AUDITORÍA BASADA EN RIESGOS

Tema IV. Riesgos

Manual para curso no presencial

INSTITUTO DE CAPACITACIÓN Y DESARROLLO EN FISCALIZACIÓN

SUPERIOR

1a. edición V.2, noviembre 2020

Copyright © ASF

1a. edición V.2, noviembre 2020

Copyright © ASF
 ADVERTENCIA
Queda estrictamente prohibido en cualquier formato copiar, reproducir, publicar, transmitir o
distribuir todo o parte del manual para fines distintos al estudio sin previa autorización de la ASF.

La utilización de este manual con fines de lucro o diferentes al estudio constituye una violación de
los derechos de autor y otros derechos de propiedad intelectual de la ASF.

Página 2 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
 Índice

IV. Riesgos
Objetivo 5
1. Riesgos (Conceptualización) 5
2. Identificación de riesgos con respecto de los objetivos 7
3. Principios fundamentales en los que se apoya la identificación de riesgos 7
4. Tipología de los riesgos 9
5. Evaluación de riesgos 11
A. Considerando el principio 8 de COSO 12
B. Considerando el principio 9 de COSO 13
Fuentes de información 14

Página 3 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
 Tema IV.
Riesgos

ADVERTENCIA
Queda estrictamente prohibido en cualquier formato copiar, reproducir, publicar, transmitir o
distribuir todo o parte del manual para fines distintos al estudio sin previa autorización de la ASF.

La utilización de este manual con fines de lucro o diferentes al estudio constituye una violación de
los derechos de autor y otros derechos de propiedad intelectual de la ASF.

Página 4 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
Objetivo

Conocer los diferentes conceptos y tipos de riesgos para facilitar su identificación y evaluación.

1. Riesgo (Conceptualización)

La Real Academia de la Lengua Española define el riesgo como la contingencia o proximidad

de un daño.1 En sentido estricto, el riesgo implica solamente la posibilidad de sufrir daño o
pérdida.

En el contexto del proyecto, la identificación del riesgo también se refiere a las oportunidades
(resultados positivos) así como las amenazas (resultados negativos).

La administración de riesgos son los medios a través de los cuales la incertidumbre se maneja
de forma sistemática, para aumentar la probabilidad de lograr los objetivos del proyecto.

Todas las actividades de las organizaciones y entidades suponen un riesgo, y no se debe

comenzar ninguna actividad sin analizar los posibles riesgos asociados y los impactos que
podrían tener sobre los objetivos y metas de la organización; hoy en día, organizaciones que
estaban sólidamente establecidas están cerrando por no tener una gestión de riesgo
institucional adecuada al entorno global, nacional y local actual.

Todos los riesgos que se relacionan con las condiciones económicas, las catástrofes naturales,
el descontento político, la competencia, la legislación y tecnología provocan un impacto en el
cumplimiento de los objetivos operativos, el logro de estos objetivos se relaciona también con
la adhesión a las leyes fiscales, los logros de la industria y los requerimientos reglamentarios.

En el sector público los riesgos en caso de materializarse pueden provocar la debilidad

financiera, ineficacia de las operaciones, baja calidad en los servicios o productos que presta,
así como en la imagen que proyecta a la ciudadanía.

La entidad deberá estar consciente y encargarse de los riesgos a los que se enfrenta;
establecer objetivos, que estén integrados con las actividades de ventas, producción,
marketing, de finanzas y de otro tipo para que la organización opere en armonía; así como,
determinar mecanismos para identificar, analizar y administrar los riesgos relacionados.

Toda entidad debe hacer frente a una serie de riesgos tanto de origen interno como externo
que deben evaluarse, una condición previa a la evaluación de los riesgos es el establecimiento
de objetivos en cada nivel de la organización que sean coherentes entre sí.

1
Real Academia Española: Diccionario de la lengua española, 23.ª ed. Obtenido de [Link]

Página 5 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
La noción de riesgo suele utilizarse como sinónimo de peligro, el riesgo, sin embargo, está
vinculado a la vulnerabilidad, mientras que el peligro aparece asociado a la factibilidad del
perjuicio o daño. Es posible distinguir, por lo tanto, entre riesgo (la posibilidad de daño) y
peligro (la probabilidad de accidente). En otras palabras, el peligro es una causa del riesgo.

El riesgo es un concepto usado para expresar preocupaciones acerca de los efectos probables
de un ambiente incierto. Las organizaciones procuran alcanzar metas a través de
oportunidades, las cuales constituyen posibilidades positivas, las posibilidades negativas
potenciales asociadas con la consecución de metas son denominadas riesgos.

