EVALUACIÓN DEL RIESGO Y

CONTROL INTERNO

REFERENCIAS TÉCNICAS

NIA 200, 315 Y 330

Lic. Julio César Montes de León

CONTENIDO
1. Definición
2. Objetivos y clasificación
3. Métodos de evaluación
4. Entendimiento de la entidad y su entorno
5. Componentes del control interno
6. Procedimientos de evaluación del riesgo
7. Condiciones y hechos que puedan
indicar riesgos de representación
errónea de importancia relativa
8. Evaluación de los riesgos de
representación errónea de importancia
relativa
9. Comunicación de las debilidades de
importancia relativa en el diseño e
implementación del control interno
10. Respuestas globales para atender a
los riesgos de representación errónea
11. Evaluación de lo suficiente y apropiado
de la evidencia de auditoria obtenida
12. Requisitos de documentación tanto de
evaluación del control interno como
riesgos
13. Ejemplos prácticos
La identificación y valorización de los riesgos se
identifican en la norma 315 que tiene como
alcance la responsabilidad que tiene el auditor en
identificar y valorar los riesgos de incorrecciones
materiales en los estados financieros en donde es
importante conocer la entidad, su entorno y su
control interno.

El auditor tiene la responsabilidad de identificarlos

y valorarlos con la finalidad de proporcionar una
base para el diseño e implementación de
respuestas a esos riesgos valorados.

4
ACTIVIDADES DE CONTROL

Son las políticas y procedimientos que

ayudan asegurar que se siguen las
directrices de la dirección de una forma
manual o de la tecnología informática y se
aplican a diferentes niveles organizativos y
funcionales, tales como:

5
 Segregación de Funciones
 Asignación de Responsabilidades
 Rotación de Puestos
 Instrucciones por Escrito
 Sistemas de Autorización
 Revisión de actuación
 Controles físicos
 Procesos de la información
 Seguros y Fianzas

6
¿Qué es riesgo?

La posibilidad de que ocurra un evento

que tenga impacto sobre el logro de los
objetivos y ejecutar sus estrategias. El
riesgo es medido en términos de
IMPACTO y PROBABILIDAD.

7
 CONTROL INTERNO
 El control interno
comprende el plan de
organización y el conjunto
de métodos, políticas y
procedimientos que
aseguren que los activos
están debidamente
protegidos, que los registros
contables son fidedignos y
que la actividad de la
entidad se desarrolla
eficazmente, según las
directrices marcadas por la
administración.
OBJETIVOS DEL CONTROL
INTERNO

Toda organización tiene una misión

y visión, éstas determinan los
objetivos y las estrategias necesarias
para alcanzarlos. Los objetivos se
pueden establecer para el conjunto
de la organización o para
determinadas actividades dentro de la
misma.
“El riesgo final del auditor es una combinación
de tres riesgos diferentes. El primero está
constituido por la posibilidad inherente a la
actividad de la entidad de que existan errores
de importancia en el proceso contable, del cual
se obtienen las cuentas anuales.

El segundo es la posibilidad de que existiendo

estos errores de importancia no fueran
detectados por los sistemas de control interno
de la entidad.

Tercer riesgo, consistente en la posibilidad de

que cualquier error de importancia que exista y
no hubiera sido puesto de manifiesto por el
sistema de control interno, no fuera a su vez
detectado por la aplicación de las pruebas
adecuadas de auditoría”. 10
 TIPOS DE RIESGO
OBJETIVO
A) Recibir sólo los productos que se hayan “solicitado”
B) Efectuar pagos sólo de compras autorizadas, reales
C) Salvaguardar el efectivo
RIESGO Riesgo que amenaza el cumplimiento de un
INHERENTE
objetivo (más relacionado con la causa).

A) Falta de información (pedidos de compra).

B) Doble utilización de documentación de respaldo
RIESGO C) Inadecuada custodia
DE CONTROL Riesgo que el control interno no advierta errores
significativos (consecuencia).

A) Pérdidas por pagos por productos innecesarios

B) Pérdidas por pagos por bienes no recibidos
C) Pérdidas por hurto
11
MÉTODOS DE EVALUACIÓN
La evaluación del sistema de control
interno define una cuantificación de todos
sus recursos. Mediante el examen y
objetivos del control interno, registros y
evaluación de los estados financieros se
crea la confianza que la entidad debe
presentar frente a la sociedad. La
evaluación del sistema de control interno
basado en principios, reglas, normas,
procedimientos evaluación del sistema de
reconocido valor técnico son el fundamento
de la realización de una buena auditoría
financiera.
El auditor financiero debe asegurarse
que se cumplan todas las medidas
adecuadas y necesarias en la
implementación del sistema de
evaluación de control interno.
La evaluación del control interno puede
efectuarse por los siguientes métodos:

13
MUESTREO ESTADÍSTICO

En el proceso de evaluación del control

interno un auditor debe revisar altos
volúmenes de documentos, es por esto que
el auditor se ve obligado a programar
pruebas de carácter selectivo para hacer
inferencias sobre la confiabilidad de sus
operaciones.

