AUDITORÍA Y CONTROL INTERNO

AUA 5117 2.2

 Aprendizajes Esperados

 Reconocer los riesgos de errores en los Estados Financieros y las

actividades de control diseñadas por la organización para el
tratamiento de estos riesgos

 Ejecutar el proceso de auditoría para evaluar la confiabilidad del

sistema de control interno; considerando las NAGAS.
Recorrido de la clase
Medición y Evaluación del
Riesgo

Muestreo y Riesgo de
Auditoria

Estrategia de Auditoría

Técnicas de Procedimientos
para Administrar Riesgos
Identifique los tipos de riesgo…
a) El auditor puede seleccionar un Riesgo inherente
procedimiento que no sea el adecuado
para la naturaleza de las afirmaciones
sobre las que pretende obtener evidencia
b) La medición contable de una
determinada cuenta requiere de
estimaciones de un alto grado de Riesgo de control
subjetividad (por ejemplo, previsión para
juicios)
c) Las órdenes de pago se elaboran
manualmente sobre formularios
prestablecidos sin prenumerar. La Riesgo de no detección
emitidas diariamente se remiten en lote a
contaduría para su registro contable.
 Medición y Evaluación del Riesgo

Es necesario luego de conocer los posibles riesgos, tener en

cuenta:

a) Probabilidad de ocurrencia del Riesgo

b) Impacto ante la ocurrencia del Riesgo

 Medición y Evaluación del Riesgo
Las probabilidades de ocurrencia deberán determinarse como mínimo en:
a) Poco frecuente (PF)
b) Moderado (M)
c) Frecuente (F)

Poco Frecuente: Cuando el Riesgo ocurre sólo en circunstancias

excepcionales.

Moderado: Puede ocurrir en algún momento.

Frecuente: Se espera que ocurra en la mayoría de las circunstancias.

 Medición y Evaluación del Riesgo

El impacto ante la ocurrencia sería considerado de:

a)Leve (L)
b)Moderado(M)
c)Grande (G)

Leve: Perjuicios tolerables.

Baja pérdida financiera.

Moderado: Requiere de un tratamiento

Pérdida financiera media.

Grande: Requiere tratamiento diferenciado.

Alta pérdida financiera.
 Medición y Evaluación del Riesgo

La evaluación del Riesgo sería de:

Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles

actuales, siguiendo los procedimientos de rutina.

Moderado: (Riesgo Medio). Se consideran riesgos Aceptables con

Medidas de Control. Se deben realizar acciones de reducción de daños y
especificar las responsabilidades de su implantación y supervisión.

Inaceptable: (Riesgo Alto). Deben tomarse de inmediato acciones de

reducción de Impacto y Probabilidad para atenuar la gravedad del riesgo. Se
especificará el responsable y la fecha de revisión sistemática.
 EJEMPLO
Analizaremos el subproceso de Exploración Previa en una revisión:

Subprocesos Tareas Riesgos

Exploración - Conocer las características 1. El auditor no sea capaz de identificar la naturaleza

Previa de la entidad. operativa del negocio, su organización, ubicación de sus
instalaciones, las ventas, producciones, servicios
- Lograr comprender el prestados, su estructura financiera, las operaciones de
ambiente de control compra y venta y muchos otros asuntos que pudieran
ser significativos en lo que se va auditar
- Comprender el flujo de las 2. No concebir un adecuado planeamiento del trabajo a
operaciones realizar y/o no dirigirlo hacia las cuestiones que resulten
de mayor interés de acuerdo con los objetivos previstos
- Estudiar Papeles de 3. Concebir la planificación para exámenes innecesarios
Trabajo archivados de la 4. Extensión de pruebas por desconocimiento del ambiente
auditoría anterior. de control
5. Desconocimiento de antecedentes de deficiencias o
presuntos hechos delictivos como resultado de auditorías
anteriores.
 Al evaluarlos tendríamos:
RIESGOS EVALUACION DE RIESGOS

Impacto Probabilidad Nivel de Riesgo

N° Riesgo
L M G F M PF

1 El auditor no sea capaz de identificar la naturaleza X X Aceptable con medidas

operativa del negocio, su organización, ubicación de de control
sus instalaciones, las ventas, producciones, servicios
prestados, su estructura financiera, las operaciones de
compra y venta y muchos otros asuntos que pudieran
ser significativos en lo que se va auditar

2 No concebir un adecuado planeamiento del trabajo a X X Aceptable con medidas

realizar y/o no dirigirlo hacia las cuestiones que de control
resulten de mayor interés de acuerdo con los objetivos
previstos.

3 Concebir la planificación para exámenes innecesarios. X X Aceptable con medidas

de control

4 Extensión de pruebas por desconocimiento del X X Inaceptable

ambiente de control.

