Download - Matriz de Riesgos
UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA CONTADURIA PÚBLICA Y AUDITORIA AUDITORIA IVEDIFICIO S-6SALÓN: 212LICENCIADO: MOISES MARDOQUEO SAPON ULINLICENCIADA: KARLA OCAMPO
NORMAS GENERALES DE CONTROL INTERNO GUBERNAMENTAL
CARNE NOMBRE DEL ESTUDIANTE201215255 María Fernanda Paredes Solís
Guatemala, 30 de septiembre del 2015
IntroduccionUna matriz de riesgo constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organización.
La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico objetivo de la situación global de riesgo de una entidad. Exige la participación activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo de la empresa. Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades. Todo ello constituye un soporte conceptual y funcional de un efectivo Sistema Integral deGestión de Riesgo
La Matriz de RiesgosLas modernas metodologías de gestión de riesgos promueven una cultura de controles internos y administración de riesgos para una adecuada gestión de los procesos que soportan los negocios de la organización.Dentro de esa gestión de riesgos, que es muy grande, muy abarcativa y que involucra a todos los participantes de la organización, incluso a las Auditorías, me voy a referir a un elemento muy importante y que soporta una buena parte de esa gestión: las matrices de riesgos de los procesos. Si bien no se trata de la matriz de riesgos de la auditoría. Auditoría es usuaria de estas matrices y bien puede utilizarla como fuente para sus trabajos.Frecuentemente me solicitan modelos de matrices de riesgos o me piden referencias sobre sistemas de soporte con matrices de riesgos
Analizando los riesgos:
El análisis de un riesgo tiene básicamente dos dimensiones.La clasificación del riesgo, se refiere a su tipificación (de crédito, de mercado, operativo, de imagen, legal) y a sus subtipos. Esta apertura permite resumir por tipo de riesgo, a la vez que facilita su tratamiento, si fuera necesario.La calificación del riesgo, nos permite valorizar de alguna manera el riesgo. Para ello hayque determinar la severidad, que es el impacto potencial que produciría la materialización del riesgo identificado; y, además, calcular la probabilidad de ocurrencia del hecho. La probabilidad se basa en la mayoría de los casos, en el historial (cuántas veces se produjo el hecho en un período de tiempo, en la organización o en el mercado).
Evaluando los controles:
Una vez determinado por alguno de los métodos antes descripto el nivel del riesgo, hay que calcular la exposición real de ese riesgo. El valor de exposición a riesgo surge de restar al nivel de riesgo explicado, los controles existentes para mitigarlo.Estamos agregando un componente importantísimo a la matriz: los controles.Los controles son todas aquéllas actividades diseñadas para mitigar los distintos riesgos.
Evaluando los riesgos
Como dijimos el valor de exposición a los riesgos puede obtenerse restando al nivel del riesgo el control mitigante. Obtendríamos así, un valor residual o la exposición a los riesgos.El proceso continúa con la comparación entre este valor de exposición y un valor definido como nivel aceptable de riesgo. Si el valor de riesgo es mayor al aceptable habrá que tratarlo generando una respuesta al riesgo distinta de la actual.
RESPUESTA AL
RIESGO
ACTIVIDADES DE
CONTROL
INFORMACION Y
COMUNICACION
MONITOREO
La Se establecen e Se Se monitoreo la
selecciona las implementan políticas y
captura y comunica
totalidad de la
respuestas al procedimientos para la administración de
riesgo – evitar, ayudar a asegurar que
relevante en una riesgos del
aceptar, reducir o
las respuestas al riesgo
forma y en emprendimiento y
compartir el riesgo
se llevan a cabo de
cronograma que le
se realizan las
– desarrollando un manera efectiva. permita a la gente
modificaciones
conjunto de llevar a acabo sus
necesarias. El
acciones para responsabilidades. monitoreo se logra
alinear los riesgos
La comunicación mediante
con las tolerancias
efectiva también actividades
al riesgo y con el
ocurre con un administrativas,
apetito por el sentido amplio, evaluaciones
riesgo que tienen fluyendo desde separadas o
las grandes abajo, a través y ambas.
empresas. hacia arriba de lasgrandes empresas
La evaluación tiene por objeto examinar los procesos establecidos y determinar
si ofrecen una estructura de control efectiva. Los procesos deben evaluarse
cotejándolos con criterios identificados y prácticas estándar. Los procesos
deben ser elaborados en forma colegiada para lograr una eficiencia y dar
mayor valor agregado a los productos que brinda la empresa en el mercado.