14
MÉTODO DE CUESTIONARIO
Consiste en la evaluación con base en preguntas en
forma técnica y por áreas de operaciones, estas
preguntas deben ser redactadas en una forma clara
y sencilla para que sean compresibles para, las
cuales deben ser respondidas por parte de los
responsables de las distintas áreas bajo examen.

Por medio de las respuestas dadas, el auditor

obtendrá evidencia que deberá constatar con
procedimientos alternativos los cuales ayudarán a
determinar si los controles operan tal como fueron
diseñados.

15
La aplicación de cuestionarios ayudará a
determinar las áreas críticas de una manera
uniforme y confiable. Una respuesta negativa
advierte debilidades en el control interno.

MÉTODO NARRATIVO

También llamado “descriptivo”, consiste en la

descripción detallada por escrito de los
procedimientos más importantes y las
características del sistema de control interno para
las distintas áreas, mencionando los registros y
formularios que intervienen en el sistema. El
método narrativo, es ideal para aplicarlo a pequeñas
empresas.
MÉTODO GRÁFICO

También llamado de flujogramas, consiste

en revelar o describir la estructura orgánica
de las áreas en examen y de los
procedimientos utilizando símbolos
convencionales y explicaciones que dan una
idea completa de los procedimientos de la
entidad.Tiene como ventajas lo siguiente:

17
 Identifica la ausencia de controles financieros y
operativos.

 Permite una visión panorámica de las operaciones o de la

entidad.

 Identifica desviaciones de procedimientos.

 Identifica procedimientos que sobran o que faltan.

 Facilita el entendimiento de las recomendaciones del

auditor a la gerencia sobre asuntos contables o
financieros.

 La evaluación debe asegurar la integridad y técnicas de

evaluación.

18
EVALUACIÓN DE RIESGOS (NIA 315)

OBJETIVO A LOGRAR:

“El auditor debe obtener un conocimiento de

la entidad y su entorno, incluido su control
interno, suficiente para identificar y evaluar los
riesgos de manifestaciones erróneas
significativas en las cuentas anuales ya sean
por error o fraude, y suficiente para diseñar y
llevar a cabo los procedimientos de auditoría”.

19
REQUERIMIENTOS:
A. Procedimientos de evaluación de riesgos.

El propósito es proveer una adecuada base (evidencia)

para la identificación y evaluación de riesgos. (Se deben
de enmarcar dentro del resto de procedimientos de
auditoría).
Los procedimientos para la evaluación de riesgos son:
 Preguntas a la Dirección y a otro personal de la entidad
(efectividad del control interno, proceso de
transacciones, políticas contables, litigios, garantías,
estrategias, etc.) orientadas a identificar riesgos.
 Procedimientos de revisión analítica (a nivel de cuentas
anuales, de más detalle ).
 Observación e inspección (lecturas de informes, visitas
o centros, trazar transacciones, inspeccionar registros,
etc.). 20
EVALUACIÓN DE RIESGOS (NIA 315)

Los procedimientos se llevan a cabo mientras se

obtiene el conocimiento del negocio. Otros
procedimientos también pueden ser útiles:
preguntas a asesores legales y expertos y
obtención de información externa (informes
analistas, prensa, reguladores, etc.)
El auditores debe considerar la información
obtenida en el proceso de aceptación o
continuidad del cliente, o en el desarrollo de
servicios anteriores.

21
La información obtenida de años anteriores debe
ser verificada para determinar posibles cambios.
El socio y el equipo de auditoría deben comentar
los temas relacionados con la posibilidad de
existencia de riesgos. Durante todo el trabajo
deben ir compartiendo la información sobre estos
temas. Estas conversaciones ayudan a ganar
conocimiento de las áreas de trabajo que el
equipo desarrolla y de los resultados de los
procedimientos que se hacen y como pueden
afectar a otras áreas.

22
El conocimiento de la entidad y su entorno,
incluido su control interno.
El conocimiento de la entidad y su entorno
consiste en los aspectos siguientes:

a) Sector o industria, regulación y otros factores

incluido el plan de contabilidad aplicable.

b) Naturaleza de la entidad (dirección,

propietarios, planes, estructura financiera, etc.)

