wilda rodríguez vázquez, cfe oscar a. luna díaz, mba 25 de octubre de 2002 evaluación de riesgo,...

Wilda Rodríguez Vázquez, CFEOscar A. Luna Díaz, MBA

25 de octubre de 2002

Evaluación de Riesgo, Complemento Esencial en la Auditoría Interna

OFICINA DEL CONTRALOR DE P.R.Oficina de Auditoría Interna

Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia

Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.

Durante la presentación se discutirán los siguientes temas:

• Concepto de Riesgo

• Control Interno

• Evaluación de Riesgo Nivel Organizacional (Macro) – Areas Auditables

– Determinación de los factores de riesgo


(Cont.) Temas a presentarse

– Selección de la escala de riesgo

• Cuestionario de Control para las áreas auditables.

• Evaluación de Riesgo Nivel de Auditoría (Micro) *


Riesgo

• Es la probabilidad de que un evento o acción pueda afectar adversamente a la organización.

• El riesgo es una medida de incertidumbre que envuelve las consecuencias y posibilidad de que un evento ocurra.


Riesgo

• Consecuencias– Son los resultados tangibles del riesgo en las

decisiones, eventos o procesos.– Las consecuencias pueden variar en severidad

dependiendo de los siguientes factores:• Exposición

• Tipo de debilidad, amenaza o riesgo

• Duración


Riesgo

• Los Estandares para la Práctica Profesional de la Auditoría Interna se refieren a las consecuencias como el efecto del riesgo.– Los efectos del riesgo pueden incluir:

• Desiciones erroneas de la gerencia por la utilización de información incorrecta, incompleta o poco confiable.

• Contabilidad inapropiada


Riesgo

• Fallar en salvaguardar adecuadamente los activos.

• Insatisfacción del cliente, publicidad negativa y daño a la reputación de la organización.

• Fallar en adoptar políticas, planes y procedimientos organizacionales o no cumplir con leyes y reglamentos.

• Utilización de recursos inefectiva o ineficientemente

• Fallar en cumplir con los objetivos y metas de la organización.


Riesgo

• Riesgos de la Organización:– Son los riesgos inherentes de tener activos en

funcionamiento para alcanzar los objetivos establecidos. (Riesgos normales de la organización sin considerar los efectos del sistema de control interno).*


Control Interno

• Es un proceso utilizado por la Gerencia (Junta de Gobierno, Administración) para proveer seguridad razonable en cuanto al logro de los objetivos en las siguientes categorias:– Efectividad y eficiencia de las operaciones– Confiabilidad de la información financiera– Cumplimiento con Leyes y Reglamentos


Control Interno

• Componentes de control interno:– Ambiente de control– Evaluación de riesgo– Actividades de Control– Comunicación e Información– Monitoreo


Control Interno

• Los controles internos se pueden clasificar como:– Preventivos

• Son controles que intentan disminuir o prevenir la ocurrencia de eventos no deseados. Son proactivos y ayudan a prevenir pérdidas.

– Ejemplos: Segregación de tareas, Autorizaciones, Documentación y Control físico sobre los activos.


Control Interno

– Detectivos:• Son controles que intentan descubrir o detectar actos

no deseados. Proveen evidencia para una pérdida que ha ocurrido, pero no previenen la ocurrencia de dicha pérdida.

– Ejemplos: Revisiones, Análisis de varianzas, Reconciliaciones, Inventarios y Auditorías.

– Ambos tipos de controles son esenciales para un sistema de control interno efectivo.


Control Interno

• ¿Cómo se identifican y manejan los riesgos en la organización?– Un sistema de control interno efectivo permite

que la gerencia valore, monitoree y maneje los riesgos más importantes


IdentificarIdentificarRiesgosRiesgos

Medir yMedir yAnalizarAnalizarRiesgosRiesgos

MonitoreoMonitoreoActividadesActividadesde Controlde Control

ImplementarImplementarActividadesActividadesde Controlde Control

EstablecEstablecer er ObjetivoObjetivoss

Evaluación de Riesgo desde el Marco de Evaluación de Riesgo desde el Marco de Referencia de COSOReferencia de COSO

COSO= Committee of Sponsoring Organizations of the Treadway Commission


Evaluación de Riesgo

• Es el método para identificar y valorar el riesgo en relación con el logro de los objetivos de la organización. Es un proceso sistemático que integra el juicio profesional sobre eventos o condiciones adversas que son probables en la organización.