Para Juan Ramón Santillana González (2015):

“Riesgo es la posibilidad, y su posible impacto, de que un evento adverso obstaculice o impida

el logro de los objetivos y metas institucionales, o que incida negativamente en el
funcionamiento y resultados de una entidad.”2

Asimismo, tenemos que la gestión de riesgos es un proceso para identificar, evaluar,

administrar y controlar eventos o situaciones potenciales, y que permita proporcionar una
seguridad razonable respecto del logro de los objetivos de la organización, ante la inevitable
presencia de riesgos y de su posible materialización, los controles son los medios por los
cuales se determina el grado de riesgo.

Para la Secretaría de la Función Pública (SFP) el riesgo es la probabilidad de que ocurra uno
o más eventos no deseados que pudieran obstaculizar o impedir el logro de las metas y
objetivos institucionales, generalmente están conformados por causas, efectos o factores
dependientes o independientes entre sí y que, con base en éstos, se podrá valorar la
relevancia o grado de atención de estos.

Existen riesgos de distinto tipo y que surgen en diferentes ámbitos:3

• El riesgo laboral, permite hacer referencia a la falta de estabilidad o seguridad en un
trabajo.
• El riesgo biológico, hace mención de la posibilidad de contagio en medio de una epidemia
o por el contacto con materiales biológicos que son potencialmente peligrosos.
• El riesgo financiero, está relacionado a la solvencia monetaria de una persona, una
empresa o un país. Esta noción se refiere a la capacidad de pago de una deuda contraída.
• El riesgo País, Un Estado - Nación con altos niveles de desocupación, baja producción,
elevada inflación y grandes deudas, presenta un riesgo financiero muy alto. Por eso, es
poco probable que dicha nación acceda a nuevos créditos, ya que se enfrentaría a serias
dificultades para pagarlos.

2
Santillana González Juan R. (2015). Sistemas de Control interno, 3ra ed. México. Pearson.
3
Definició[Link]. Definición de riesgo. Obtenido de: [Link]

Página 6 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
El riesgo es un proceso dinámico cuyos escenarios son cambiantes, el riesgo existe y cambia
antes, durante y después del desastre.

2. Identificación de riesgos con respecto de los objetivos

La identificación de riesgos implica un concepto de trabajo que se vincule con los objetivos de
la organización, se debe reconocer su carácter dinámico y la necesidad de abordar su
seguimiento en forma permanente y participativa por su carácter orgánico.

Es un proceso iterativo, y generalmente integrado a la estrategia y planificación. En este

proceso es conveniente "partir de cero", esto es, no basarse en el esquema de riesgos
identificados en estudios anteriores e identificar su vinculación directa o indirecta con la misión,
la visión, los objetivos y las metas de la organización.

Su desarrollo debe comprender la realización de un análisis del riesgo, que incluya la

especificación de los dominios o puntos claves del organismo, la identificación de los objetivos
generales y particulares y las amenazas y riesgos que se pueden afrontar.

3. Principios fundamentales en los que se apoya la identificación de

riesgos4

El análisis del riesgo ayuda a las personas encargadas de tomar decisiones y a los directivos
a entender la gestión de riesgos y cómo pueden afectar a la consecución de sus objetivos, y a
la capacidad de eficiencia de los controles ya implantados.

Para la identificación de riesgos es necesario tener en cuenta que:

• Los riesgos son dinámicos y cambian con el tiempo

• La tendencia natural es a menospreciar los riesgos y rechazar el control
• La identificación de riesgos es un trabajo continuo y de equipo
• La persona más idónea para identificar y evaluar un riesgo es aquella que tiene la
necesidad de afrontarlo
• La identificación de riesgos es una tarea técnica que se apoya en el Análisis de
Incidentes Críticos

El objetivo de la identificación del riesgo es conocer los sucesos que se pueden producir en la
organización y las consecuencias que puedan tener sobre los objetivos de la empresa. Una
vez realizado este paso, se deben identificar los controles implantados.

4
Escuela Europea de excelencia. Gestión de riesgos: Identificación y análisis de riesgos. Obtenido de
[Link]

Página 7 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
Considerando el modelo COSO 2013 y con base en el principio 7, tenemos que:5

La organización identifica riesgos para el logro de sus objetivos a través de la entidad y los
analiza como base para determinar cómo deben ser administrados.

