Universidad Mariano Gálvez de Guatemala

Facultada: Ciencias Económicas

Jornada: Matutina
Sede: Escuintla
Curso: Seminario de Auditoria
Docente: Lic. Ronaldo Adiel Hernández

Auditoria Basada en Riesgo - Visión General

Escuintla, 17 de febrero del 2020

 AUDITORIA BASADA EN RIESGO

1 RIESGO

Un riesgo se define como un evento que puede afectar la marcha del proyecto o
un negocio en el futuro, de manera que está asociado a cualquier actividad que se
realice, y que plantee la posibilidad de decidir entre varias opciones. Si bien la
gestión de riesgos es un proceso que debe implementar la propia organización, la
creciente importancia que se le ha dado implica un reto para la profesión del
auditor, pues es precisamente la auditoría la que debe agregar valor a sus clientes
a través de la revisión que permita asegurar que los riesgos están siendo
administrados.
Representa un conocimiento estructurado, desde una perspectiva estratégica de
sistemas, que combina la determinación y valoración de los riesgos del negocio
con la evaluación de los controles que mitigan, trasladan o eliminan esos riesgos,
asentando un enfoque de juicio profesional sustentado en metodologías,
evidencias y encadenamientos lógicos.
La auditoría basada en riesgos es una forma de conducir las auditorías internas y
externas de diferentes tipos, a partir de la planeación y desarrollo en los riesgos
críticos, es decir, los que pudieran causar mayor impacto negativo en la obtención
de objetivos de la organización (estratégicos, operacionales, de información y de
cumplimiento) con el fin de identificar si las operaciones y los productos o servicios
se ajustan a lo establecido en las reglas del negocio, las buenas y mejores
prácticas de control interno y seguridad, y a las normas legales aplicables.

1.1 AUDITORIA INTERNO

La auditoría interna basada en riesgos se enfoca en evaluar y verificar que los

procesos o sistemas auditados satisfagan objetivos y necesidades de una
organización de forma eficaz, eficiente y segura, con énfasis en el hecho de que
activos y recursos utilizados en las operaciones del negocio estén provistos de
controles para reducir los riesgos inherentes a niveles aceptables de riesgo
residual.

1.2. AUDITORÍA EXTERNA.

De estados financieros consiste en que un revisor independiente determine si, de

manera razonable, la información contenida en los estados contables refleja la
realidad de la organización. En relación con este tipo de auditorías, el riesgo

2
principal para un auditor es que haya afirmaciones erróneas en los estados
financieros, que puedan afectar de manera material su contenido.

Específicamente, el auditor se enfrenta a tres tipos de riesgos al desarrollar una

auditoría externa de estados financieros:

• Riesgo inherente. Está relacionado de manera directa con la actividad

económica de la empresa, independientemente de los sistemas de control
interno.
• Riesgo de control. Para el que influyen los sistemas de control interno
implementados en la empresa, los cuales podrían resultar insuficientes o
inadecuados para la aplicación y detección oportuna de irregularidades.
• Riesgo de detección. Está directamente asociado con los procedimientos
sobre auditoría. Se trata de la no detección de errores en el proceso
realizado. Una auditoría externa basada en riesgos se enfoca justamente
en evaluar los riesgos del negocio para comprender en qué aspecto de las
actividades de una organización existe una mayor exposición a que se
produzca información financiera errónea. La auditoría externa basada en
riesgos focaliza los esfuerzos del auditor en evaluar rubros, transacciones,
saldos u operaciones relevantes, dando menos atención a las de un nivel
inferior.

2 Riesgo según la ISO 9001

Entendemos como riesgo la probabilidad de que ocurra un evento. Un riesgo

puede ser negativo o positivo, en el caso de ser positivo, tenderemos a
interpretarlo como una oportunidad, ya que nos facilitará el camino para obtener
un resultado satisfactorio.
Un peligro es la situación mediante la que un riesgo pasa a ser real y no una
probabilidad. En cuanto a los peligros, deben ser analizados, prevenidos y
corregidos, puesto que son los que aumentan considerablemente la aparición de
los riesgos. Podemos clasificar los peligros en intolerables y tratables, además de
los que debemos tener en cuenta, pero sin poder actuar sobre ellos, pues
dependen de factores que escapan de nuestro alcance.

2.1 Gestionar riesgos con ISO 9001

Los riesgos no son algo que podamos eliminar, no podemos decidir sobre si están
o no, sin embargo, podemos reducir al mínimo los peligros que puedan causar
problemas mediante una buena gestión de calidad.
Actualmente, según ISO 9001 no hay ningún requisito ni proceso para la gestión
de riesgos, las Organizaciones pueden decidir si quieren desarrollar o no algún
3
método para contrarrestarlos, teniendo en cuenta que, si se adopta el
pensamiento basado en riesgos, requerirá de la implantación de nuevas
actividades y rutinas en la empresa como controles de calidad que permitan
minimizar los efectos negativos.
Si con el transcurso del tiempo estos riesgos se convierten en oportunidades que
faciliten la consecución del objetivo previsto, deben ser aprovechadas, incluyendo
en todo momento la consideración de factores externos que puedan dificultar el
proceso, puesto que la incertidumbre es algo con lo que siempre se debe contar.
Estas oportunidades pueden llevar a la adopción de nuevas alternativas,
lanzamiento de nuevos productos, contacto con nuevos clientes y otras tantas
posibilidades que puedan resultar beneficiosas.