• El Director de Auditoría Interna generalmente asigna la prioridad en el plan anual para aquellas actividades que resultan con mayor riesgo.



• La evaluación de riesgo consiste de :– Identificación de los riesgos

• Identificar y clasificar los riesgos de la organización y sus características.

– Medición de los riesgos• Medida de cuán severas pueden ser las

consecuencias y la posibilidad de ocurrencia.



– Prioridades• Determinar que riesgos son más críticos para la

organización. Establecimiento del orden en que se colocan los riesgos dependiendo de la severidad de los mismos.

– Manejo del riesgo• Asegurar procedimientos de control y otras acciones

gerenciales para dirigir y controlar los riesgos identificados.



• El auditor interno utiliza la evaluación de riesgo para:– Desarrollar su plan de trabajo anual– Determinar las prioridades– Proveer orientación a las diferentes áreas dentro

de la organización



• Clases de Evaluación de Riesgo:– Evaluación de Riesgo a nivel organizacional

(Macro)– Evaluación de Riesgo a nivel de auditoría

(Micro)



• Evaluación de Riesgo a nivel organizacional (Macro)– El propósito de la evaluación de riesgo a éste

nivel es obtener información para la preparación de un plan anual que sea justificable, esté basado en las áreas de mayor riesgo de la organización, agrege valor y provea información a la gerencia.



• La evaluación de riesgo a nivel organizacional envuelve los siguientes pasos:– Identificar la unidades o actividades auditables– Determinar los factores de riesgo– Determinar el peso para los factores de riesgo– Asignar una escala de valores para los factores

de riesgo



– Evaluar las actividades auditables en relación con los factores de riesgo

– Determinar las actividades con mayor riesgo a las que se le da prioridad en la preparación del plan anual.


Evaluación de Riesgo (Macro)Actividades Auditables

• Actividades Auditables– La evaluación de riesgo a nivel organizacional

comienza identificando las actividades auditables y desarrollando un inventario de dichas actividades.

– Actividad auditable es una unidad, sistema o área la cual puede ser definida o identificada y sobre la cual el auditor puede realizar pruebas.



• Actividades auditables pueden ser:– Unidades Organizacionales– Políticas o Procedimientos– Sistemas de Información– Contratos y Programas Federales– Procesos– Estados Financieros– Leyes y Reglamentos



• Niveles de Actividades Auditables– Agencias o Corporaciones con diversidad de

divisiones.– Agencias o Corporaciones con procesos

complejos.– Agencias o Corporaciones con múltiples

unidades de funciones similares.


Evaluación de Riesgo (Macro)

• Una vez las actividades auditables son identificadas la evaluacion de riesgo a nivel organizacional envuelve:– Determinar los factores de riesgo– Otorgar peso a los factores– Desarrollar la escala para los riesgos


Evaluación de Riesgo (Macro)Factores de Riesgo

• Determinación de Factores de Riesgo– Los factores de riesgo son el criterio utilizado

para evaluar las actividades auditables.– Los factores de riesgo seleccionados deben ser:

• Diversos en naturaleza y representativos de varios riesgos de la organización

• Indicativos de asuntos de mayor riesgo• Significativos• Razonables


Evaluación de Riesgo (Macro)Factores de Riesgo

• Algunos ejemplos de factores de riesgo:– Tamaño, Complejidad o Liquidez– Presupuesto– Ambiente Interno– Ambiente de Control y Dirección– Sistema de Control Interno– Tiempo desde la última auditoría


Evaluación de Riesgo (Macro)Asignación de Peso

• Asignación de peso a los factores de riesgo:– Algunos factores de riesgo seleccionados son

más importantes que otros. Mediante la otorgación de peso los factores más importantes tendran mayor impacto en la evaluación de riesgo.


