisión de suficiente para sustentar los resultados del
acuerdo con las normas de examen efectuado y el cumplimiento de los
auditoría generalmente objetivos programados.
aceptadas. 5. No evaluar la evidencia aplicando
técnicas confiables que aseguren su validez
y razonabilidad.
6. No identificar el nivel de importancia
relativa y de riesgo probable de una
evidencia.
7. Las evidencias documentales no
expresan con claridad el objetivo del
alcance de las comprobaciones efectuadas.
8. Los hallazgos no se definen claramente
y carecen de razonabilidad para sustentar el
resultado del examen, la conclusión y
recomendación para demostrar la
naturaleza y alcance del trabajo realizado.
9. No limitarse a los asuntos que sean
pertinentes e importantes.
10. Las comprobaciones y sus resultados
expuestos no son lo suficientemente claros,
comprensibles y detallados para que un
tercero esté en capacidad de fundamentar
conclusiones y recomendaciones mediante
su revisión.
1. Que los papeles de trabajo
Informes 1. Cumplir las técnicas sobre correspondiente a Notas al Informe no
la elaboración del Informe. expresen razonabilidad para sustentar los
2. Definición de la Evaluación hallazgos significativos por los resultados de
de la Auditoría desarrollada. las comprobaciones.
3. Comunicación oportuna 2. Que los papeles de trabajo
del Informe. correspondiente a Notas al Informe no
4. Efectuar discusión sobre el expresen los resultados lo suficientemente
Informe por los resultados de claros, comprensibles y detallados.
la Auditoría efectuada. 3. No cumplimiento de los objetivos de la
auditoría, su alcance y metodología.
4. No evaluar correctamente los resultados
expuestos, según legislación establecida.
5. No definir las responsabilidades ante los
incumplimientos que afecten la buena
marcha de la organización.
6. No facilitar el seguimiento para
determinar si se adoptan las medidas
correctivas apropiadas.
7. El contenido del Informe no es utilizado
oportunamente por los responsabilizados e
interesados
8. No participación de los directivos y
funcionarios facultados, para discutir los
resultados del Informe.
5
� 1. Organizar
Preparación la documentación de todos los 1. Que el auditor no tenga todas las
del papeles de trabajo originados evidencias que soportan el desarrollo de
Expediente en la realización de la cada una de las etapas.
auditoría, correspondiente a 2. Incumplimiento en la confección de los
todas las etapas. papeles de trabajo de la auditoría.
3. Cumplimiento de tareas extemporáneas
Exploración 4. Inadecuada organización del archivo de
Planeamiento los papeles de trabajo.
Ejecución 5. Imposibilidad de que un tercero
Informe compruebe el Informe y la correspondencia
con los exámenes.
1. Reconocer la indicación de
cada papel, marcas, etc.
Supervisión 1.
1. Efectuar visitas de 2. Que los auditores tengan impedimentos
Supervisión en cualquier etapa que limiten comprender de forma clara y
de la auditoría. precisa la etapa que se supervisa.
2. Elaboración del Informe de 3. No se cumplan las recomendaciones
la Supervisión. dejadas en supervisiones anteriores.
4. Que las supervisiones no se efectúen
en el momento necesario que requiere la
Auditoría y/o el auditor que realice el trabajo.
5. Poca preparación del supervisor para
valorar el desenvolvimiento de una actividad
y/o auditoría.
1. Evaluar el trabajo del
Evaluación de personal que directamente 1. Una incorrecta evaluación.
los labora en una auditoría. 2. No evaluar con justeza (no estimula los
profesionales 2. Analizar con justeza cada buenos resultados individuales).
de la Auditoría uno de los indicadores. 3. Incumplir la evaluación, (no permite que
3. Cumplir y hacer cumplir el evaluado tome conciencia de las
la escala evaluativa limitaciones que se le señalan).
establecida.