2.2 Perspectiva de riesgos según la norma ISO 9001

Desde la perspectiva de la gestión de riesgos en la calidad de la empresa

encontramos dos puntos muy importantes:
• Énfasis al enfoque basado en los procesos
• Nivel de prevención de máximo nivel.
El primero está estrechamente relacionado con el tamaño de la organización o
empresa, la complejidad de sus procesos y si el personal cuenta con las
competencias necesarias.
El segundo sería uno de los más relevantes dentro de la norma ISO 9001, ya que
pasa de acciones preventivas a pequeña escala a una prevención de alto nivel,
abordando la gestión de riesgos de una forma más explícita.

2.3 Matriz de riesgos AMFE en ISO 9001

Otra herramienta muy utilizada en la gestión de riesgos es el método AMFE o

AMEF, caracterizado por ser capaz de anticipar el fallo antes de que ocurra
tomando medidas preventivas, y por requerir del trabajo en equipo para la correcta
funcionalidad de esta metodología.
Para realizar un análisis correcto, el método o matriz AMFE cuenta con ciertos
pasos:
• Numeración de los posibles fallos existentes mediante un equipo de trabajo
con experiencia en la creación de productos.

4
 • Una vez que contamos con los fallos, se establece un índice de prioridad
dependiendo de factores como la gravedad del fallo, la probabilidad de que
ocurra y de que no se detecten los mismos antes de la utilización del
producto.
• Finalmente, cuando se ha establecido el Número de Prioridad de Fallo, se
clasificará de mayor a menor. Los de mayor nivel se solucionarán antes que
los de menor nivel, estando ambos controlados en todo momento
indiferentemente de su gravedad.
Este tipo de herramienta es capaz de brindar a la empresa numerosos beneficios,
puesto que, asegura la satisfacción del cliente, prevé y evita accidentes,
consiguiendo así reducir los costos que podrían producirse por multas o
penalidades, además de una imagen con connotación negativa no deseada de la
empresa. En definitiva, asegura a la organización el no tener que volver a incidir
sobre el proceso de realización de los productos o servicios.

3 Norma ISO 31000

3.1 Sistemas de Gestión de Riesgos

La ISO 31000 es una norma internacional que ofrece las directrices y principios
para gestionar el riesgo de las organizaciones.
Esta norma fue publicada en 2018 por la Organización Internacional de
Normalización (ISO) en colaboración con IEC, y tiene por objetivo que
organizaciones de todos los tipos y tamaños puedan gestionar los riesgos en la
empresa de forma efectiva, por lo que recomienda que las organizaciones
desarrollen, implanten y mejoren continuamente un marco de trabajo cuyo objetivo
es integrar el proceso de gestión de riesgos en cada una de sus actividades.

3.2 Estructura de la norma ISO 31000

La variedad y complejidad de los riesgos es muy diversa por lo que este estándar
internacional desarrollado por la ISO (nternational Organization for
Standardization) no está pensado para un sistema particular de gestión, más bien
es una guía de buenas prácticas para las actividades relacionadas con la gestión
de riesgos.

5
El diseño y la implantación de la gestión de riesgos dependerán de las diversas
necesidades de cada organización, de sus objetivos concretos, contexto,
estructura, operaciones, procesos actividades, servicios, etc.
El estándar ISO 31000 está estructurado en tres elementos claves para una
efectiva gestión de riesgos:
• los principios para la gestión de riesgos: para una mayor eficacia, la gestión
del riesgo en una organización
• la estructura de soporte o marco de Trabajo. El objetivo de este elemento
es integrar el proceso de gestión de riesgos con la dirección, para que esta
adquiera un fuerte compromiso con la implantación de la Gestión del
Riesgo.
En este caso la norma establece una serie de órdenes que debe cumplir la
gerencia para asegurar la efectividad de la gestión de riesgos
• el proceso de gestión de riesgos: este proceso consta de tres etapas:
establecimiento del contexto, valoración de riesgos y tratamiento de los
mismos.

3.3 Los principios para la gestión de riesgos

Según la norma ISO31000, los principios para la gestión de riesgos son los
siguientes:
• Crear y proteger el valor. Contribuye a la consecución de objetivos, así
como la mejora de ciertos aspectos tales como la seguridad y salud laboral,
cumplimiento de los requisitos legales, protección ambiental, etc.
• Estar integrada en los procesos de una organización. No debe ser
entendida como una actividad aislada sino como parte de las actividades y
procesos principales de una organización.
• Formar parte de la toma de decisiones. La gestión del riesgo ayuda a la
toma de decisiones evaluando la información sobre las distintas
alternativas.
• Tratar explícitamente la incertidumbre. La gestión del riesgo trata aquellos
aspectos de la toma de decisiones que son inciertos, la naturaleza de esa
incertidumbre y como puede tratarse.
• Ser sistemática, estructurada y adecuada. Contribuye a la eficiencia y,
consecuentemente, a la obtención de resultados fiables.

6
 • Basarse en la mejor información disponible. Los inputs del proceso de
gestión del riesgo están basados en fuentes de información como la propia
experiencia, la observación y la opinión de expertos.
• Estar hecha a medida. La gestión del riesgo está alineada con el contexto
externo e interno de la organización y con su perfil de riesgo.
• Tener en cuenta factores humanos y culturales. Reconoce la capacidad y
percepción de los empleados y personas interesadas, esto puede facilitar o
dificultar la consecución de los objetivos de la organización.
• Ser transparente e inclusiva. La apropiada y oportuna participación de los
grupos de interés (stakeholders) y, en particular, de los responsables a
todos los niveles, asegura que la gestión del riesgo permanece relevante y
actualizada.
• Ser dinámica, iterativa y sensible al cambio. La organización debe velar
para que la gestión del riesgo detecte y responda a los cambios de la
empresa y de su entorno.
• Facilitar la mejora continua de la organización. Las organizaciones deberían
desarrollar e implementar estrategias para mejorar continuamente, tanto en
la gestión del riesgo como en cualquier otro aspecto de la organización.