Evaluación de Riesgo (Macro)Asignación de Peso

• Métodos para otorgar peso a los factores de riesgo:– Utilización de Muy Importante, Importancia

Promedio o Baja Importancia– Asignación a cada factor de riesgo de una

cantidad procentual a juicio hasta llegar a 100%– Asignación de puntuación a juicio a cada factor.


Evaluación de Riesgo (Macro)Escala de Valores

• Selección de la escala de riesgo:– Para evaluar cada actividad de auditoría con su

factor de riesgo es necesario asignar una escala a los factores.

• Ejemplo de escalas de valor:– Asignación de Bajo, Mediano o Alto Riesgo– Escala numérica basada en información

cualitativa.


Evaluación de Riesgo (Macro)Escala de Valores

– Cont. Escala numérica• 1= Bajo riesgo5= Alto riesgo• 1= Sistema de control interno adecuado• 5= Sistema de Control interno inadecuado

– Escala numérica basada en información cuantitativa

• 1= <$10,000 5= >$100,000

– Tiempo desde la última auditoría• 1= Reciente 5= 5 años o más



• Escala de valores utilizada para determinar los niveles de riesgo en la OCPR– 1-2 Bien Alto- Extremadamente Crítico– 3-4 Alto Riesgo- Crítico– 5-6 Posible Riesgo- Moderado– 7-8 Bajo Riesgo- Bueno– 9-10 Bien Bajo- Excelente



• Para obtener información al realizar la evaluación de riesgo se deben considerar las siguientes fuentes:– Entrevistas con la Gerencia– Informes de Auditoría Anteriores– Sistema de Seguimiento de Recomendaciones– Investigaciones de la Gerencia



• Cont. Fuentes de Información:– Informes Financieros– Informes Anuales– Sistemas de Contabilidad– Cuestionarios *



• Aquellas actividades con mayor riesgo deben recibir prioridad al preparar el plan de trabajo anual.– Factores a considerar al preparar el plan anual

de auditoría interna:• Personal disponible

• Presupuesto

• Metas u objetivos de ejecución o cumplimiento



• Horas anticipadas para investigaciones u otros trabajos

• Peticiones de la gerencia

• Tamaño de las auditorías

• Deseo de que se cubran varias áreas de la organización

• Experiencia de los auditores



• La evaluación de riesgo debe ser actualizada anualmente debido a:– Cambios en las actividades auditables– Surgimiento de nuevos riesgos– Cambios en las leyes y reglamentación


Evaluación de Riesgo (Micro)

• Evaluación de Riesgo a nivel de auditoría – Es la evaluación que se realiza en la etapa de

planificación de la auditoría, una vez se ha seleccionado la actividad que se va ha auditar. La evaluación de riesgo exitosa resulta en una auditoría que se enfocará en las áreas más críticas.



• La evaluación de riesgo a nivel de auditoría envuelve los siguientes pasos:– Identificar los procesos y objetivos para la

actividad a auditar.– Identificar los riesgos en relación con los

objetivos de la actividad.– Valorar los riesgos de acuerdo con su severidad

y a los objetivos



– Establecer la prioridad entre los riesgos de acuerdo con la evaluación.

– Identificar las acciones de la gerencia encaminadas a la reducción del riesgo (Establecimiento de controles internos).

– Determinar el impacto de la evaluación de riesgo a nivel de auditoría en relación con el programa de auditoría.



• Identificación de los procesos:– Dependiendo de la complejidad y naturaleza de

la actividad a ser auditada es beneficioso en primer lugar determinar los procesos claves, funciones y ciclos de la actividad. Esto provee el punto de partida para la identificación de los objetivos de la actividad auditada.



• Identificación de los riesgos en relación con los objetivos:– La fase de planificación de la auditoría incluye

la determinación del alcance, desarrollo de los objetivos y la reunión inicial con la gerencia.

– Durante esta fase la evaluación de riesgo envuelve obtener información general sobre la actividad, incluyendo los objetivos y riesgos mayores de la actividad.



