RIESGOS DE AUDITORIA

Las eventualidades o contingencias que existen debido a

diversos factores, relacionados con la estructura,
actividades y personas que actúan en la entidad y por
efecto de los cuales el auditor puede no detectar error o
falsedad en la información que examina o irregularidades
en el proceder de los operadores, lo cual le puede
conducir a concluir inadecuadamente.
Riesgo se refiere a las condiciones o circunstancias futuras
que tendrán un impacto adverso si se llegara a presentar.
“Un riesgo es un problema potencial que no se ha
presentado aún”
EVALUACIÓN DE RIESGO
Riesgo de Auditoria es la posibilidad de emitir un
informe de auditoría incorrecto por no haber
detectado errores o irregularidades significativas que
modificarían el sentido de la opinión vertida en el
informe.
El riesgo global de Auditoría es el conjunto de:
✓ Aspectos Aplicables exclusivamente al negocio o
actividad del ente (Riesgo Inherente).
✓ Aspectos atribuibles a los sistemas de control,
incluyendo auditoria interna (Riesgo de Control).
✓ Aspectos originados en la naturaleza, alcance y
oportunidad de los procedimientos de auditoría de
un trabajo en particular (Riesgo de Detección).
 RIESGO INHERENTE
Es la posibilidad de que un saldo o alguna
clase de transacción haya sufrido
distorsiones que puedan resultar
materiales, individualmente o al
acumularse con otras distorsiones de otros
saldos o de otra clase de transacciones,
por no estar implementado los
correspondientes controles internos.
Es la susceptibilidad de los estados
financieros a la existencia de errores o
irregularidades significativos, antes de
considerar la efectividad de los sistemas
de control.
 RIESGO INHERENTE
Ejemplo, en una empresa de alta tecnología el
riesgo inherente de la afirmación “realización
de los inventarios de existencia”, será mayor
que el nivel de riesgo que se determine en la
revisión de una auditoría para una empresa
productora de bienes con tecnología
estándar. Esto es así por el riesgo implícito de
obsolescencia que es relevante para este tipo
de industrias.
✓ El riesgo inherente esta totalmente fuera de
control por parte del auditor.
✓ Difícilmente se puedan tomar acciones que
tiendan a eliminarlo, porque es propia de la
operatoria del ente.
RIESGO DE CONTROL

Es la posibilidad de que un saldo o alguna clase de

transacción haya sufrido distorsiones que puedan
resultar materiales, individualmente o al
acumularse con otras distorsiones de otros saldos o
de otra clase de transacciones, por no haber sido
prevenidas o detectadas y corregidas
oportunamente por los sistemas de contabilidad y
control interno.

Es el riesgo de que los sistemas de control estén

incapacitados para detectar o evitar errores o
irregularidades significativos en forma oportuna.
 RIESGO DE CONTROL

Ejemplo, dentro del componente de Ingresos por ventas y Cuentas a

cobrar, distinto será el nivel de riesgo de control de una empresa con
un complejo sistema de verificación de créditos a los clientes antes de
continuar las operaciones de venta que el de otra que no realiza
estos controles y, por lo tanto, está mas expuesta a que sus cuentas a
cobrar puedan ser consideradas incobrables.

Este tipo de riesgo también esta fuera del control de los auditores.
Aunque la existencia de bajos niveles de riesgo de control, lo que
implica la existencia de buenos procedimientos en los sistemas de
información, contabilidad y control puede ayudar a mitigar el nivel de
riesgo inherente evaluado en una etapa anterior.
 RIESGO DE DETECCIÓN

Es la posibilidad de que un saldo o alguna

clase de transacción haya sufrido
distorsiones que puedan resultar
materiales, individualmente o al
acumularse con otras distorsiones de otros
saldos o de otra clase de transacciones,
sin que hayan podido ser detectadas por
los procedimientos del auditor.