4 TIPOS DE AUDITORIA.

Cuando se habla de auditoria se podría pensar que es solamente una, pero en

realidad son muchas las ramas y todas son especializadas como, por ejemplo:

AUDITORIA INTERNA:

Es un proceso independiente y objetivo diseñado para aportar valor a una

empresa a través del análisis y evaluación de la eficacia de sus procesos de
gestión de riesgos, control y gobierno.

AUDITORIA EXTERNA:

Es un análisis llevado a cabo por un contador independiente. Por lo general, el

propósito de este tipo de auditoría es una certificación de los estados financieros
de una entidad. Esta certificación es necesaria para algunos inversionistas,
prestamistas y todas las empresas públicas.

AUDITORIAS INTEGRALES:

7
La auditoría integral como evaluación preventiva, permite validar los sistemas
administrativos, financiero, de cumplimiento y de gestión que gobiernan una
entidad, con el objeto de proponer alternativas para el logro adecuado de sus fines
y/o el mejor aprovechamiento de sus recursos.

AUDITORIA EN SISTEMAS FINANCIEROS:

Es un procedimiento que proporciona una revisión y validación de los

documentos contables de una empresa en un periodo determinado y verifica si se
cumple con las normas y leyes contables vigentes.

AUDITORIA EN SISTEMAS LEGALES:

Tiene por objetivo la identificación y detección de las contingencias y/o riesgos

jurídicos que pudiesen amenazar la estabilidad y desarrollo de su empresa,
sirviendo como guía o base en la regularización, prevención, conservación y
protección de su patrimonio.

AUDITORIA FISCAL:

La auditoría fiscal es aquella a través de la cual se verifica y analiza el correcto

registro y asentamiento de la información financiera de una empresa o un
particular, y se comprueba el cumplimiento de sus obligaciones tributarias ante el
Estado.

AUDITORIA ADMINISTRATIVA:

La auditoría administrativa se puede considerar como un examen integral de la

estructura de una organización, ya sea una empresa, institución o departamento
gubernamental o cualquier otra entidad.

AUDITORIA FORENSE:

Es una técnica que tiene por objeto participar en la investigación de fraudes, en

actos conscientes y voluntarios en los cuales se eluden las normas legales.

8
AUDITORIA DE RECURSOS HUMANOS:

Una auditoría de recursos humanos es un método a través del que se revisan las
políticas de una empresa, los procedimientos internos, la documentación y los
programas de recursos humanos con la finalidad de identificar puntos clave a
mejorar dentro de la organización.

Existían todas ellas hasta que se creó Estándar COSO en específico el ERM:

Y así nació la auditoria basada en riesgos, con ella vemos hacia adelante teniendo
una visión prospectiva para anticiparnos al futuro y esto al riesgo le queda muy
bien.
Porque el riesgo es la probabilidad de pérdida económica debido a la
incertidumbre futura.
La auditoría basada en riesgos ve los riesgos relevantes de manera objetiva.
COSO ERM considera que se deben evaluar los riesgos principalmente se
evalúan:
Riesgo de crédito, liquidez, mercado y operacional.

5 COSO ERM

El COSO ERM es un organismo de reconocimiento internacional donde se

establecen los marcos reguladores básicos de riesgo y cumplimiento en temas de
control interno.

COSO (Committee of Sponsoring Organizations of the Tradeway Commission) es

una organización compuesta por organismos privados, establecida en los EEUU,
dedicada a proporcionar un modelo común de orientación a las entidades sobre
aspectos fundamentales de:

• gestión ejecutiva y de gobierno,

• ética empresarial,
• control interno,
• gestión del riesgo empresarial,
• control del fraude, y
• presentación de informes financieros.

Evolución del Modelo COSO:

9
1992: publicación del Internal Control – Integrated Framework (Informe COSO o
COSO I), como un marco integrado para ayudar a las empresas a evaluar y
mejorar sus sistemas de control interno.

2004: se publica el Modelo COSO ERM (Enterprise Risk Management – Integrated

Framework) o COSO II, permitiendo a las compañías mejorar su gestión de control
interno mediante un proceso más completo de gestión del riesgo.

2013: publicación del modelo COSO III, actualizado en el modelo COSO ERM
2017, que mejora el Marco Integrado para permitir una mayor cobertura de los
riesgos a los que se enfrentan las organizaciones.

5.1 Gobierno y Cultura:

La organización debe reforzar la importancia y comprensión de su gestión del

riesgo, establecer las responsabilidades de supervisión necesarias para llevarla a
cabo y definir sus valores éticos a seguir.

Las acciones principales a desarrollar son los siguientes:

• Aprobar una política a seguir por el Consejo de administración para

supervisar el riesgo de la Entidad.
• Establecer la estructura operativa.
• Definir la cultura y valores deseados.
• La alta dirección debe demostrar el compromiso con los valores
fundamentales mediante, por ejemplo, la formación de comités y órganos
colegiados para el control de su cumplimiento.
• Atraer, desarrollar y retener al personal capacitado.