– Determinación del alcance:• Un paso clave en la determinación del alcance de la

auditoría y los objetivos es la revisión de toda la información disponible en relación con el área a auditar.



• Valoración o medición de los riesgos:– Una vez los riesgos son identificados el

próximo paso es medirlos.– La medida del riesgo se realiza en dos

dimensiones:• Severidad de las consecuencias

– Mide la magnitud de un evento negativo. Es la exposición o el impacto negativo que el evento puede tener en la organización.



– La severidad de las consecuencias puede ser medida utilizando:

» Escala Descriptiva

» Escala Cualitativa

» Escala Monetaria

» Riesgo en dolares

• Posibilidad de ocurrencia– Es la probabilidad o frecuencia de ocurrencia de un evento

de riesgo. Es la probabilidad sin considerar ningún procedimiento de control implantado por la gerencia.



– La posibilidad de ocurrencia puede ser medida en términos cualitativos o cuantitativos:

» Descriptiva» Escala Cualitativa» Margen de Error

• Prioridad de los riesgos:– El establecimiento de la prioridad entre los

riesgos identificados depende de la severidad de las consecuencias y de la posibilidad de ocurrencia.



– Métodos para establecer la prioridad entre los riesgos identificados:

• Prioridad relativa

• Clasificación absoluta

• “Matrix Ranking” (Orden utilizando una matriz matemática)



• Una vez se establecen las prioridades– Se identifican las actividades de control– Evalúan los controles internos– Se determina como la evaluación de riesgo

afecta el resto de la auditoría.



• Algunos ejemplos de riesgos:– Relacionados con los activos:

• Fraude o robo

• Desastres o accidentes

• Exposición

• Mantenimiento inadecuado

– Relacionados con las operaciones:• Compras


Evaluación de riesgo (Micro)

– Relacionados con las operaciones:• Compras

– Materiales que no cumplen con las especificaciones

– Confabulación

– Compras poco económicas

• Operaciones– Tardanzas en los servicios

– Calidad de servicio poco adecuada



• Almacén– Inventario insuficiente para cubrir pedidos u órdenes

– Excedente de inventario

• Recursos Humanos– Reclutamiento de candidatos poco cualificados

– Adiestramiento inadecuado

• Finanzas– Información no actualizada o incompleta

– Falta de documentación

– Reconciliaciones incompletas o fuera de tiempo


Evaluación de riesgo (Micro)

– Relacionados con sistemas de información:• Actualización y Calidad de la información

– Errores, omisiones o duplicidad

– Información insuficiente o fuera de tiempo

• Seguridad y acceso a la información– Accesos no autorizados a los archivos

– Transacciones no autorizadas

• Resguardos y recuperación ante desastres– Pérdida de información crítica

– Interrupción de las operaciones



• Equipo y Programación– Sistemas insuficientes e inadecuados

– Implantación de sistemas inefectiva o fuera de tiempo

– Relacionados con ambiente externo e interno• Externo

– Nueva reglamentación

– Condiciones económicas

– Operaciones extranjeras ( condiciones económicas y políticas)

– Nueva tecnología y productos


• Interno- Nuevo personal

- Nuevos Sistemas de Información

- Rápido Crecimiento

- Nuevas Actividades, productos o servicios

- Reestructuraciones

- Limitaciones presupuestarias



Conclusión

• Todos los funcionarios en la organización son responsables del control interno y la evaluación de riesgo;– El Director Ejecutivo, Administrador

– La Gerencia

– El Auditor Interno


CONTAMOS CON SU COOPERACIÓN

PARA MEJORAR LA FISCALIZACIÓN

Y ADMINISTRACIÓN DE LA PROPIEDAD

Y LOS FONDOS PÚBLICOS

CONTAMOS CON SU COOPERACIÓN

PARA MEJORAR LA FISCALIZACIÓN

Y ADMINISTRACIÓN DE LA PROPIEDAD

Y LOS FONDOS PÚBLICOS

wilda rodríguez vázquez, cfe oscar a. luna díaz, mba 25 de octubre de 2002 evaluación de riesgo,...

Documents