5 Desconocimiento de antecedentes de deficiencias o X X Aceptable con Medidas

presuntos hechos delictivos como resultado de de Control
auditorías anteriores.
 Evaluación de Riesgo

Ahora ilustremos estos resultados en una Matriz de Riesgo

F Inaceptable Inaceptable Inaceptable

M Moderado Moderado Inaceptable

PROBABILIDAD
PF Aceptable Moderado Inaceptable

L M G

IMPACTO
 Muestreo y Riesgo de Auditoría
La AICPA ( American Institute of Certified Accountants) estableció en el SAS (statement on
auditing standars) número 47 un modelo de riesgo de auditoría, según el cual el Riesgo de
auditoría se determina a partir de la siguiente fórmula:

RA Riesgo de auditoría
RI Riesgo Inherente
RC Riesgo de control
RD Riesgo de detección

Entonces,

RA = RI x RC x RD
 Muestreo y Riesgo de Auditoría

El RD depende de RC y RI por lo que el auditor, si puede conocerlo y actuar sobre el mismo,

estableciendo las pruebas de auditoría necesarias para alcanzar el objetivo del RA previamente
establecido, quedará representado como sigue:

RD = RA / RI x RC

Es decir, cuanto mayor sea el riesgo percibido inherente o de control para un riesgo de auditoría
determinado, menor será el nivel de riesgo de detección que el auditor está dispuesto a asumir .

Ejemplo: Si el auditor desea tener un riesgo máximo de auditoría del 5% y ha efectuado una
estimación de riesgo inherente del 20% y de riesgo de control del 40%, el riesgo máximo de
detección que debe asumir sería:

RD = 0,05/ 0,2 x 0,4 = 0,625 62,5%

 Muestreo y Riesgo de Auditoría

Es decir, cuanto mayor sea el riesgo inherente o de control para un

riesgo de auditoría determinado, menor será el nivel de riesgo de
detección que el auditor está dispuesto a asumir .

Ejemplo:
Si el auditor desea tener un riesgo máximo de auditoría del 5% y ha
efectuado una estimación de riesgo inherente del 20% y de riesgo de
control del 40%, el riesgo máximo de detección que debe asumir sería:

RD = 0,05/ (0,2 x 0,4) = 0,625, es decir, 62,5%

 Muestreo y Riesgo de Auditoría

Si el RI no puede ser cuantificable y el RC es el 50% , el auditor puede

optar por una postura mas conservadora respecto del primero y
estimarlo en el 100%, lo que provocaría que el RD tuviese que ser muy
bajo para seguir manteniendo un RA del 5%:

RD = 0,05 / 1 x 0,5 = 0,1 10%

En conclusión:

Lo que implica tener que realizar mas procedimientos de auditoría para

alcanzar ese RD tan bajo.

Si la confianza del auditor en el control interno es elevada y por lo tanto

el RC es bajo, el auditor deberá realizar mas pruebas de cumplimiento y
menos sustantivas.

Mientras que si por el contrario, el auditor no confía en el control

interno, deberá basar la auditoría sobre las pruebas sustantivas
incrementando el número de ellas.
 Estrategia de Auditoría

RI + RC = RD 1/2 RI + RC = RD
+ Pruebas sustantivas/muestras + Pruebas de cumplimiento
- Pruebas de cumplimiento +Pruebas sustantivas/muestras

Mayor
RI + RC = RD
-Pruebas de cumplimiento
Riesgo -Pruebas sustantivas/ -muestras
Inherente

Menor Riesgo Mayor

de RI + RC = RD ½
Control +Pruebas de cumplimiento
- Pruebas sustantivas
 Técnicas de Procedimientos para Administrar Riesgos

Evitar riesgos: Un riesgo es evitado cuando en la organización no se acepta.

Esta técnica puede ser más negativa que positiva.
Si el evitar riesgos fuera usado excesivamente el negocio sería privado de muchas
oportunidades de ganancia (por ejemplo: arriesgarse a hacer una inversión) y
probablemente no alcanzaría sus objetivos.

Reducción de riesgos: Los riegos pueden ser reducidos, por ejemplo con: programas
de seguridad, guardias de seguridad, alarmas y estimación de futuras pérdidas con la
asesoría de personas expertas.

Conservación de riesgos: Es quizás el más común de los métodos para enfrentar los
riesgos.
Cada organización debe decidir cuales riegos se retienen, o se transfieren basándose
en su margen de contingencia, una pérdida puede ser un desastre financiero para una
organización siendo fácilmente sostenido por otra organización.

Compartir riesgos: Cuando los riesgos son compartidos, la posibilidad de pérdida es

transferida del individuo al grupo.