5.2 Estrategias y establecimiento de objetivos

Proceso de planificación estratégica mediante la definición de la gestión de riesgos

empresariales, estrategias y objetivos de trabajo y el establecimiento de un apetito
de riesgo alineado con ellos.

Para llevar a cabo este bloque, la organización debe:

• Analizar el contexto del negocio.

• Definir el apetito de riesgo.
• Evaluar estrategias a seguir.
• Formular los objetivos de negocio.

Desempeño:

Supone identificar y evaluar los riesgos que pueden afectar al logro de los
objetivos empresariales. Los riesgos se priorizan por gravedad según el apetito de

10
riesgo definido. A continuación, la organización selecciona las respuestas al riesgo
y comprueba la cantidad de riesgo que ha asumido.

Llevar a cabo este desempeño incluye:

• Identificar los riesgos.

• Evaluar la severidad de cada riesgo identificado.
• Identificar, seleccionar e implementar las respuestas al riesgo.
5.3 Revisión y monitorización

En la revisión del desempeño, la organización comprueba el funcionamiento de la

gestión de los riesgos corporativos a lo largo del tiempo, y a la vista de los
cambios sustanciales que se produzcan, decide qué revisiones o cambios son
necesarios.

Los puntos incluidos en la revisión son los siguientes:

• Evaluar los cambios relevantes que se hayan producido.

• Revisar los riesgos y el desempeño producido durante su gestión.
• Buscar la mejora en la gestión de los riesgos.

5.4 Información, comunicación y reporte.

La gestión de riesgos empresariales requiere un proceso continuo de obtener y

compartir la información necesaria, tanto de fuentes internas como externas. La
comunicación debe fluir hacia arriba y hacia abajo, en toda la organización.

Este apartado exige:

• Apoyar la gestión de riesgos con sistemas y tecnología.

• Utilizar canales de comunicación adecuados.
• Informar sobre riesgos, cultura y desempeño a todas las partes interesadas.

5.5 La metodología ERM de Gestión de Riesgos

La gestión de riesgos empresariales (ERM – Enterprise Risk Management, por sus

siglas en inglés) es una estrategia empresarial basada en planes que tiene como
objetivo identificar, evaluar y prepararse para cualquier riesgo o evento que pueda
afectar, tanto positiva como negativamente, a las operaciones y los objetivos de
una organización.

11
El objetivo del ERM es evaluar los riesgos relevantes para la compañía
(financieros, estratégicos y operativos), priorizar esos riesgos y tomar decisiones
informadas sobre cómo manejarlos. Los planes de gestión de riesgos que crean
estiman el impacto de varias amenazas y describen las posibles respuestas si uno
de estas amenazas se materializa.

Un proceso de ERM eficaz debería ser una herramienta estratégica importante

para los líderes del negocio. Los conocimientos sobre los riesgos que surgen del
proceso de ERM deben ser un insumo importante para el plan estratégico de la
organización.

Debido a que los riesgos surgen y evolucionan constantemente, es importante

comprender que ERM es un proceso que debe estar activo y vivo, con
actualizaciones y mejoras continuas.

La estructura del marco de gestión de riesgos corporativos se aplica

independientemente del tamaño de la institución o cómo una institución desea
categorizar sus riesgos, y es diseñado para ayudar a la gerencia y a las juntas
directivas a gestionar adecuadamente los siguientes aspectos principales:

• Identificación de todos los riesgos que puedan afectar a la estrategia y las

operaciones comerciales, y la interrelación entre ellos.
• Nivel de riesgo asumible.
• Cómo gestionar los riesgos (cultura, gobierno y políticas).
• Cómo obtener la información necesaria para gestionar los riesgos.
• Cómo controlar los riesgos.
• Cómo medir y evaluar los distintos riesgos.
• Qué respuesta dar ante los riesgos.
• Qué pruebas de respuesta ante escenarios perjudiciales son las más
adecuadas.

Uno de los principales modelos desarrollados para una gestión eficaz de riesgos
empresariales (ERM) es actualmente el Modelo COSO ERM 2017.

6 NORMA INTERNACIONAL DE AUDITORÍA 300

6.1 PLANEACIÓN DE UN A AUDITORÍA DE ESTADOS FINANCIEROS

Esta normativa se refiere a la responsabilidad del auditor para planear una

auditoría de estados financieros. Está formada bajo el argumento de auditorías
recurrentes. Se realiza la verificación de cada rubor por separado para identificar
consideraciones adicionales en un trabajo de auditoría de primer año.

12
LA FUNCIÓN Y OPORTUNIDAD DE LA PLANEACIÓN

Planear una auditoría implica establecer la estrategia general de auditoría y

desarrollar un plan de trabajo. La planeación adecuada de una auditoría de
estados financieros tiene los siguientes beneficios:

• Ayuda al auditor a dedicar la atención apropiada en las áreas importantes

de la auditoría.
• Ayuda al auditor a identificar y resolver problemas potenciales, de manera
oportuna.
• Ayuda al auditor a organizar y administrar, de forma apropiada, el trabajo de
auditoría, de modo que se desempeñe de manera efectiva y eficiente.
• Asistir en la selección de los miembros del equipo del trabajo con los
niveles apropiados de capacidades, así como la competencia para
responder a los riesgos previstos, y la asignación apropiada de trabajo a los
mismos.

6.2 OBJETIVO DE LA NIA 300

El objetivo del auditor es planear la auditoría para que ésta sea realizada de
manera efectiva.