• Incluye entidad, subsidiaria, división, unidad operativa y funcional.

• Analiza factores internos y externos.
• Involucra a los niveles adecuados de gestión.
• Estima la importancia de los riesgos identificados.
• Determina cómo responder a los riesgos.

Toda organización está expuesta a riesgos de diversa naturaleza tanto internos y externos
como se describen a continuación:

Externos
• Legales (legislación local, nacional e internacional).
• Naturales/medioambientales (cambio climático; contaminación; gestión de residuos).
• Políticos.
• Financieros (tipos de interés, tipos de cambio, políticas crediticias, fluctuaciones de
precios).
• Mercados (nuevos competidores, cambios de hábitos de consumo, etc.).
• Macroeconómicos,
• Demográficos (tasa de crecimiento de la población, envejecimiento relativo, políticas
migratorias).

Internos
• Estrategia (segmentación de clientes y mercados; diversificación actividades; etc.)
• Organización (renovación de plantillas; cambios organizativos; fusiones y
adquisiciones; gobierno corporativo; responsabilidad social corporativa)
• Operativos (producción y distribución; investigación, desarrollo e innovación; capital
intelectual; sistemas de información; gestión de residuos)
• Capital humano (cumplimiento legal, responsabilidad de directivos, seguridad laboral,
infidelidad de empleados, productividad; retención del talento...)

5
COSO II. Internal Control Integrated Framework. (Versión 2013). Obtenido de
[Link]

Página 8 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
4. Tipología de riesgos

Riesgo inherente
Es el riesgo existente ante la ausencia de alguna acción que la dirección pueda tomar para
alterar tanto la probabilidad o el impacto del mismo.

Los riesgos inherentes se determinan por la posibilidad y el impacto de la ocurrencia de un

acontecimiento, independientemente de los controles que puedan existir para abordarlo.
Entre los factores que llevan a la existencia de este tipo de riesgos esta la naturaleza de las
actividades económicas, como también la naturaleza de volumen tanto de transacciones como
de productos y/o servicios, además tiene relevancia la parte gerencial y la calidad de recurso
humano con que cuenta la entidad.

Riesgo residual
Es aquel riesgo que subsiste, después de haber implementado controles. Es importante
advertir que el nivel de riesgo al que está sometida una compañía nunca puede erradicarse.
Por ello, se debe buscar un equilibrio entre el nivel de recursos y mecanismos que es preciso
dedicar para minimizar o mitigar estos riesgos y un cierto nivel de confianza que se puede
considerar suficiente (nivel de riesgo aceptable).

• Puede verse como aquello que separa a la organización de la seguridad absoluta.

• Permanece después de que la dirección desarrolle sus respuestas a los riesgos.
• Refleja el riesgo remanente una vez se han implantado de manera eficaz las acciones
planificadas por la dirección para mitigar el riesgo inherente.

Para los fines de la evaluación de riesgos, la evaluación de los riesgos residuales debe
mantenerse sin cambios y con la aceptación de la administración. Estas acciones pueden
incluir las estrategias de diversificación relativas a las concentraciones de clientes, productos
u otras, las políticas y procedimientos que establezcan límites, autorizaciones y otros
protocolos, el personal de supervisión para revisar medidas de rendimiento e implantar
acciones al respecto o la automatización de criterios para estandarizar y acelerar la toma de
decisiones recurrentes y la aprobación de transacciones.

Riesgo de detección
Este tipo de riesgo está directamente relacionado con los procedimientos de auditoría por lo
que se trata de la no detección de la existencia de error en el proceso realizado. La
responsabilidad de llevar a cabo una auditoria con procedimientos adecuados es total
responsabilidad del grupo auditor, es tan importante este riesgo que bien trabajado contribuye
a debilitar el riesgo de control y el riesgo inherente de la compañía.

Tipos de riesgo organizacional

Según el área de la organización o el problema se puede dividir el riesgo en diferentes tipos,
teniendo en cuenta que una adecuada gestión del riesgo en todos estos aspectos es
fundamental.

