Facultad de negocios

Contabilidad y finanzas

Teoría del riesgo -

Tipos de riesgo empresariales -
Introducción y preparación de
mapas o matrices de riesgo
Es la probabilidad de que
un acontecimiento pueda
afectar el alcance de los
objetivos.

Estos riesgos incluyen

eventos o circunstancias
que pueden afectar el
registro, procesamiento y
reporte de información
financiera, así como las
representaciones de la
gerencia en los estados
financieros.
 La posibilidad de
existencia de errores
puede presentarse
en distintos niveles,
por lo tanto se debe
Un riesgo de auditoría analizar de la forma
es aquel que existe en más apropiada para
todo momento por lo observar la
cual genera la implicación de cada
posibilidad de que un nivel sobre las
auditor emita una auditorías que vayan
información errada. a ser realizadas.
RIESGOS DE AUDITORIA
RIESGO PROFESIONAL

RIESGO DE
SATISFACCION DEL INHERENTE
CLIENTE

RIESGO DE AUDITORIA DE CONTROL

DE DETECCION
 Por ello, al preparar su
propuesta y en la
etapa de
planeamiento de
auditoria, el auditor
debe tomar
Posibilidad que el
conocimiento máximo
auditor se involucre con
de la entidad a auditar,
personas y/o entidades
de los propietarios,
que afecten su imagen
de los profesionales
o prestigio profesional
que dirigen y asesoran,
de sus clientes, de sus
proveedores y toda
información necesaria
que ayude a identificar
este tipo de riesgo

5
Posibilidad que el auditor no satisfaga las
expectativas al cliente.

El auditor para eliminar este riesgo debe ser

contundente, con los requerimientos técnicos
de su cliente, para ello examinará bien su
trabajo, a fin de determinar las expectativas del
cliente, y brindar un asesoramiento adecuado
en el desarrollo de la información, en la
evaluación de los procesos de la entidad, en la
revisión de una cuenta o un componente, etc.

Si las expectativas del cliente son satisfechas,

prácticamente aseguramos la continuidad de
nuestro trabajo de auditoria en la entidad, además
de crear una posibilidad de atraer a otros clientes.

6
 Ejemplo: Emitir un
Posibilidad que el dictamen
informe del “limpio” (sin
auditor, salvedades)
contenga errores cuando los EEFF
importantes contienen errores
significativos.

7
 Riesgo Se encuentran fuera de
inherente control por parte del auditor
y son propias de
los sistemas y actividades
de la entidad.
El riesgo de que los
estados financieros
Riesgo de contengan una declaración
control equivocada

Está directamente
relacionado con la labor del
Riesgo de no auditor.
detección El riesgo de que el auditor
no detectará tal declaración
equivocada
 Se presenta exclusivamente la
actividad económica o
negocio de la empresa,
independientemente de los
sistemas de control interno que
allí se estén aplicando.

Este riesgo puede afectar a

una cuenta o a un
componente en particular

Se entienda como la
posibilidad de error o
irregularidad producto de una
situación que la entidad
auditada no puede controlar,
es un riesgo de negocios.

9
Riesgo operacional

• Todo suceso que genera una posibilidad de pérdida

directa o indirecta como consecuencia de fallas en
los procesos internos.

Riesgo residual

• El riesgo después de que la administración de una

organización haya llevado a cabo una acción para
modificar la probabilidad o impacto a un riesgo.

Riesgo aceptado

• La cuantía del riesgo que una organización está

dispuesta a asumir para realizar su misión (o
• visión).
Posibilidad que el sistema administrativo y de control
implantado por la empresa no prevenga, ni detecte
errores o irregularidades significativas, como la falta de
protección de activos, controles gerenciales, deficiencias
en el cálculo de las planillas, etc.
Riesgo Medio. El Riesgo Alto. El
Riesgo Bajo. El auditor auditor
auditor considera que considera que
considera que es más es más
los controles probable que probable que
detectarán los controles no los controles no
cualquier detecten detecten
aseveración cualquier cualquier
errónea que aseveración aseveración
pudiera ocurrir errónea que errónea que
en exceso de la pudiera ocurrir pudiera ocurrir
materialidad en exceso de la en exceso de la
diseñada. materialidad materialidad
diseñada. diseñada
No se realizan revisiones periódicas de los costos laborales

Diferencias significativas entre el inventario físico de activo fijo y los

registros contables

Las Existencias no son protegidos adecuadamente

Falta de conciliación de las cuentas por cobrar y por pagar a

afiliados

Diferencias frecuentes entre las cantidades despachadas y las

requeridas para la venta

Los registros permanentes de existencias no son confiables

Proceso llevado a cabo por el
Consejo de Administración, la
Gerencia y otro personal de la
Organización, diseñado para
proporcionar una seguridad
razonable sobre el logro de los
objetivos de la organización.
AUMENTANDO LA CAPACIDAD PARA:

Alinear el nivel de riesgo aceptado con la estrategia.

Unir crecimiento, riesgo y rendimiento

Mejorar las decisiones de respuesta al riesgo.

Minimizar sorpresas y pérdidas operativas.