EVALUACIÓN DEL SISTEMA DE CONTROL INTERNOEMPRESA:
DEFICIENCIAS OBSERVADAS
PROCEDIMIENTOS DE AUDITORIA QUE SE HAN DE REALIZAR
CONCLUSIONES RECOMENDACIONES
Al evaluar
el sistema
de
control
interno de
las grandes
empresas, se
detectan
deficiencias las
cuales serán
informadas a la
alta gerencia
para llevar
a cabo
medidas
Se destacan
los
procedimientos
necesarios para
llevar a cabo la
auditoria
incluyendo la
revisión de los
procesos de la
empresa, como parte
del valor
agregado que
brinda auditoria
interna.
Las conclusiones
de
auditoria
realizada son
base fundamental
para la
presentación del
informe que será
entregado a la
alta gerencia, y
dentro de los
cuales se
detallaran
las
deficiencias y las
medidas
necesarias
de
corrección
y prevención.
Estas
conclusiones
están basadas en
la revisión de los
Estas
recomendaciones son
extraídas de las
conclusiones
realizadas por
auditoria interna, en
base a la
revisión llevada
a cabo en el sistema
de control
interno, contabilidad y
procesos.
Las
recomendaciones son
presentadas a la alta
gerencia para
realizar las medidas de
corrección, además de
brindar seguimiento a
dichas
recomendaciones
como parte del
valor agregado
que brinda
auditoria interna.
PUNTOS FUERTES OBSERVADOS
LIMITACIONES DE LOS PROCEDIMIENTO
Se destacan los
puntos
que requieren
medidas
correctivas
y
preventivas
Existen limitaciones
a los procedimientos
los cuales deberán
ser mencionados
para dar
transparencia de las
revisiones realizadas.
Riesgos, importancia relativa, y procedimientos en
respuesta a los riesgos evaluados.
Evaluación del riesgo
La auditoria se ha planeado basada en el escepticismo profesional y
considerando la evaluación de los diferentes tipos de riesgos asociados
con los procesos y el sistema de control interno de las grandes empresas.
El riesgo de auditoría comprende tres componentes que son:
Riesgo Inherente: Se refiere a que el saldo de una cuenta o clase de
transacciones de un proceso sea susceptible a una representación
errónea que pudiera ser de importancia relativa, en lo individual o el
agregado con representaciones erróneas en otros saldos o clases,
suponiendo que no hubiera controles internos relacionados.
Riesgo de Control: Es el riesgo de una representación errónea que
pudiera ocurrir en un saldo de cuenta o clase de transacciones de un
proceso y que pudiera ser de importancia relativa, en forma individual
o en agregado con otras representaciones erróneas en otros saldos o
clases, no se prevenga o detecte y se corrija oportunamente por los
sistemas de contabilidad y de control interno.
Riesgo de Detección: Es el riesgo de que los procedimientos
sustantivos de un auditor no detecten una representación errónea que
exista en un saldo de cuenta o clase de transacciones de un proceso
que pudiera ser de importancia relativa, en lo individual o en agregado
con representaciones erróneas en otros saldos o clases.