6.3 REQUISITOS

PARTICIPACIÓN DE MIEMBROS CLAVE DEL EQUIPO DE TRABAJO

El socio del trabajo y otros miembros clave del equipo de trabajo deberán
involucrarse en la planeación de la auditoría, incluyendo la planeación y
participación en la discusión entre miembros del equipo de trabajo.

ACTIVIDADES PRELIMINARES DEL TRABAJO

El auditor deberá realizar las siguientes actividades al inicio del trabajo de

auditoría recurrente:
a) Desempeñar procedimientos que requiere la NIA 220, respecto a la
continuidad de la relación del cliente y del trabajo de auditoría específico, y

b) Evaluar el cumplimiento con los requisitos éticos relevantes, incluyendo la

independencia,

13
 c) Establecer un entendimiento de los términos del trabajo, según requiere la
NIA 210 en su párrafo 3 donde indica las premisas de la auditoría, las
cuales son:

(a) la determinación de si concurren las condiciones previas a una

auditoría; y
(b) la confirmación de que existe una comprensión común por parte del
auditor y de la dirección y, cuando proceda, de los responsables del
gobierno de la entidad acerca de los términos del encargo de
auditoría.

6.4 PLANEACIÓN DE LAS ACTIVIDADES

El auditor deberá establecer una estrategia general de auditoría que fije el

alcance, oportunidad y dirección de la auditoría, y que guíe el desarrollo del plan
de auditoría. Al establecer la estrategia general de auditoría, el auditor deberá:
a) Identificar las características del trabajo que definen su alcance;

b) Confirmar los objetivos de los informes del trabajo para planear la

programación de la auditoría y la naturaleza de las comunicaciones que se
requieran;

c) Considerar los factores que a juicio profesional del auditor, sean

importantes para dirigir los esfuerzos del equipo de trabajo;

d) Considerar los resultados de las actividades preliminares del trabajo y,

cuando sea aplicable, si el conocimiento obtenido en otros trabajos
desempeñados por el socio del trabajo para la entidad es relevante; y

e) Confirmar la naturaleza, oportunidad y extensión de los recursos necesarios

para desempeñar el trabajo.

El auditor deberá desarrollar un plan de auditoría que deberá incluir una

descripción de:
a) La naturaleza, oportunidad y alcance de los procedimientos de auditoría
planeados para la evaluación del riesgo.

b) La naturaleza, oportunidad y alcance de los procedimientos de auditoría

adicionales planeados a nivel aseveración.

14
 c) Otros procedimientos de auditoría planeados que se requieran realizar para
que el trabajo cumpla con las NIA.

El auditor deberá actualizar y cambiar la estrategia general de auditoría y el plan

de auditoría, según sea necesario, durante el curso de la auditoría. El auditor
deberá planear la naturaleza, oportunidad y alcance de la dirección y supervisión
de los miembros del equipo de trabajo y de la revisión de su trabajo.

6.5 DOCUMENTACIÓN

El auditor deberá incluir en la documentación de auditoría:

a) La estrategia general de auditoría;

b) El plan de auditoría; y

c) Cualesquier cambios importantes hechos durante el trabajo de auditoría a

la estrategia general de auditoría o al plan de la misma, y las razones para
tales cambios.

6.6 CONSIDERACIONES ADICIONALES EN TRABAJOS DE AUDITORÍA DE

PRIMER PERIODO

El auditor deberá emprender las siguientes actividades antes de comenzar una

auditoría de primer año:
a) Realizar los procedimientos que requiere la NIA 220, respecto a la
aceptación del cliente y del trabajo de auditoría específico; y

b) Comunicarse con el auditor precursor, cuando haya habido un cambio de

auditores, en cumplimiento con los requisitos éticos relevantes.

7 PASO PARA EFECTUAR UNA AUDITORIA BASADA EN RIESGOS

Las auditorías de riesgos pueden ser rutinarias o responder a una necesidad

extraordinaria. En el primer caso, suelen obedecer a una programación anual.
Bien se trate de una auditoría de riesgos planificada o sobrevenida, los pasos a
seguir son:
1. Conformar el equipo de auditoría

15
 La auditoría, dependiendo del tamaño y la complejidad de la organización,
puede requerir un equipo. El auditor líder o el auditor único que se encargue
de la tarea debe ser un profesional con suficiente experiencia en el área de
gestión de riesgos, que, además, domine las técnicas de auditorías
internas. El auditor debe gozar de cierto grado de independencia.

2. Realizar una reunión de apertura de la auditoría

Con el equipo de auditoría conformado, o con la designación del auditor

interno, podemos pasar a la auditoría sobre el terreno. Durante la reunión
de apertura el auditor comunica a los empleados los objetivos, el alcance y
la metodología que utilizará para llevar a cabo la tarea.
Asimismo, informará a los empleados que pretende entrevistar para
asegurar su disponibilidad. Finalmente, la reunión de apertura termina con
la comunicación del cronograma de actividades y el tiempo esperado para
su cumplimiento.

3. Lista de verificación de documentos y revisión de procesos

Es la obtención o elaboración de una lista de verificación en la que el

auditor incluya todos los documentos que revisará, los procesos que
observará y los controles que verificará.

Una checklist de auditoría asegurará que nada quede fuera de la

revisión. Gracias a esta valiosa herramienta, el auditor adquiere una
comprensión real de la dimensión de la tarea y de los puntos críticos en los
que debe enfocar su atención.