Es el riesgo de que los procedimientos de

auditoría seleccionados no detecten
errores o irregularidades existentes en los
estados contables.
 RIESGO DE DETECCIÓN

Por ejemplo, errores en la definición de una muestra en la

circularización de saldos de proveedores, o en la definición del
período de análisis de pagos posteriores pueden implicar
conclusiones erróneas en cuanto a la validez de la integridad
de las cuentas a pagar.

El riesgo de detección es controlable por la labor del auditor y

dependen exclusivamente de la forma en que se diseñen y
lleven a cabo los procedimientos de auditoría.

El riesgo de detección es la última y única posibilidad de

mitigar altos niveles de riesgos inherentes y de control.
EVALUACIÓN DEL RIESGO DE AUDITORIA

El nivel de riesgo de auditoría suele medirse en cuatro grados

posibles:

✓ Mínimo.
✓ Bajo.
✓ Medio.
✓ Alto.

La tarea de evaluación está presente en dos momentos de la

planificación de auditoría:
 EVALUACIÓN DEL RIESGO DE AUDITORIA

PLANIFICACIÓN ESTRATÉGICA:
En esta etapa se evalúa el riesgo global de auditoría relacionado con
el conjunto de los estados contables y además, se evalúa el riesgo
inherente y de control de cada componente en particular.
EVALUACIÓN DEL RIESGO DE AUDITORIA

PLANIFICACIÓN DETALLADA:
En esta etapa se evalúa el riesgo inherente y de control específico
para cada afirmación en particular; dentro de cada componente.
 EVALUACIÓN DEL RIESGO DE AUDITORIA

FACTORES PROBABILIDAD
NIVEL DE RIESGO SIGNIFICABILIDAD DE RIESGO DE OCURRENCIA
DE ERRORES
Mínimo No significativo No existe Remota
Bajo Significativo Existen algunos, pero, Improbable
poco importantes
Medio Muy significativo Existen algunos Posible
Alto Muy significativo Existen varios y son Probable
importantes
EVALUACIÓN DEL RIESGO DE DETECCIÓN

El riesgo de detección es la posibilidad de que los

procedimientos de auditoría no detecten errores o
irregularidades existentes en los estados contables. Es un
riesgo propio del auditor y depende exclusivamente de él.
En la medida que se pretenda emitir una opinión correcta,
deberán evaluarse los elementos de juicio necesarios y los
procedimientos de auditoría deben detectar todos los
errores o irregularidades existentes (o al menos los
significativos).
No cabe otra posibilidad que el riesgo de detección sea
reducido al mínimo o bajos. Evaluaciones de otro tipo
podrían originar situaciones de limitaciones en el alcance o,
simplemente, opiniones erróneas.
EVALUACIÓN DEL RIESGO
INHERENTE
Debe estar limita a programas,
transacciones o cuentas significativas. Las
condiciones que podrían indicar la
existencia de riesgo inherente son:
✓ Naturaleza de los programas de la
empresa.
✓ Antecedentes.
✓ Naturaleza de transacciones y de
cuentas importantes.
EVALUACIÓN DEL RIESGO DE CONTROL

Es el proceso de evaluar la
eficiencia de los sistemas de
Contabilidad y Control Interno de
la Entidad, con el objeto de
prevenir, detectar y corregir las
distorsiones materiales.
El auditor debe evaluar el riesgo
de control en todos sus niveles.
✓ El control de riesgos ha sido parte integral del
proceso de administración de riesgos desde
que este concepto fue concebido. Las dos
principales técnicas de control de riesgos
son: evitar y reducir riesgos los cuales pueden
ser reducidos solo con la asesoría de
personas expertas.
✓ El resultado además de ser una auditoria
eficiente debe ser también una auditoria
efectiva.
✓ La auditoria permite de una manera
oportuna y completa, presentar los resultados
a la gerencia para la toma de decisiones.
MODELO DE LAS TRES LÍNEAS DE DEFENSA
✓ La misión de la auditoria interna es "incrementar
y proteger el valor de la organización
proporcionando aseguramiento, consejos y
percepciones objetivas y basadas en el riesgo".
La atención de la AI recae en saber si las
prácticas de negocio están ayudando a la
empresa a cumplir con todos sus objetivos,
mientras reconoce y gestiona los riesgos, los que
son evidentes y los que no lo son.
✓ Todo lo es importante vale la pena protegerlo, los
riesgos no detectados afectarán de manera
negativa a la organización tarde o temprano.
MODELO DE LAS TRES LÍNEAS DE DEFENSA