En las grandes empresas se presentan riesgos asociados que pueden ser
derivados de amenazas externas y las debilidades internas, se pueden
clasificar en:
MATRIZ DE EVALUACIÓN DE RIESGOS Y CALIFICACIÓN GLOBAL DEL RIESGO DE AUDITORIA INTERNA POR PROCESOSPROCESOS RIESGOS DE
CONTROLRIESGO
INHERENTECOMBINACIÓN DE RIESGOS DE CONTROL E INHERENTE
RIESGO DE DETECC
CALIFICACIÓN GLOBAL DEL DESCRIPCIÓN P DESCRIPCION P
1. Proceso de ingresos y Al evaluar los Se realizará un Se deberá El riesgo Laegresos procesos de las detalle de los ponderar de calificación
2. Proceso de compras grandes empresas, riesgos inherentes ambos detección
global del
3. Proceso de Inventariosse realizará un según cada revisión riesgos dependerá riesgo será
detalle de cada de procesos, (riesgos de de la bajo el4. Proceso de inversiones riesgo de control determinando el control e evaluación criterio del
5. Proceso de detectado en este saldo de una cuenta inherente), realizada auditorcumplimiento tributario caso para cada uno o transacción dentro según el en el interno, al
de los procesos de un proceso, que criterio del riesgo de establecer6.Procesode conciliaciones auditados. sea susceptible a auditor control e una
Presentando una una representación interno. Y inherente. calificación7. Proceso de preparación
y presentaciónde
representación errónea de podrán ser: A, M, o B.
Estados financieros errónea que pudiera
importancia relativa.
AA, MM,
ocurrir en la revisión
BB o
de un proceso combinados
P = Ponderación del riesgo M = Medio o moderado B = Bajo A = Alto
La siguiente tabla muestra como puede variar el nivel aceptable de riesgo de
detección, basado en evaluaciones de los riesgos inherentes y de control.
La evaluación del auditor del riesgo de ALTA MEDIA BAJA
La evaluación del auditor del riesgo inherente
ALTA
MEDIA
BAJA
Lo más baja
Más baja
Media
Más baja Media Más alta
Media Más alta
Lo más alta
Existe una relación inversa entre el riesgo de detección y el nivel combinado
de los riesgos inherentes y de control. Cuando los riesgos inherentes y de
control son altos, los niveles aceptables del riesgo de detección necesitan ser
bajos para reducir el riesgo de auditoría a un nivel aceptable bajo. Por otra
parte, cuando los riesgos inherentes y de control son bajos, un auditor puede
aceptar un riesgo de detección más alto y aún así reducir el riesgo de
auditoria a un nivel aceptablemente bajo.
ConclusionConsecuentemente, una vez establecidas todas las actividades, se deben identificar las fuentes o factores que intervienen en su manifestación y severidad, es decir los llamados “factores de riesgo o riesgos inherentes”. El riesgo inherente es intrínseco a toda actividad, surge de la exposición y la incertidumbre de probables eventos o cambios en las condiciones del negocio o de la economía que puedan impactar una actividad. Los factores o riesgos inherentes pueden no tener el mismo impacto sobre el riesgo agregado, siendo algunos más relevantes que otros, por lo que surge la necesidad de ponderar y priorizar los riesgos primarios. Los riesgos inherentes al negocio de las entidades financieras pueden ser clasificados en riesgos crediticios, de mercado y liquidez, operacionales, legales y normativos estratégicos. El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra y un cálculo de los efectos potenciales sobre el capital o las utilidades de la entidad. La valorización del riesgo implica un análisis conjunto de la probabilidad de ocurrencia y el efecto en los resultados; puede efectuarse entérminos cualitativos o cuantitativos, dependiendo de la importancia o disponibilidad de información; en términos de costo y complejidad la evaluación cualitativa es la más sencilla y económica. La valorización cualitativa no involucra la cuantificación de parámetros, utiliza escalas descriptivas para evaluar la probabilidad de ocurrencia de cada evento. En general este tipo de evaluación se utiliza cuando el riesgo percibido no justifica el tiempo y esfuerzo que requiera un análisis más profundo o cuando no existe información suficiente para la cuantificación de los parámetros. En el caso de riesgos que podrían afectar significativamente los resultados, la valorización cualitativa se utiliza como una evaluación inicial para identificar situaciones que ameriten un estudio más profundo. La evaluación cuantitativa utiliza valores numéricos o datos estadísticos, en vez de escalas cualitativas, para estimar la probabilidad de ocurrencia de cada evento, procedimiento que definitivamente podría brindar una base más sólida para la toma de decisiones, ésto dependiendo de la calidad de información que se utilice.