Página 9 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
 Riesgo de Cese: Es un indicador de la probabilidad que tiene la empresa de cerrar en las
próximas fechas debido a su incapacidad de generar más negocio, o bien por altos
volúmenes de endeudamiento, por escasa rentabilidad o por grandes problemas de
liquidez.
Riesgo de Impago: Es la probabilidad de que una empresa no pueda abonarte una factura
en tiempo o bien que no te la pague nunca. Está muy relacionada con la capacidad de
liquidez de la empresa, su comportamiento en los pagos y su aparición en ficheros de
morosos como el RAI o Experian Bureau Empresarial.
Riesgo Corporativo: No es propiamente el de la empresa sino el de sus accionistas y
participadas que pueden suponer un lastre. Si el accionista tiene un riesgo de cese muy
alto, esto afectará de forma directa a la empresa participada.
Riesgo País: En operaciones internacionales hay que analizar también el riesgo
empresarial internacional que supone el país con el que estamos tratando, pues
situaciones conflictivas o de alto riesgo país pueden encarecer mucho las operaciones
internacionales.
Riesgo Legal: Hay muchos requisitos legales a la hora de realizar negocios con una
empresa, si alguno de los directivos de la empresa se encuentra en el listado de sanciones
internacionales o es una empresa que está vinculada a actividades delictivas, se puede
incurrir también en un delito.
Riesgo estratégico: Se define como el impacto actual y futuro en los ingresos y el capital
que podría surgir de las decisiones adversas de la organización, la aplicación indebida de
las decisiones, o la falta de capacidad de respuesta a los cambios de la industria. Este
riesgo es una función de la compatibilidad de los objetivos estratégicos de la Entidad, las
estrategias desarrolladas para alcanzar dichos objetivos, los recursos utilizados en contra
de estos objetivos, así como la calidad de su ejecución. Los recursos necesarios para llevar
a cabo las estrategias de negocios son evaluados en relación con el impacto de los
cambios económicos, tecnológicos, competitivos y regulatorios.

La Secretaría de la Función Pública clasifica los riesgos de las Entidades como:

Riesgo Estratégico: requiere para su atención acciones conjuntas del área que lo detecta,
de instancias internas de la propia Institución y, en su caso, de acciones externas de otras
dependencias o entidades.
Riesgo Directivo: requiere para su atención, acciones del área que lo detecta y de otras
instancias internas de la entidad o dependencia.
Riesgo Operativo: puede ser atendido por el área que lo detecta, sin necesidad de otro
apoyo.

Página 10 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
Riesgo de cumplimiento: se asocian con el cumplimiento de los requisitos legales,
contractuales, de ética pública, compromiso ante la comunidad. Una amenaza existente o
emergente relacionada con un incumplimiento legal o de política interna, o violación del código
de ética/conducta, que podría resultar en violaciones civiles o penales, y generar
consecuencias financieras negativas, deterioro de la imagen de la marca o de la reputación.

Riesgos de fraude: son comunes en un sistema de control interno. Prevenir el fraude implica
desarrollar un buen sistema que divida los deberes de cada empleado, los empleados que
aceptan pagos tienen que diferenciarse de los empleados que hacen depósitos. Un empleado
que ingrese transacciones de cheques no debería también conciliar las cuentas de cheques.

Es vital un sistema con la documentación adecuada para evitar el fraude; todas las
transacciones deberían rastrearse a su punto de origen, estos procedimientos son útiles para
detectarlo a través de incidentes inusuales.

Los empleados que parecen vivir con más ingresos de los que poseen suelen ser síntoma de
fraude, así como los documentos perdidos o alterados, las transacciones que no pueden
rastrearse también podrían indicar la presencia de un fraude.
Riesgo de corrupción: la posibilidad de que, por acción u omisión, mediante el uso indebido
de poder, de los recursos o de la información, se lesionen los intereses de una entidad y en
consecuencia del estado, para la obtención de un beneficio particular.
Riesgo de Tecnología: relacionados con la capacidad tecnológica de la Entidad para
satisfacer sus necesidades actuales y futuras.
Riesgos de control: la falta de control de los empleados es un riesgo que suele asociarse
con los controles internos. Incluso con un sistema de control interno efectivo, pueden ocurrir
riesgos si los empleados no se vigilan de forma periódica.
Los informes y evaluaciones regulares deberían ser parte de un sistema de control interno.
Esto incluye inspecciones sorpresa de transacciones de cheques para determinar si cumplen
con las normas y políticas de la compañía. Los administrativos también deben controlar de
cerca los informes financieros y buscar siempre discrepancias o actividades irregulares. Los
administrativos también pueden realizar cuentas sorpresa de dinero y de bienes,
responsabilizando a los empleados por las discrepancias.