✓ Las 3 líneas de defensa para una gestión de riesgos y control

efectivos, analiza el hecho de que "los deberes relacionados con la
gestión de riesgos y el control deben coordinarse de manera
minuciosa para asegurar que los procesos de análisis de riesgos y
control funcionen de la manera esperada". La posición del Instituto
de Auditores internos clarifica las funciones y los deberes importantes
para desarrollar las iniciativas de gestión de riesgos.
✓ Según el IIA es "Establecer una actividad de auditoria interna
profesional debería ser un requisito de gobierno corporativo para
todas las organizaciones. Esto no solo es importante para las grandes
y medianas organizaciones, sino también para pequeñas entidades,
ya que estas pueden enfrentar ambientes igualmente complejos
con una estructura organizacional menos formal pero solida, para
asegurar la eficacia de sus procesos y gestión de riesgos".
 MODELO DE LAS TRES LÍNEAS DE DEFENSA

✓ El Modelo de las 3 líneas de defensa

indica: "Sin un enfoque cohesionado y
coordinado, los recursos de riesgo y
control limitados podrían no emplearse de
manera eficaz, y los riesgos significativos
podrían no identificarse o no gestionarse
de manera adecuada. Se deben definir
responsabilidades claras de manera que
cada grupo de profesionales de riesgo y
control entienda los limites de sus
responsabilidades y como se ajusta su
función en la estructura de riesgo y control
general de la organizacion“.
 MODELO DE LAS TRES LÍNEAS DE DEFENSA
PRIMERA LÍNEA DE DEFENSA: LA GESTION OPERATIVA
✓ Aquí esta la Gestión Operativa (Gerencias Operativas) es responsable
de mantener controles eficaces en el día a día. Los controles se
diseñan e implementan bajo la orientación de la dirección y son
ejecutados por los trabajadores. Son propietarias de los riesgos y los
gestionan.
✓ Estas gerencias son responsables de la implementación de acciones
correctivas para hacer frente a deficiencias de proceso y control.
✓ La Gerencia Operativa sirve naturalmente como primera línea de
defensa porque los controles están diseñados dentro de los sistemas y
procesos bajo su dirección como administración operacional. Deberían
estar implementados adecuados controles de gestión y supervisión
para asegurar su cumplimiento y para destacar excepciones de
control, procesos inadecuados y eventos inesperados.
 MODELO DE LAS TRES LÍNEAS DE DEFENSA

✓ Se distingue tres grupos que participan

en una efectiva gestión de riesgos:
1. Las funciones que son propietarias
de los riesgos y los gestionan.
2. Las funciones que supervisan los
riesgos.
3. Las funciones que proporcionan
aseguramiento independiente.
 MODELO DE LAS TRES LÍNEAS DE DEFENSA

SEGUNDA LÍNEA DE DEFENSA: FUNCIONES DE GESTIÓN DE RIESGOS Y

CUMPLIMIENTO
✓ En un mundo perfecto, tal vez sólo una línea de defensa sería
necesaria para asegurar una gestión de riesgos efectiva. En el
mundo real, sin embargo, una sola línea de defensa con
frecuencia puede resultar insuficiente.
✓ La gerencia establece diversas funciones de gestión de riesgos y
cumplimiento para ayudar a crear y/o monitorear los controles de
la primera línea de defensa. Las funciones específicas varían
según la organización e industria, pero las funciones típicas de
esta segunda línea de defensa comprenden:
MODELO DE LAS TRES LÍNEAS DE DEFENSA
Una función de gestión de riesgos que facilita y monitorea la
implementación de prácticas efectivas de gestión de riesgos por parte de
la Gerencia Operativa y que asiste a los propietarios del riesgo en la
definición del objetivo de exposición al riesgo y en la presentación
adecuada de información relacionada con riesgos a toda la
organización.