4. Recolección de información, documentos y evidencias

El auditor y su equipo deben seguir rigurosos protocolos. Esto implica que

se debe guardar reserva sobre el contenido de las entrevistas,
documentarlas de forma suficiente, registrar hora, lugar y condiciones
precisas de las mismas o de cualquier actividad en la que se recolecte
información o evidencias.

Es importante que se acometa esta etapa en el menor tiempo posible y es

recomendable que se realice en horario de trabajo para evitar comentarios
sobre las actividades y sobre el trabajo del auditor no relacionados con la
finalidad de la auditoría.

5. Analizar las evidencias y generar los informes

Los informes en una auditoría de riesgos son substancialmente diferentes a

los de otras actividades de este tipo análogas. Los hallazgos que se

16
 reportan en estos informes son en esencia riesgos no identificados con
anterioridad.

Los informes en auditorías de riesgos incluyen recomendaciones para la

eliminación, mitigación o tratamiento de los riesgos encontrados,
pero también se informa sobre la causa raíz de los problemas que
impidieron la identificación, evaluación y tratamiento oportuno de los
riesgos objeto del informe.

6. Monitoreo y seguimiento

El mismo informe final, usualmente dirigido a la Alta Dirección, incluirá los

mecanismos de control, monitoreo y seguimiento que el auditor considere
procedentes, y los tiempos que determina para su aplicación. Tanto los
informes de auditoría, como los resultantes de las actividades de
seguimiento y monitoreo, son material imprescindible para la próxima
evaluación.

8 NORMA INTERNACIONAL DE AUDITORIA 315

8.1 IDENTIFIACAFCION Y VALORACION DE LOS RIESGOS DE

INCORRECCION MATERIAL.

Es la normativa sobre la responsabilidad del auditor, identificar y valorar los

riesgos de incorrección material en los estados financieros, mediante el
conocimiento de la entidad y de su entorno, incluido el control interno de la
entidad.

8.2 OBJETIVO DE LA NIA 315

Identificar y valorar los riesgos de incorrección material, debida a fraude o error,

tanto en los estados financieros como en las afirmaciones, mediante el
conocimiento de la entidad y de su entorno, incluido su control interno, con la
finalidad de proporcionar una base para el diseño y la implementación de
respuestas a los riesgos valorados de incorrección material.

EL AUDITOR EXTERNO TIENE LA TAREA DE REALIZAR LAS SIGUIENTES

ACTIVIDADES.

• Identificar riesgos.

17
 • Evaluar su susceptibilidad a distorsiones (errores) en la información
financiera, incluyendo errores o fraudes.
• Evaluar las medidas (controles) que la empresa ha puesto a funcionar para
minimizar los riesgos.
• Diseñar procedimientos de auditoría que pongan a prueba esas medidas,
para aprovecharlas y que los demás procedimientos a aplicar, con
posterioridad, se realicen a la luz de combinaciones de riesgos bajos, en los
que se apoye la confianza profesional.

8.3 IDENTIFICACION Y EVALUACION DEL REIEF

La norma requiere que el auditor identifique y evalúe los riesgos de error

importante a nivel de los estados financieros y de las aseveraciones incluidas en
éstos para las clases de transacciones, las cuentas de balance y las revelaciones
que le proporcionen una base para el diseño y la aplicación de procedimientos de
auditoría, posteriores. Para estos propósitos, el auditor deberá: Identificar, durante
el proceso de entendimiento de la entidad y de su entorno, los riesgos, incluyendo
los controles relevantes relacionados con los riesgos, teniendo en cuenta las
clases de transacciones, las cuentas de balance y las revelaciones de los estados
financieros. Evaluar los riesgos identificados y evaluar si éstos están relacionados,
de manera dominante con los estados financieros en su conjunto y si,
potencialmente, afectan a muchas aseveraciones.

Relacionar el riesgo identificado con aquello que puede estar mal a nivel de
aseveración y con los controles relevantes que el auditor tiene intención de probar.
Considerar la probabilidad de error, incluyendo la posibilidad de múltiples errores,
y si el error potencial es de tal magnitud podría dar lugar a errores importantes.

8.4 RIESGOS QUE REQUIEREN EPECIAL CONSIDERACION DE AUDITORIA.

Como parte de la evaluación de riesgo, el auditor determinará cuáles de los

riesgos identificados son, a su juicio, riesgos significativos. Para estos propósitos,
se pide que no considere los efectos de los controles identificados, si los hay,
relacionados con el riesgo calificado como significativo. Algunas consideraciones
para establecer si un riesgo es significativo:

Establecer si el riesgo:

• a) es un riesgo debido a fraude, b) está relacionado con eventos significativos

recientes, ya sean de tipo económico, contable o de otro tipo de
acontecimientos que requieren una atención especial, c) implica transacciones
importantes con partes (personas) relacionadas, d) involucra transacciones
Significativas que están fuera del curso normal de los negocios de la entidad, o
que de otra manera parecen ser inusuales.

18
• La complejidad de las transacciones que realiza la entidad.

• El grado de subjetividad en la medición de la información financiera relacionada

con el riesgo, en especial, aquellas mediciones que implican un amplio rango
de incertidumbre de medición.

Cuando el auditor ha determinado la existencia de un riesgo importante, obtendrá

una comprensión de los controles establecidos por la entidad, incluyendo las
actividades de control que sean relevantes, para tratar este riesgo.

8.5 CONTROL INTERNO.

Si como resultado del trabajo de auditoría realizado se ha identificado alguna

debilidad importante en el diseño, implementación o mantenimiento
(funcionamiento) del control interno, el auditor la comunicará a la administración
de la entidad y a los integrantes del gobierno corporativo.