Medición y Evaluación del Riesgo
Al concebir los posibles Riesgos en la ejecución de los diferentes subprocesos de la Auditoría de
una organización interna o externa, debe efectuarse la evaluación de los mismos, con el fin de
conocer el Impacto, y el tratamiento que este requiere, así como la Probabilidad de Ocurrencia.
Ello nos daría la posibilidad de conocer anticipadamente la valoración y concebir planes que
coadyuven a la reducción de pérdidas, que en técnicas de auditoría, serían la extensión de pruebas
innecesarias, y gasto de tiempo invertido adicional, lo que implicaría el requerimiento de
tratamientos diferenciados, y por supuesto pérdidas financieras. Si se toman las medidas
necesarias para disminuir la ocurrencia, entonces estaríamos hablando de reducción de pérdidas
en la Auditoría. En este capítulo abordamos anteriormente la necesidad de evaluar los riesgos de
control contable, lo que ayudará al auditor efectuar una adecuada planeación.
Sería entonces preciso el diseño o implementación de un procedimiento interno que minimice el
impacto financiero que pueda ocurrir, el cual pudiera tratarse de excesos de gastos
6
� de: dietas de alimentación, hospedaje, salarios, transportación, materiales de oficina,
comunicación, y otros.
Es necesario entonces, luego de conocer los posibles riesgos, tener en cuenta:
a) Probabilidad de ocurrencia del Riesgo
b) Impacto ante la ocurrencia del Riesgo.
Para ello:
las probabilidades de ocurrencia deberán determinarse en:
a. Poco Frecuente (PF)
b. Moderado (M)
c. Frecuente (F)
Poco Frecuente: cuando el Riesgo ocurre sólo en circunstancias excepcionales.
Moderado: Puede ocurrir en algún momento.
Frecuente: Se espera que ocurra en la mayoría de las circunstancias.
El Impacto ante la ocurrencia sería considerado de:
a. Leve (L)
b. Moderado (M)
c. Grande (G)
Leve: Perjuicios tolerables. Baja pérdida financiera.
Moderado: Requiere de un tratamiento diferenciado: Pérdida financiera media.
Grande: Requiere tratamiento diferenciado. Alta pérdida financiera.
La evaluación del Riesgo sería de:
Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles actuales, siguiendo los
procedimientos de rutina.
Moderado: (Riesgo Medio). Se consideran riesgos Aceptables con Medidas de Control. Se deben
acometer acciones de reducción de daños y especificar las responsabilidades de su implantación y
supervisión.
Inaceptable: (Riesgo Alto). Deben tomarse de inmediato acciones de reducción de Impacto y
Probabilidad para atenuar la gravedad del riesgo. Se especificará el responsable y la fecha de
revisión sistemática.
Si quisiéramos evaluar el Impacto de los Riesgos en un subproceso, sólo tendríamos que analizar
el Diagnóstico efectuado.
A manera de ejemplo, analizaremos el subproceso de Exploración previa diagnosticado en el
estudio de caso efectuado, para llegar a él.
Veamos:
Subprocesos Tareas Riesgos de control
Exploración 1. El auditor no sea capaz de identificar la
Previa Conocer las naturaleza operativa del negocio, su
características de la entidad. organización, ubicación de sus instalaciones,
Lograr comprender el las ventas, producciones, servicios prestados,
ambiente de control. su estructura financiera, las operaciones de
Comprender el flujo de compra y venta y muchos otros asuntos que
las operaciones. pudieran ser significativos en lo que se va
Estudiar Papeles de auditar
Trabajo archivados de la 2. No concebir un adecuado planeamiento del
auditoría anterior. trabajo a realizar y/o no dirigirlo hacia las
cuestiones que resulten de mayor interés de
acuerdo con los objetivos previstos
3. Concebir la planificación para exámenes
7
� innecesarios.
4. Extensión de pruebas por desconocimiento
del ambiente de control.
5. Desconocimiento de antecedentes de
deficiencias o presuntos hechos delictivos
como resultado de auditorías anteriores.