Una función de cumplimiento para monitorear diversos riesgos específicos tales

como el incumplimiento de leyes y regulaciones aplicables. Con esta capacidad,
esta función independiente reporta directamente a la alta dirección, y en algunos
sectores económicos, directamente a los organismos de gobierno corporativo.
Múltiples funciones de cumplimiento con frecuencia existen en una misma
organización, con responsabilidades para monitorear tipos específicos de
cumplimiento, como salud y seguridad, cadena de suministros, ambiente o control
de la calidad.

Una función del titular de la entidad y el jefe de la oficina de Auditoria

Interna es monitorear los riesgos financieros y la emisión de la
información financiera
 MODELO DE LAS TRES LÍNEAS DE DEFENSA
TERCERA LÍNEA DE DEFENSA: AUDITORIA INTERNA
✓ Los auditores internos proporcionan a los
organismos de gobierno corporativo y a la alta
dirección un aseguramiento comprensivo basado
en el más alto nivel de independencia y
objetividad dentro de la organización.
✓ Este alto nivel de independencia no está
disponible en la segunda línea de defensa. Los
auditores internos proveen aseguramiento sobre
la efectividad del gobierno corporativo, la
gestión de riesgos y el control interno, incluyendo
la manera en que la primera y segunda línea de
defensa alcanzan sus objetivos de gestión de
riesgos y control.
 MODELO DE LAS TRES LÍNEAS DE DEFENSA

✓ El alcance de este aseguramiento, que es reportado a los

organismos de gobierno corporativo y alta dirección,
usualmente cubre:
➢ Un amplio rango de objetivos, incluyendo la eficiencia y
efectividad de las operaciones, salvaguarda de activos,
confiabilidad e integridad de los procesos de reporte, y
cumplimiento con leyes, regulaciones, políticas, procedimientos
y contratos.
➢ Todos los elementos de los marcos de gestión de riesgos y
control interno, que incluyen: ambiente de control interno,
todos los componentes del marco de gestión de riesgos de la
organización (Ejemplo, identificación de riesgos, evaluación de
riesgos y respuesta), información y comunicación, y monitoreo.
 MODELO DE LAS TRES LÍNEAS DE DEFENSA

➢ La entidad en su conjunto, divisiones, subsidiarias, unidades

operativas y funciones incluyendo procesos de negocios, tales
como ventas, producción, marketing, seguridad, funciones de
clientes, y operaciones como también funciones de soporte
(ejemplo, contabilización de ingresos y gastos, recursos
humanos, adquisiciones, remuneraciones, presupuestos,
gestión de infraestructura y activos, inventario y tecnología de
la información).
✓ El establecimiento de una actividad de AI profesional debería ser
un requerimiento de gobierno corporativo para todas las
organizaciones.
 MODELO DE LAS TRES LÍNEAS DE DEFENSA

Auditoría interna contribuye activamente a la efectividad del

gobierno corporativo organizacional proporcionando ciertas
condiciones que cumplan, fomentando su independencia y
profesionalismo. La mejor práctica es establecer y mantener una
función de auditoría interna independiente con personal adecuado
y competente, lo cual incluye:
✓ Actuar en concordancia con las normas internacionales
reconocidas para la práctica de la auditoría interna.
✓ Reportar a un nivel suficientemente alto para ser capaz de
desempeñar sus funciones de manera independiente.
✓ Tener una activa y efectiva línea de reporte con los organismos
de gobierno corporativo.