Identificar y administrar riesgos a nivel de la entidad.

Racionalizar el uso de recursos.

COMPONENTES DEL COSO:
Proceso de evaluación del diseño y
operación de los controles por parte
MONITOREO del personal apropiado, siendo en
tiempo y tomando acciones
necesarias.
Las actividades de control son las
ACTIVIDADES DE políticas y procedimientos que
CONTROL ayudan a asegurar que las directrices
de la gerencia son llevadas a cabo.
Permite a los empleados capturar e
INFORMACIÓN Y intercambiar la información necesaria
COMUNICACIÓN para organizar, dirigir y controlar sus
operaciones.
Permite a una entidad considerar la
amplitud con que los eventos
EVALUACIÓN DE RIESGOS
potenciales impactan en la
consecución de objetivos.
Está referido a atributos que incluyen
AMBIENTE DE CONTROL la integridad, valores éticos,
habilidades y el ambiente en el que
estos se desarrollan.
Posibilidad que el informe de
auditoría exprese una opinión
inapropiada; es decir, errada,
producto de la
mala aplicación de los
procedimientos de auditoria,
que no contemplan los riesgos
inherentes y riesgos de control

16
CLASIFICACIÓN DE RIESGOS
TIPO DE RIESGO CARACTERISTICAS EJEMPLOS
ESTRATÉGICO Riesgos de reducción del  Riesgo por
crecimiento y de desinformación
incumplimiento de los  Riesgo por Ciclo
objetivos empresariales, económico
por la incapacidad de  Riesgo de Industria,
respuesta ante un Actividad o Producto
entorno competitivo
dinámico
OPERATIVO Riesgos relacionados con  Riesgo de reputación
la dependencia de una de la marca
organización de los  Riesgo de Recursos
procesos, las personas y  Riesgo Tecnológico
los productos
FINANCIERO Riesgos derivados de  Riesgo de tipo de
fluctuaciones adversas interés
en las variables  Riesgo de tipo de
financieras que afecten cambio
al resultado de la
empresa
FORTUITO Asociados a desastres  Desastres naturales
naturales, daños
causados a los activos e
interrupción del negocio
https://www.youtube.com/watch?v=VFPCBmW7e8c
 Sirve para realizar
un diagnostico
Herramienta de control y gestión utilizada objetivo de la
para identificar: situación global de
la entidad

procesos productos

Importantes de una empresa, el tipo y

nivel de riesgos inherentes
Entrevistas con expertos en el
proceso o área de interés.

Diagramas de flujo

Revisión de registros

Lluvias de ideas

Cuestionarios
 Determinar ¿Qué
puede suceder? Junto Establecer ¿Cómo y
con el equipo de Por qué puede
trabajo establecido suceder? Teniendo
para la gestión de identificados los
riesgos y apoyados en riesgos se deben
la información establecer las causas
contenida en las reales y potenciales
caracterizaciones de que podrían conducir
los procesos, se a su materialización,
definirán los posibles así como los posibles
eventos de riesgos que escenarios en los que
Clasificar
podrían el riesgo
materializarse se podrían presentar.
Después de identificar
en la organización.
las causas,
Determinar las
generadores y áreas
consecuencias Por
de impacto para
último se deben
cada uno de los
establecer los efectos
riesgos, los mismos
que traería para la
deben ser asociados a
organización la
una clasificación que
ocurrencia de cada
le permita a la
uno de los eventos de
organización
riesgo identificados.
reconocer el tipo de
riesgo al cual se
enfrenta.
• Definición y aprobación de las
escalas de medición a utilizar Cualitativ Semi Cuantitati
a cualitativa va

Los dueños de
proceso y el equipo
de trabajo en gestión
de riesgos deben
evaluar cada uno de • Medición del riesgo puro-
los riesgos
identificados de absoluto inherente
acuerdo a su
experiencia y
tomando como base
la información
recopilada durante el
proceso de
ELABORACIÓN DEL MAPA DE RIESGO

Los mapas de riesgo constituyen una

herramienta gerencial que brinda
criterios de decisión a la alta
dirección frente a los cambios que
deben ser en la organización para
controlar los riesgos existentes
y prevenir su materialización.
Identificación de controles
• En conjunto con el grupo de trabajo y de acuerdo a las causas
establecidas en la etapa de identificación para cada unos de los
riesgos, se deberán determinar los controles existentes que pueden
reducir o prevenir la materialización de los riesgos previamente
Medición de riesgo residual
identificados.
• Después de que los controles sean identificados, la evaluación de sus
atributos le brindará al grupo de trabajo y al dueño del proceso
información relevante para evaluar nuevamente el impacto y la
probabilidad de ocurrencia del riesgo frente a la efectividad de los
controles. Está información debe ser llevada nuevamente al mapa de
riesgos para evidenciar los resultados de la gestión de acuerdo a la
Priorización deriesgo
transición del riesgos
• De acuerdo a la medición de riesgo residual y con base en el mapa de
procesos, el representante legal de la organización junto al Comité
coordinador de control interno deben seleccionar los riesgos de mayor
impacto en la organización y posteriormente establecer tratamiento al
cual deben ser sometidos estos riesgos de acuerdo a las disposiciones de
la alta gerencia. Esta priorización se realiza con relación a la calificación
de consecuencia y probabilidad de riesgo.
• Control preventivo: Es aquel que • Control Detectivo: Este control alerta
busca eliminar las causas del riesgo en el momento en que se esta
para prevenir su materialización. materializando el riesgo. Son
controles de este tipo los detectores
de humo