9 Principales características de los planes de auditoría basados en riesgos

9.1 Priorización de los riesgos relevantes

Desarrolla las diferentes revisiones según lo que la organización tiene identificado

como riesgos relevantes. Todo riesgo relevante debe tener una política, estrategia,
límites y estructura clara de cómo la organización lo administra. Es ahí donde el
equipo de auditoría debe concentrar sus horas, revisiones y entendimiento con las
áreas de negocio o monitoreo de la entidad, pues en la medida que los riesgos
más importantes tengan un mayor control, es más probable que la entidad se
encuentra entre límites aceptados.

9.2 Enfocado en procesos

El mapeo de los procesos críticos de la organización es fundamental previo a la

gestión del riesgo operativo. Es en los procesos críticos, sea desde el punto de
vista de continuidad o de impacto, en los que la auditoría debe focalizar sus
revisiones, posibles errores o bien, posibles mejoras en el proceso. Ya la auditoría
preocupada por ir al detalle de las transacciones y generalmente vinculada a
temas estrictamente financieros no es la que predomina.

19
9.3 Se especializa en el negocio

Planes de auditoría efectivos entienden el funcionamiento de las líneas de negocio

y evalúan la integridad de los riesgos comprendiendo la especificidad y alcance de
cada uno, donde la regulación es cada vez más extensa y detallada. Dejó de ser
efectivo el enfoque estándar de auditoría que aplicaba las mismas pruebas en
cualquier industria. Por eso, los planes de capacitación de los auditores ahora
deben estar diseñados para fortalecer el análisis cuantitativo y de datos, la
evaluación de metodologías y modelos de gestión.

9.4 Es integral

Los planes de auditoría deben evaluar la gestión de cada riesgo o bien de cada
proceso crítico desde tres perspectivas: gobierno, para asegurar que la estructura
de roles y responsabilidades funciona; riesgo, para comprender si los tomadores
de decisiones siguen la estrategia del riesgo de la organización, y control, para
asegurar que las medidas preventivas o mitigadores forman parte de la cultura de
todos los colaboradores.

9.5 Genera valor

El auditor moderno comprende que en sus revisiones el objetivo final no es

encontrar observaciones o darse por satisfecho en cuanto a si las actividades de
los procesos está de acuerdo con los procedimientos. El auditor también debe
preocuparse por entender el negocio para poder generar recomendaciones y
valor, de alternativas con las que podría mejorarse la gestión de la organización.
Conservando su independencia, puede dar recomendaciones o sugerencias de
acuerdo con su experiencia.

La auditoría interna continúa evolucionando de acuerdo con las tendencias en los

diferentes sectores. El enfoque de supervisión basado en riesgos llegó para
quedarse y el aseguramiento de evaluaciones formales, integrales y continuas son
parte clave para que las organizaciones persigan sus objetivos en ambientes de
control.

20
10 NORMA INTERNACIONAL DE AUDITORÍA 320

IMPORTANCIA RELATIVA O MATERIALIDAD EN LA PLANIFICACIÓN Y

EJECUCIÓN DE LA AUDITORÍA

10.1 Alcance de esta NIA

Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad que tiene

el auditor de aplicar el concepto de importancia relativa en la planificación y
ejecución de una auditoría de estados financieros.

10.2 Importancia relativa en el contexto de una auditoría

Los marcos de información financiera a menudo se refieren al concepto de

importancia relativa en el contexto de la preparación y presentación de estados
financieros. Aunque dichos marcos de información financiera pueden referirse a la
importancia relativa en distintos términos, por lo general indican que:
• Las incorrecciones, incluidas las omisiones, se consideran materiales si,
individualmente o de forma agregada, cabe prever razonablemente que influyan
en las decisiones económicas que los usuarios toman basándose en los estados
financieros.

El auditor aplica el concepto de importancia relativa tanto en la planificación y

ejecución de la auditoría como en la evaluación del efecto de las incorrecciones
identificadas sobre dicha auditoría y, en su caso, del efecto de las incorrecciones
no corregidas sobre los estados financieros, así como en la formación de la
opinión a expresar en el informe de auditoría.

Al planificar la auditoría, el auditor realiza juicios sobre la magnitud de las

incorrecciones que se considerarán materiales. Estos juicios sirven de base para:
(a) la determinación de la naturaleza, el momento de realización y la extensión
de los procedimientos de valoración del riesgo;
(b) la identificación y valoración de los riesgos de incorrección material; y
(c) la determinación de la naturaleza, el momento de realización y la extensión
de los procedimientos posteriores de auditoría;

21
La importancia relativa determinada al planificar la auditoría no establece
necesariamente una cifra por debajo de la cual las incorrecciones no corregidas,
individualmente o de forma agregada, siempre se considerarán inmateriales. El
auditor puede considerar materiales algunas incorrecciones, aunque sean
inferiores a la importancia relativa, atendiendo a las circunstancias relacionadas
con dichas incorrecciones. Aunque no sea factible diseñar procedimientos de
auditoría para detectar incorrecciones que pueden ser materiales sólo por su
naturaleza, al evaluar su efecto en los estados financieros, el auditor tiene en
cuenta no sólo la magnitud de las incorrecciones no corregidas sino también su
naturaleza, y las circunstancias específicas en las que se han producido.