5. Evaluación de riesgos

La evaluación del riesgo consiste en la identificación y análisis de los factores que podrían
afectar la consecución de los objetivos y, con base en dicho análisis, determinar la forma en
que los riesgos deben ser administrados y controlados, debido a que las condiciones
económicas, industriales, normativas continuarán cambiando, es necesario disponer de
mecanismos para identificar y afrontar los riesgos asociados con el cambio.

Página 11 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
La evaluación de riesgo es probablemente el paso más importante en un proceso de gestión
de riesgos, y también el paso más difícil y con mayor posibilidad de cometer errores. Una vez
que los riesgos han sido identificados y evaluados, los pasos subsiguientes para prevenir que
ellos ocurran, protegerse contra ellos o mitigar sus consecuencias son mucho más
programáticos.

Parte de la dificultad en la gestión de riesgos es que la medición de los dos parámetros que
determinan el riesgo debe ser por aproximaciones, por lo cual se dice que es un proceso
subjetivo. La incertidumbre asociada a la medición de cada uno de los dos parámetros
(Probabilidad e Impacto) es por lo general grande. La gestión de riesgo también sería más
simple si fuera posible contar con una única métrica que refleje en la medición toda la
información disponible. Sin embargo, esto no es posible ya que se trata de medir dos
cantidades. Un riesgo con gran magnitud de pérdida o daño y una baja probabilidad de
ocurrencia debe ser tratado en forma distinta que un riesgo con una reducida magnitud de
pérdida o daño y una alta probabilidad de ocurrencia.

La gestión de riesgo es un proceso que efectúa el consejo directivo, la dirección y otro personal
de una entidad, se aplica al establecimiento de estrategias y en toda la empresa, se concibe
para identificar los eventos potenciales que pueden afectar a la entidad, así como para
administrar los riesgos que se encontrarán dentro de su apetito de riesgos, con la finalidad de
proporcionar un aseguramiento razonable respecto del logro de los objetivos de la entidad.

A. Considerando el principio 8 de COSO:6

La organización reconoce la posibilidad de fraude en la evaluación de riesgos para el logro de

objetivos.

Supone distintos tipos de fraude.

La evaluación de fraude considera reporte fraudulento, posible pérdida de activos y corrupción
resultantes de las diversas formas en que el fraude puede ocurrir.

Evalúa incentivos y presiones para cometer fraude.

La evaluación de riesgos de fraude contempla incentivos y presiones.

Evalúa oportunidades para cometer fraude.

La evaluación de riesgos de fraude considera oportunidades para adquisición, uso o
disposición no autorizada de activos, alteración de los registros de la entidad o comisión de
otros actos inapropiados.

Evalúa actitudes y racionalizaciones.

La evaluación de riesgos de fraude advierte como la administración y otro personal puede
involucrarse en o justificarse actos inapropiados.

6
COSO II. Internal Control Integrated Framework. (Versión 2013). Obtenido de
[Link]
Página 12 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
B. Considerando el principio 9 de COSO: 7

La organización identifica y evalúa cambios que pueden impactar significativamente el sistema

de Control Interno.

Evalúa cambios en el contexto.

El proceso de identificación de riesgos supone cambios en el ambiente regulatorio, económico
y físico en que opera.

Evalúa cambios en el modelo de administración.

La organización considera el impacto potencial en el control interno producidos por cambios
en el modelo de negocio, por nuevas actividades o variación significativa de las existentes,
fusiones y escisiones, operaciones en el exterior, rápido crecimiento o nuevas tecnologías,
entre otras.

Evalúa cambios en el liderazgo.

La organización prevé cambios en la administración y las respectivas actitudes y filosofías
sobre el sistema de control interno.

7
COSO II. Internal Control Integrated Framework. (Versión 2013). Obtenido de
[Link]

Página 13 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF
 Fuentes de información

Real Academia Española: Diccionario de la lengua Española, 23.ª ed. Obtenido de

[Link]

Santillana González Juan R. (2015). Sistemas de Control interno, 3ra ed. México. Pearson.

Marco Integrado de Control Interno para el Sector Público. (2014). SFP y ASF

COSO II. Internal Control Integrated Framework. (Versión 2013). Obtenido de

[Link]

Blog de calidad ISO. (29 de octubre de 2015). ¿Qué es la gestión de riesgos empresariales?
Obtenido de: [Link]

Definició[Link]. Definición de riesgo. Obtenido de: [Link]

Escuela Europea de excelencia. Gestión de riesgos: Identificación y análisis de riesgos.

Obtenido de [Link]
identificacion-analisis/

Página 14 de 14
1a. edición V.2, noviembre 2020
Copyright © ASF