• Control Correctivo: El control

correctivo mitiga o corrige los efectos
de la materialización del riesgo,
también permite la modificación de
acciones que propiciaron la
ocurrencia del riesgo.
Proceso de identificación y análisis de
los riesgos a la que esta expuesta la
entidad para el logro de sus objetivos y
la elaboración de una respuesta
apropiada a los mismos.
NORMAS BÁSICAS PARA LA EVALUACIÓN DEL
RIESGO
•Proceso de desarrollar y
documentar una estrategia clara,
organizada e interactiva para
identificar y valorar los riesgos que
puedan impactar en una entidad
impidiendo el logro de los
objetivos. Se deben desarrollar
planes, métodos de respuesta y
monitoreo de cambios, así como
un programa para la obtención de
los recursos necesarios para definir
acciones en respuesta a riesgos.

Planificación de
la Administración
de Riesgos

Proceso permanente, interactivo e
integrado con el proceso
planeamiento y deberá partir de la
definición clara de objetivos
estratégicos de la entidad.
La identificación de los riesgos podrá
darse en el nivel de entidad (riesgos
de carácter general) y en el nivel de
procesos (afectación a los procesos).
Existen varias herramientas y técnicas
para la identificación de riesgos
Identificación de
Riesgos
1. Técnicas de recopilación de información:
• Tormenta de ideas: lista de riesgos
• Técnica Del phi: Opinión de expertos
• Cuestionarios y Encuestas
• Entrevistas
de
• Análisis FODA
2. Técnicas de Diagramación
• Diagrama causa–efecto
• Diagrama de flujo de procesos
• Inventario de riesgos
 Clasificación de riesgos:
 Riesgo operativo
 Riesgo financiero
 Riesgo estratégico
• Permite clasificar y  Riesgo fortuito
valorar los eventos
potenciales que
Impactan en la Registro de riesgos
consecución de los Nos permitirá hacer un inventario
objetivos. de los riesgos.
• Se efectúa en base a la
información obtenida
en la etapa Previa
(Identificación de
Valoración
riesgos). de
riesgos
 PROBABILIDAD: Se deben establecer las categorías a utilizar y su descripción,
con el fin de que quien aplique la escala mida a través de ella la posibilidad de
ocurrencia de los riesgos:
 PROBABLE: Es muy frecuente la materialización del riesgo o se presume que
llegará a materializarse.
• POSIBLE: Es frecuente la materialización del riesgo o se presume que
posiblemente se podrá materializar.

Criterios de • IMPROBABLE: Es poco frecuente la materialización del riesgo o se presume

que no llegará a materializarse.
evaluación
IMPACTO: Se debe establecer las categorías y su descripción, de las
consecuencias de la materialización de los riesgos, por ejemplo:
 LEVE: Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre
la entidad.
 MODERADO: Si el hecho llegara a presentarse tendría medio impacto o
efecto en la entidad
 CATASTRÓFICO: Si el hecho llegara a presentarse tendría alto impacto o
efecto en la entidad
MATRIZ DE RIESGO

NIVEL DE RIESGO
 Probable
Posible
Probabilidad Improbable

Análisis Cualitativo

Leve
Impacto Moderado
Catastrófico

Evaluación

Análisis Cuantitativo
 MATRIZ DE PROBAILIDAD/IMPACTO
Los riesgos pueden ser priorizados para un análisis cuantitativo posterior y para las respuestas
posteriores basándose en su calificación. Las calificaciones asignadas a los riesgos basándose en
la probabilidad y el impacto evaluados. La evaluación de la importancia de cada riesgo y, por
consecuente, de su prioridad generalmente se realiza usando una tabla de búsqueda o una
matriz de probabilidad e impacto. Dicha matriz riesgos como aceptable, tolerable, moderado,
importante e inaceptable. Pueden utilizar términos descriptivos o valores numéricos,
dependiendo de la preferencia de la entidad.
 OPCIONES DE TRATAMIENTO DE LOS RIESGOS

Evitar riesgo: Implica el Reducir el riesgo: Incluye

La administración identifica las prevenir las actividades los métodos y técnicas
opciones de respuesta al riesgo
que lo originan específicas para lidiar con
considerando la probabilidad y el
impacto en relación con la
ellos, identificándolos y
tolerancia al riesgo y su relación proveyendo una acción
costo-beneficio. La consideración para la reducción de su
del manejo del riesgo y la probabilidad e impacto
selección e implementación de
una respuesta son parte integral
de la administración del riesgo Compartir riesgo: Reduce Aceptar riesgo: No realiza

Respuest
la probabilidad o el acción alguna para
impacto mediante la afectar la probabilidad o
transferencia u otra el impacto.
a al manera de compartir una
parte del riesgo

riesgo