10.3 Cálculo

Las normativas NIA hacen su cálculo de materialidad como: 5% de ganancia antes

de impuestos, 1% de los ingresos y 1-2% del activo total.

10.4 Objetivo

El objetivo del auditor es aplicar el concepto de importancia relativa de manera

adecuada en la planificación y ejecución de la auditoría.

10.5 Definición:

A efectos de las NIA, la importancia relativa o materialidad para la ejecución del

trabajo se refiere a la cifra o cifras determinadas por el auditor, por debajo
del nivel de la importancia relativa establecida para los estados financieros en su
conjunto, al objeto de reducir a un nivel adecuadamente bajo la probabilidad
de que la suma de las incorrecciones no corregidas y no detectadas supere la
importancia relativa determinada para los estados financieros en su conjunto.

10.6 Requerimientos

10.6.1 Planificar la auditoría

Al establecer la estrategia global de auditoría, el auditor determinará la importancia

relativa para los estados financieros en su conjunto.

22
El auditor determinará también el nivel o los niveles de importancia relativa a
aplicar a dichos tipos concretos de transacciones, saldos contables o información
a revelar.

El auditor determinará la importancia relativa para la ejecución del trabajo con el

fin de valorar los riesgos de incorrección material y de determinar la naturaleza, el
momento de realización y la extensión de los procedimientos posteriores de
auditoría.

10.6.2 Revisión a medida que la auditoría avanza

El auditor revisará la importancia relativa para los estados financieros en su

conjunto (y, en su caso, el nivel o los niveles de importancia relativa para
determinados tipos de transacciones concretas, saldos contables o información a
revelar)

10.6.3 Documentación

El auditor incluirá en la documentación de auditoría las siguientes cifras y los

factores tenidos en cuenta para su determinación:
(a) importancia relativa para los estados financieros en su conjunto.

(b) cuando resulte aplicable, el nivel o niveles de importancia relativa para

determinados tipos de transacciones, saldos contables o información a
revelar.

(c) importancia relativa para la ejecución del trabajo; y

(d) cualquier revisión de las cifras establecidas en (a)–(c) a medida que la

auditoría avanza.

10.7 Importancia relativa y riesgo de auditoría

En la realización de una auditoría de estados financieros, los objetivos globales del

auditor consisten en obtener una seguridad razonable de que dichos estados

23
financieros en su conjunto están libres de incorrecciones materiales, debidas a
fraude o error, permitiendo al auditor, por tanto, expresar una opinión sobre si los
estados financieros están preparados, en todos los aspectos materiales, de
conformidad con un marco de información financiera aplicable.

La importancia relativa y el riesgo de auditoría se tienen en cuenta a lo largo de la

auditoría, en especial al:
(a) identificar y valorar los riesgos de incorrección material;

(b) determinar la naturaleza, el momento de realización y la extensión de los

procedimientos de auditoría posteriores;

(c) evaluar el efecto de las incorrecciones no corregidas, en su caso, sobre los

estados financieros y en la formación de la opinión a expresar en el informe
de auditoría.

10.8 Utilización de referencias a efectos de determinar la importancia relativa para

los estados financieros en su conjunto

La determinación de la importancia relativa implica la aplicación del juicio

profesional del auditor. A menudo se aplica un porcentaje a una referencia elegida,
como punto de partida para determinar la importancia relativa para los estados
financieros en su conjunto.
La importancia relativa se refiere a los estados financieros sobre los que el auditor
emite su informe. En el caso de que los estados financieros se preparen para un
periodo superior o inferior a doce meses, como puede ser el caso de una entidad
de nueva creación o cuando hay un cambio en el período de información
financiera, la importancia relativa se refiere a los estados financieros preparados
para dicho periodo.

La determinación de un porcentaje a aplicar a una referencia elegida implica la

aplicación del juicio profesional.

Existe una relación entre el porcentaje y la referencia elegida, de tal modo que un
porcentaje aplicado al beneficio antes de impuestos de las operaciones
continuadas será por lo general mayor que el porcentaje que se aplique a los
ingresos ordinarios totales. Por ejemplo, el auditor puede considerar que el cinco

24
por ciento del beneficio antes de impuestos de las operaciones continuadas es
adecuado para una entidad con fines de lucro en un sector industrial, mientras que
puede considerar que el uno por ciento de los ingresos ordinarios totales o de los
gastos totales es apropiado para una entidad sin fines de lucro. Sin embargo,
según las circunstancias, pueden considerarse adecuados porcentajes mayores o
menores.

11 CONCLUSION

• La conclusión es que el auditor debe de identifique y evalúe los riesgos de

error importante a nivel de los estados financieros y de las aseveraciones
incluidas en éstos para las clases de transacciones, las cuentas de balance
y las revelaciones que le proporcionen una base para el diseño y la
aplicación de procedimientos de auditoría, posteriores.

• La Auditoría Interna es fundamental para asegurar que las organizaciones

gestionan el negocio bajo un ambiente de control y según su apetito de
riesgo.

• Los auditores han tenido que transformar la tradicional forma de hacer

auditoría y esto representa retos y oportunidades.

• El valor que puede dar la auditoría dependerá de cuanto los equipos de

auditores incorporen las mejores prácticas y contribuyan a la generación de
valor.

• La evaluación del riesgo es una fase muy importante en el desarrollo del

proceso de planeación, por lo tanto, en esta etapa se debe efectuar una
evaluación a cada una de las cuentas, con el fin de determinar cuál o
cuáles se consideran como significativas dentro del proceso de revisión que
estamos desarrollando
25
26