UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA CONTADURIA PÚBLICA Y AUDITORIA AUDITORIA IVEDIFICIO S-6SALÓN: 212LICENCIADO: MOISES MARDOQUEO SAPON ULINLICENCIADA: KARLA OCAMPO

NORMAS GENERALES DE CONTROL INTERNO GUBERNAMENTAL

CARNE NOMBRE DEL ESTUDIANTE201215255 María Fernanda Paredes Solís

Guatemala, 30 de septiembre del 2015

IntroduccionUna matriz de riesgo constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organización.

La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico objetivo de la situación global de riesgo de una entidad. Exige la participación activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo de la empresa. Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades. Todo ello constituye un soporte conceptual y funcional de un efectivo Sistema Integral deGestión de Riesgo

La Matriz de RiesgosLas modernas metodologías de gestión de riesgos promueven una cultura de controles internos y administración de riesgos para una adecuada gestión de los procesos que soportan los negocios de la organización.Dentro de esa gestión de riesgos, que es muy grande, muy abarcativa y que involucra a todos los participantes de la organización, incluso a las Auditorías, me voy a referir a un elemento muy importante y que soporta una buena parte de esa gestión: las matrices de riesgos de los procesos. Si bien no se trata de la matriz de riesgos de la auditoría. Auditoría es usuaria de estas matrices y bien puede utilizarla como fuente para sus trabajos.Frecuentemente me solicitan modelos de matrices de riesgos o me piden referencias sobre sistemas de soporte con matrices de riesgos

Analizando los riesgos:

El análisis de un riesgo tiene básicamente dos dimensiones.La clasificación del riesgo, se refiere a su tipificación (de crédito, de mercado, operativo, de imagen, legal) y a sus subtipos. Esta apertura permite resumir por tipo de riesgo, a la vez que facilita su tratamiento, si fuera necesario.La calificación del riesgo, nos permite valorizar de alguna manera el riesgo. Para ello hayque determinar la severidad, que es el impacto potencial que produciría la materialización del riesgo identificado; y, además, calcular la probabilidad de ocurrencia del hecho. La probabilidad se basa en la mayoría de los casos, en el historial (cuántas veces se produjo el hecho en un período de tiempo, en la organización o en el mercado).

Evaluando los controles:

Una vez determinado por alguno de los métodos antes descripto el nivel del riesgo, hay que calcular la exposición real de ese riesgo. El valor de exposición a riesgo surge de restar al nivel de riesgo explicado, los controles existentes para mitigarlo.Estamos agregando un componente importantísimo a la matriz: los controles.Los controles son todas aquéllas actividades diseñadas para mitigar los distintos riesgos.

Evaluando los riesgos

Como dijimos el valor de exposición a los riesgos puede obtenerse restando al nivel del riesgo el control mitigante. Obtendríamos así, un valor residual o la exposición a los riesgos.El proceso continúa con la comparación entre este valor de exposición y un valor definido como nivel aceptable de riesgo. Si el valor de riesgo es mayor al aceptable habrá que tratarlo generando una respuesta al riesgo distinta de la actual.

RESPUESTA AL

RIESGO

ACTIVIDADES DE

CONTROL

INFORMACION Y

COMUNICACION

MONITOREO

La Se establecen e Se Se monitoreo la

selecciona las implementan políticas y

captura y comunica

totalidad de la

respuestas al procedimientos para la administración de

riesgo – evitar, ayudar a asegurar que

relevante en una riesgos del

aceptar, reducir o

las respuestas al riesgo

forma y en emprendimiento y

compartir el riesgo

se llevan a cabo de

cronograma que le

se realizan las

– desarrollando un manera efectiva. permita a la gente

modificaciones

conjunto de llevar a acabo sus

necesarias. El

acciones para responsabilidades. monitoreo se logra

alinear los riesgos

La comunicación mediante

con las tolerancias

efectiva también actividades

al riesgo y con el

ocurre con un administrativas,

apetito por el sentido amplio, evaluaciones

riesgo que tienen fluyendo desde separadas o

las grandes abajo, a través y ambas.

empresas. hacia arriba de lasgrandes empresas

La evaluación tiene por objeto examinar los procesos establecidos y determinar

si ofrecen una estructura de control efectiva. Los procesos deben evaluarse

cotejándolos con criterios identificados y prácticas estándar. Los procesos

deben ser elaborados en forma colegiada para lograr una eficiencia y dar

mayor valor agregado a los productos que brinda la empresa en el mercado.