Al evaluarlos tendríamos:
EVALUACIÓN DE RIESGOS
Impacto Probabilidad
(6) (7) Nivel de
No. Riesgo E I
Riesgo
L M G F M PF
El auditor no sea capaz de identificar la
naturaleza operativa del negocio, su
organización, ubicación de sus
Aceptable
instalaciones, las ventas, producciones,
con
1 servicios prestados, su estructura
X X medidas de
financiera, las operaciones de compra y X
control
venta y muchos otros asuntos que
pudieran ser significativos en lo que se
va auditar
No concebir un adecuado planeamiento
Aceptable
del trabajo a realizar y/o no dirigirlo hacia
con
2 las cuestiones que resulten de mayor X X X
medidas de
interés de acuerdo con los objetivos
control
previstos.
Aceptable
Concebir la planificación para exámenes con
3 X X X
innecesarios. medidas de
control
Extensión de pruebas por
4 desconocimiento del ambiente de X X X Inaceptable
control.
Desconocimiento de antecedentes de Aceptable
deficiencias o presuntos hechos con
5 X X X
delictivos como resultado de auditorías Medidas de
anteriores. Control
Una técnica conocida y muy usada, como herramienta de trabajo, es la representación gráfica, y
siguiendo el ejemplo anterior, observemos:
Ilustración. Niveles de Riesgo (Matriz)
8
� Como puede observarse, el gráfico anterior nos ilustra los cuadrantes donde según su Impacto y
Probabilidad de Ocurrencia se sitúan estos Riesgos, y su color nos identifica la Evaluación del
mismo, lo que no significa que en el Plan de Medidas no se tengan en cuenta todos los Riesgos,
pues deberá mantenerse el seguimiento de todos los identificados y el Plan de acción de cada uno.
El Plan de Acción estaría en correspondencia con el tipo de riesgo, con la organización donde se
realiza el servicio, con el tipo de auditoría, con el subproceso que se realice y por supuesto con el
auditor o auxiliar que la ejecute. Vital importancia reviste el dominio de la actividad, el monitoreo en
la ejecución sucesiva sobre el manejo de futuras acciones y la supervisión sistemática en
diferentes momentos de realización de las auditorías en correspondencia sobre la incidencia de los
riesgos pasados o reiterados en los subprocesos que mayores impactos se han observados.
Por el impacto que hoy produce la ocurrencia de los riesgos observados en la investigación, debe
elaborarse un Plan de Acción en el que se proponga, fundamentalmente
El diseño de un Sistema Organizativo de ejecución para cada uno de los subprocesos de la
auditoría.
Capacitar a los profesionales de la auditoría en la formación teórico-práctica que garantice
la calidad en el ejercicio de sus funciones.
Evaluar los resultados de las supervisiones
Mantener la vigilancia de la posible comisión de riesgos en el desarrollo sistemático del
ejercicio de las auditorías.
Monitorear el cumplimiento de la Cadena de Valores por cada profesional.
Etc.
Concluyendo, resulta de vital importancia establecer un sistema de control en esa Cadena de
Valores, donde todos los subprocesos en Auditoría son necesarios para lograr un servicio eficaz, y
eficiente, con los requerimientos de calidad esperada. Una administración eficiente de los Riesgos,
sería entonces una aproximación científica de su comportamiento, anticipando posibles pérdidas
accidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de
pérdidas o el impacto financiero de las pérdidas que puedan ocurrir.
Responsables:
Departamento de Auditoría
Supervisor
Jefe de Grupo
Auditor
9
� Estándares:
Consiste en una Guía, con determinado aspectos a evaluar, por cada subproceso, el cual
debe concluir con una evaluación, la cual se deberá clasificar según la probabilidad de ocurrencia y
el Impacto ante la misma.
Deberá además de resumirse, representarse en un gráfico, con el fin de elaborar el
consecuente Plan de Acción para reducir la probabilidad de ocurrencia.
Controles:
Frecuentemente debe evaluarse el comportamiento de cada subproceso y por cada área de
trabajo.
10