23
c) La selección y aplicación de políticas
contables, incluyendo las razones en sus
cambios e idoneidad y consistencia.

d)Objetivos, estrategias y riesgos

relacionados con el negocio.

e) Medida y revisión de la actuación de la

entidad, ya sean internas (control
presupuestario) o externas (analistas).

24
 Origen COSO ERM

 Debido a la preocupación y al aumento del interés en la

gestión de riesgo durante la segunda mitad de los años 90,
el comité de las organizaciones que patrocinaban la
Comisión de Treadway (COSO) determinó que había una
necesidad de un marco común de Gestión Integral de
Riesgo.

 En el 2001 la Comisión contrató a PricewaterhouseCoopers

para desarrollar un marco para evaluar y mejorar la gestión
de riesgo en las organizaciones.

 COSO - ERM se crea ampliando a COSO I para la gestión

integral de riesgo pero no para sustituir el marco de control
interno.

 En Septiembre de 2004 se publicó el estudio ERM

(Enterprise Risk Management).
¿Qué es COSO II-ERM?
 Es un proceso…
 realizado por la junta directiva, la gerencia y
demás personal de la entidad,…
 basado en el establecimiento de estrategias
para toda la empresa, …
 diseñadas para identificar eventos
potenciales que puedan afectar a la entidad,
y gerenciar los riesgos dentro del apetito de
riesgo…
 para proporcionar una seguridad razonable
referente al logro de los objetivos del
negocio.
27
 OBJETIVOS DE COSO

• Integrar las diversas definiciones y

conceptos.
• Reconocimiento general.
• Satisfacer las demandas de los sectores.
• Importancia del C. I.

28
 DEFINICIÓN
Previo
C.I.
Posterior
-Actividades secuenciales
para lograr los objetivos.
- Medio / Fin
? ?
El control interno Limitaciones
es un
proceso ?
(afectado por las personas
y niveles de la organización)
destinado a proporcionar una
razonable seguridad
para alcanzar los objetivos del negocio

29
 OBJETIVOS DE CONTROL
INTERNO

* Confiabilidad de la información financiera.

* Eficacia y eficiencia de las operaciones.

* Cumplimiento de leyes y normas.

30
 es to
n ien
cio rte pli
m
pera epo m
O R Cu

Monitoreo Actividad 2
Actividad 1

Información y Comunicación
Unidad B
Unidad A

Actividades de Control
Evaluación de Riesgos
Ambiente de Control
 AMBIENTE DE CONTROL
Ambiente (Sinónimos)
=
Atmósfera Ámbito Entorno Habitación Cuarto Aire

Ambiente (Significado)
=
Actitud de un grupo social o conjunto de personas
respecto de algo

Actitud del personal de una entidad respecto del control

 AMBIENTE DE CONTROL
Características
Provee disciplina sobre el personal.
Refleja el espíritu ético de la gerencia.
Influye la conciencia de control de la gente.
Evidencia la importancia hacia los C.I.
En resumen
Es la base de los otros componentes, ya que en el A.C. se
evalúan los riesgos y se definen las ......................................
................................ actividades de control y
simultáneamente se capta información comunica bajo un
................... y se ...............
supervisado y corregido oportunamente.
proceso ......................
 AMBIENTE DE CONTROL FACTORES

 Riesgos institucionales
FILOSOFÍA DE LA GERENCIA  Información gerencial
 Planificación

 Ejecución y supervisión
VALORES DE INTEGRIDAD Y ÉTICA  Tentaciones ilegales
 Comunicación de valores
 Ejemplo

 Marco de acción
ESTRUCTURA ORGANIZATIVA  Responsabilidad y autoridad
 Canales de información

ASIGNACIÓN DE RESP. Y
Descrip. de func. y resp.
AUTORIDAD Interrelación de funciones
Relaciones de información
Rendición de cuentas
 AMBIENTE DE CONTROL
FACTORES (Cont.)
 Competencia
AUDITORÍA  Independencia

 Contratación
 Entrenamiento
POLÍTICAS DE RECURSOS HUMANOS  Evaluación
 Compensación

 Objetivos
PROGRAMACIÓN DE OPERACIONES  Metas
 Ind. de
rendimiento

“El ambiente de control será tan bueno, regular o malo,

como lo sean los factores que lo determinan y,
consecuentemente, el tono de la institución.”
 AMBIENTE DE CONTROL