EVALUACIÓN DEL SISTEMA DE CONTROL INTERNOEMPRESA:

DEFICIENCIAS OBSERVADAS

PROCEDIMIENTOS DE AUDITORIA QUE SE HAN DE REALIZAR

CONCLUSIONES RECOMENDACIONES

Al evaluar

el sistema

de

control

interno de

las grandes

empresas, se

detectan

deficiencias las

cuales serán

informadas a la

alta gerencia

para llevar

a cabo

medidas

Se destacan

los

procedimientos

necesarios para

llevar a cabo la

auditoria

incluyendo la

revisión de los

procesos de la

empresa, como parte

del valor

agregado que

brinda auditoria

interna.

Las conclusiones

de

auditoria

realizada son

base fundamental

para la

presentación del

informe que será

entregado a la

alta gerencia, y

dentro de los

cuales se

detallaran

las

deficiencias y las

medidas

necesarias

de

corrección

y prevención.

Estas

conclusiones

están basadas en

la revisión de los

Estas

recomendaciones son

extraídas de las

conclusiones

realizadas por

auditoria interna, en

base a la

revisión llevada

a cabo en el sistema

de control

interno, contabilidad y

procesos.

Las

recomendaciones son

presentadas a la alta

gerencia para

realizar las medidas de

corrección, además de

brindar seguimiento a

dichas

recomendaciones

como parte del

valor agregado

que brinda

auditoria interna.

PUNTOS FUERTES OBSERVADOS

LIMITACIONES DE LOS PROCEDIMIENTO

Se destacan los

puntos

que requieren

medidas

correctivas

y

preventivas

Existen limitaciones

a los procedimientos

los cuales deberán

ser mencionados

para dar

transparencia de las

revisiones realizadas.

Riesgos, importancia relativa, y procedimientos en

respuesta a los riesgos evaluados.

Evaluación del riesgo

La auditoria se ha planeado basada en el escepticismo profesional y

considerando la evaluación de los diferentes tipos de riesgos asociados

con los procesos y el sistema de control interno de las grandes empresas.

El riesgo de auditoría comprende tres componentes que son:

Riesgo Inherente: Se refiere a que el saldo de una cuenta o clase de

transacciones de un proceso sea susceptible a una representación

errónea que pudiera ser de importancia relativa, en lo individual o el

agregado con representaciones erróneas en otros saldos o clases,

suponiendo que no hubiera controles internos relacionados.

Riesgo de Control: Es el riesgo de una representación errónea que

pudiera ocurrir en un saldo de cuenta o clase de transacciones de un

proceso y que pudiera ser de importancia relativa, en forma individual

o en agregado con otras representaciones erróneas en otros saldos o

clases, no se prevenga o detecte y se corrija oportunamente por los

sistemas de contabilidad y de control interno.

Riesgo de Detección: Es el riesgo de que los procedimientos

sustantivos de un auditor no detecten una representación errónea que

exista en un saldo de cuenta o clase de transacciones de un proceso

que pudiera ser de importancia relativa, en lo individual o en agregado

con representaciones erróneas en otros saldos o clases.

En las grandes empresas se presentan riesgos asociados que pueden ser

derivados de amenazas externas y las debilidades internas, se pueden

clasificar en:

MATRIZ DE EVALUACIÓN DE RIESGOS Y CALIFICACIÓN GLOBAL DEL RIESGO DE AUDITORIA INTERNA POR PROCESOSPROCESOS RIESGOS DE

CONTROLRIESGO

INHERENTECOMBINACIÓN DE RIESGOS DE CONTROL E INHERENTE

RIESGO DE DETECC

CALIFICACIÓN GLOBAL DEL DESCRIPCIÓN P DESCRIPCION P

1. Proceso de ingresos y Al evaluar los Se realizará un Se deberá El riesgo Laegresos procesos de las detalle de los ponderar de calificación

2. Proceso de compras grandes empresas, riesgos inherentes ambos detección

global del

3. Proceso de Inventariosse realizará un según cada revisión riesgos dependerá riesgo será

detalle de cada de procesos, (riesgos de de la bajo el4. Proceso de inversiones riesgo de control determinando el control e evaluación criterio del

5. Proceso de detectado en este saldo de una cuenta inherente), realizada auditorcumplimiento tributario caso para cada uno o transacción dentro según el en el interno, al

de los procesos de un proceso, que criterio del riesgo de establecer6.Procesode conciliaciones auditados. sea susceptible a auditor control e una

Presentando una una representación interno. Y inherente. calificación7. Proceso de preparación

y presentaciónde

representación errónea de podrán ser: A, M, o B.

Estados financieros errónea que pudiera

importancia relativa.

AA, MM,

ocurrir en la revisión

BB o

de un proceso combinados

P = Ponderación del riesgo M = Medio o moderado B = Bajo A = Alto

La siguiente tabla muestra como puede variar el nivel aceptable de riesgo de

detección, basado en evaluaciones de los riesgos inherentes y de control.

La evaluación del auditor del riesgo de ALTA MEDIA BAJA

La evaluación del auditor del riesgo inherente

ALTA

MEDIA

BAJA

Lo más baja

Más baja

Media

Más baja Media Más alta

Media Más alta

Lo más alta

Existe una relación inversa entre el riesgo de detección y el nivel combinado

de los riesgos inherentes y de control. Cuando los riesgos inherentes y de

control son altos, los niveles aceptables del riesgo de detección necesitan ser

bajos para reducir el riesgo de auditoría a un nivel aceptable bajo. Por otra

parte, cuando los riesgos inherentes y de control son bajos, un auditor puede

aceptar un riesgo de detección más alto y aún así reducir el riesgo de

auditoria a un nivel aceptablemente bajo.

ConclusionConsecuentemente, una vez establecidas todas las actividades, se deben identificar las fuentes o factores que intervienen en su manifestación y severidad, es decir los llamados “factores de riesgo o riesgos inherentes”. El riesgo inherente es intrínseco a toda actividad, surge de la exposición y la incertidumbre de probables eventos o cambios en las condiciones del negocio o de la economía que puedan impactar una actividad. Los factores o riesgos inherentes pueden no tener el mismo impacto sobre el riesgo agregado, siendo algunos más relevantes que otros, por lo que surge la necesidad de ponderar y priorizar los riesgos primarios. Los riesgos inherentes al negocio de las entidades financieras pueden ser clasificados en riesgos crediticios, de mercado y liquidez, operacionales, legales y normativos estratégicos. El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra y un cálculo de los efectos potenciales sobre el capital o las utilidades de la entidad. La valorización del riesgo implica un análisis conjunto de la probabilidad de ocurrencia y el efecto en los resultados; puede efectuarse entérminos cualitativos o cuantitativos, dependiendo de la importancia o disponibilidad de información; en términos de costo y complejidad la evaluación cualitativa es la más sencilla y económica. La valorización cualitativa no involucra la cuantificación de parámetros, utiliza escalas descriptivas para evaluar la probabilidad de ocurrencia de cada evento. En general este tipo de evaluación se utiliza cuando el riesgo percibido no justifica el tiempo y esfuerzo que requiera un análisis más profundo o cuando no existe información suficiente para la cuantificación de los parámetros. En el caso de riesgos que podrían afectar significativamente los resultados, la valorización cualitativa se utiliza como una evaluación inicial para identificar situaciones que ameriten un estudio más profundo. La evaluación cuantitativa utiliza valores numéricos o datos estadísticos, en vez de escalas cualitativas, para estimar la probabilidad de ocurrencia de cada evento, procedimiento que definitivamente podría brindar una base más sólida para la toma de decisiones, ésto dependiendo de la calidad de información que se utilice.