“Aporta disciplina y estructura,

desde la fijación de objetivos hasta la supervisión”

“CONCIENCIA DE CONTROL”

36
Establecimiento de Objetivos
 La gestión integral del riesgo asegura
que la gerencia cuente con un proceso
para definir objetivos que estén
alineados con la misión y visión, con el
apetito de riesgo y niveles de tolerancia
 Los objetivos se clasifican en cuatro
categorías:
 Estratégicos
 Operacionales
 De Reporte o presentación de resultados
 De Cumplimiento
37
Establecimiento de Objetivos
(Ejemplo)
 Vinculación de la misión y visión con
los objetivos estratégicos y objetivos
específicos
 Objetivos alineados con el apetito de
riesgo de la organización
 Los objetivos a alto nivel se vinculan e
integran con los objetivos específicos
 Determinación de la tolerancia al
riesgo
38
Identificación de Eventos
 La gerencia reconoce que la
incertidumbre existe, lo cual se
traduce en no poder conocer con
exactitud cuándo y dónde un evento
pudiera ocurrir, así como tampoco sus
consecuencias financieras
 En este componente se identifican los
eventos con impacto negativo
(riesgos) y con impacto positivo
(oportunidades)
39
 VALORACION DEL RIESGO
El éxito en lograr los objetivos de una entidad
depende, entre otras cosas, de los factores críticos que
afectan al mismo.
EN ESTE SENTIDO:

El control interno ha sido pensado esencialmente para

limitar o minimizar los riesgos que afectan las
actividades programadas para lograr los objetivos de
la entidad.
PARA LO CUAL ES NECESARIO:

Efectuar una evaluación de los riesgos que

afectan el logro de los objetivos de una entidad
 ¿Qué hacer con los riesgos
evaluados por el auditor?

Durante el proceso de una auditoría de estados financieros, el

auditor debe evaluar y diseñar los procedimientos que den
respuesta a los riesgos identificados de errores en su
auditoría, que afecten a los estados financieros auditados en
su conjunto, o bien, a una aseveración en específico.

Un riesgo significativo es la alta posibilidad de que ocurra un

error de importancia identificado y evaluado que, en caso de
ocurrir, afectaría a los estados financieros o a una
aseveración, de manera significativa. Por lo tanto, en opinión
del auditor, se requiere de una respuesta adecuada en su
auditoría, mediante la aplicación de procedimientos
específicos.
41
El auditor puede identificar
riesgos ya sea a niveles globales o
de aseveración; los primeros,
están relacionados con los estados
financieros, y los segundos, a
errores de aseveración o a una
cuenta en específico.

42
Respuestas a riesgos identificados a nivel global

Cuando se identifica y determina la existencia de riesgos

a nivel global, el auditor debe diseñar procedimientos de
auditoría que respondan a ellos; asimismo, debe
documentar el resultado del diseño y las conclusiones de
los procedimientos ejecutados. Algunos ejemplos de
respuestas a los riesgos globales son los siguientes:

43
• Enfatizar al equipo de auditoría la necesidad de mantener el escepticismo
profesional, así como el incorporar elementos de impredecibilidad en la
selección de los procedimientos de auditoría que se vayan a realizar.

• Asignar personal con más experiencia o con habilidades especiales en la

industria, usar expertos, dar mayor supervisión, etcétera.

• Si se determinan debilidades en el entorno de control, el auditor puede

responder de la siguiente manera: Realizando cambios generales en la
naturaleza, oportunidad y alcance de los procedimientos de auditoría; por
ejemplo, se pueden efectuar procedimientos al final del ejercicio

• y no en una fecha intermedia, buscando evidencia de auditoría más amplia,

mediante procedimientos sustantivos, incrementando el número de
localidades que se han de incluir en el alcance de la auditoría, etcétera.

• Un entorno de control efectivo, permite al auditor tener más confianza en el

control interno y en la confiabilidad de la evidencia de auditoría generada
dentro de la entidad y, con ello, realizar algunos procedimientos de
auditoría en una fecha intermedia más que al final del ejercicio.

44
 PASOS A SEGUIR
Establecer (en función de los objetivos, conocimiento de la
entidad y el medio) los riesgos potenciales a los cuales se
encuentra expuesta la operación o actividad bajo evaluación
(riesgo inherente)

Valorar la importancia de los riesgos determinados

anteriormente (riesgo de control o impacto).

Determinar la probabilidad de ocurrencia de los riesgos

definidos anteriormente.

Diseñar la estrategia para evitar, minimizar o transferir el

riesgo (actividades de control).

45
 ACTIVIDADES DE CONTROL
¿Qué son?
Son políticas y procedimientos establecidos para responder
a los riesgos identificados y así asegurar razonablemente el
logro de los objetivos.
¿Como se diseñan?

Analizando las causas que generan los riesgos

identificados se establecen las actividades destinadas a
contrarrestarlos.
¿Para qué sirven?
Están orientados principalmente a minimizar los riesgos
que afectan los objetivos y, consecuentemente, sirven
como retroalimentación para el cumplimiento de los
mismos.
¿Quién es el responsable?
Al ser parte del control interno, el máximo ejecutivo es el
responsable por su mantenimiento y los distintos niveles
de la organización por su ejecución.
46
 ACTIVIDADES DE CONTROL
EJEMPLOS

{
Análisis de la Dirección
Comparaciones
Relaciones
Investigaciones
Revisión de los responsables { Supervisión
Seguimiento

Comprobación de las transacciones

{ Integridad
Exactitud
Autorización

{Arqueos
Controles físicos Recuentos
Inspecciones

Dispositivos de seguridad { Restricciones de acceso físico

Restricciones de acceso lógico

Autorización
Segregación de funciones
{ Registro

{ Eficiencia Custodia
Medidores de rendimiento Eficacia
Economía
47
 CARACTERÍSTICAS
 Sencillos y comprensibles

 Aplicados por quien corresponde

 Oportunos

 Costo – beneficio

 Deben generar “valor agregado”

48
 INFORMACION Y COMUNICACION

La calidad de la información afecta la habilidad de la gerencia

para tomar decisiones dirigidas al adecuado cumplimiento de

objetivos.

Contenido
Oportunidad
Actualización Tipo
Exactitud De control
Integridad De alerta
Accesibilidad
Para riesgos

49
 INFORMACION Y COMUNICACION

A tal efecto la información debe ser identificada,

captada, procesada y divulgada oportunamente para
que todos los sectores asuman las responsabilidades
que les competen.

La información que no es utilizada presenta un alto

riesgo de “no ser confiable”.

50
 La comunicación es inherente a los
sistemas de información
 Como se relacionan sus actividades
con el trabajo de los demás.
El empleado debe
Conocer…  Sus funciones y responsabilidades
en cuanto al C.I.
 El significado de las “excepciones”.

M D
e i
d
i f
o u
s s
i
ó
n
• Manuales de: políticas, funciones y
procedimientos. • Formal
• Memorias, normas y reglamentos. • Informal

51
 VIGILANCIA O SUPERVISION

“Es necesario evaluar el diseño y funcionamiento del CI, así como

la adopción de medidas necesarias para mantener su eficacia”

¿Por qué?

Ausencia de controles Debilita la entidad y aumentan los

riesgos
¿Cómo evitar?

Supervisiones continuas

Conciencia de control

Evaluaciones puntuales
52
•Antes. •Después (diseño y cumplimiento).
•Actividades regulares. •Funcionamiento íntegro del CI.
•Tiempo real y respuestas •Aptitud para los fines
dinámicas. perseguidos.

Control interno previo Control posterior

Ejecutores

Funcionarios Responsables del área.

y servidores •UAI
•Auditoría Externa
53
ALGUNAS CONDICIONES
DE HECHOS QUE PUEDEN
INDICAR RIESGOS DE
REPRESENTACIONES
ERRONEAS DE
IMPORTANCIA RELATIVA

54
 Expansión de nuevos mercados

 Operaciones expuestas a mercados y

regulaciones legales volátiles

 Falta de personal calificados en áreas

especificas (contable e información
financiera)

 Aplicación de nuevos pronunciamiento

contables

 Cambios en la tecnología informática.

55
RESPUESTAS GLOBALES
PARA ATENDER A LOS
RIESGOS DE
REPRESENTACIÓN
ERRÓNEA

56
 Mantener en el equipo de auditoria el
escepticismo profesional.

 Colaboradores con experiencia o recurrir

a expertos

 La supervisión debe ser constante

 Implementación de procedimiento
adicionales imprevisibles

 Obtener evidencia más convincente al

momento de la realización o de la
extensión de los procedimientos de
auditoria.
57
 AUDITORIA INTERNA

Responsable
C.I. Supervisión

Máximo Auditor
Ejecutivo interno
Designa un responsable por la supervisión

58
AUDITORIA EXTERNA

Control Auditoría Auditoría

interno interna externa

“ La función de auditoría externa tiene una visión más amplia e

independiente sobre el control interno” 59
GRACIAS POR SU
ATENCIÓN
Preguntas ?

61