UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

FACULTAD DE CIENCIAS ECONÓMICAS

Curso: Auditoria IV
GRUPO No. 2, Salón 2015

LA MATRIZ DE RIESGO Y SU APLICACION EN LA EVALUACION DEL

CONTROL INTERNO DE LAS EMPRESAS

GRUPO No. 2, Salón 2015

200811725 Lester Alexander Monterroso Muñoz (Coordinador)
200914348 Josue David Vasquez Moran
200921121 Gabriel Armando Domínguez Sánchez (Sub-Coordinador)
201012057 Angela Susana Sian Sinay
201316369 Adriana Estefanía Chinchilla Guerrero
201405378 Víctor Eduardo Vargas Reyes
201713097 MICHAEL S
Guatemala 08 de Agosto de 2022
 INDICE
EL PROCESO DE VALORACION DEL RIESGO POR LA EMPRESA....................4
MATRIZ DE GESTION DE RIESGOS Y CONTROL................................................6
ESTRUCTURA DE LA MATRIZ DE GESTION DE RIESGO Y CONTROL.............7
DISCUSION..........................................................................................................13
METODOLOGIA MATRIZ DE RIESGO..................................................................13
PROPUESTA PARA ESTABLECER UNA MATRIZ DE RIESGOS........................14
DESARROLLO DE LA MATRIZ..............................................................................14
NORMAS INTERNACIONALES DE AUDITORIA...................................................16
CASO PRÁCTICO MATRIZ DE RIESGOS PASO A PASO...................................22
CASO PRACTICO...................................................................................................23
CONCLUSIONES....................................................................................................29
RECOMENDACIONES............................................................................................30
BIBLIOGRAFIA........................................................................................................32
 INTRODUCCION

El objetivo de este trabajo es proporcionar una guía metodológica para la

determinación de los riesgos en la ejecución de los procesos de la organización,
mediante la medición del riesgo de gestión del Control Interno, el mismo que tiene
como enfoque la ponderación y evaluación del impacto del riesgo empresariales
para entidades del sector público y privado.

La metodología utilizada permite construir una Matriz de Riesgo, con el propósito

de evaluar  la gestión del riesgo empresarial mediante la ponderación del impacto
y la probabilidad de ocurrencia, que gestiona los riesgos corporativos y las
disposiciones vigentes en relación a la gestión de riesgos operativos.

La Matriz de Riesgo aplica permite determinar un plan de acción para los procesos
que se encuentra con mayor impacto de riesgos empresariales y con la mayor
frecuencia de ocurrencia, los cuales afectan a la gestión administrativa de la
organización. Esto permitirá diseñar estrategias de mitigación de riesgo
empresarial mediante la aplicación de indicadores de cumplimiento.

El desarrollo de la complejidad de los negocios, de los mercados, las tecnologías y

la profundidad de la crisis financiera han puesto de manifiesto una serie de riesgos
inexistentes en los procesos de auditoría realizados en épocas anteriores. Con el
enfoque actual de riesgos, los recursos del auditor se centran en aquellos riesgos
más significativos, evaluando la probabilidad y cuantía de un posible impacto en
los estados financieros.

El desarrollo de una matriz de riesgos, desde un punto de vista generalista, tiene

como objetivo simplificar la comprensión, clasificación y evaluación de los distintos
riesgos a los que está sometido un sistema de procesos, siendo una herramienta
para la toma de decisiones que conlleva a minimizar los mismos. Así, una matriz
de riesgos debidamente desarrollada nos permite simplificar el entendimiento de
los riesgos, focalizar los esfuerzos del equipo y resumir de forma gráfica los
efectos de todo el proceso de minimización de riesgos.
 EL PROCESO DE VALORACION DEL RIESGO POR LA EMPRESA

Para los fines de la información financiera, la NIA 315 establece que el proceso de
valoración del riesgo por la entidad incluye el modo en que la administración
identifica los riesgos de la empresas y que son relevantes para la preparación de
los estados financieros de conformidad con el marco de información financiera
aplicable a la entidad, estima su significatividad, valora su probabilidad de
ocurrencia y toma decisiones con respecto a las actuaciones necesarias para
darles respuesta y gestionarlos, así como los resultados de todo ello. Por tanto,
como, por ejemplo, el proceso de valoración del riesgo por la entidad puede tratar
el modo en que la entidad considera la posibilidad de que existan transacciones no
registradas o identifica y analiza estimaciones significativas registradas en los
estados financieros.
Los riesgos relevantes para una información financiera fiable incluyen hechos
externos e internos, transacciones o circunstancias que pueden tener lugar y
afectar negativamente a la capacidad de la entidad de iniciar, registrar, procesar e
informar sobre datos financieros coherentes con las afirmaciones de la dirección
incluidas en los estados financieros. La administración puede iniciar planes,
programas o actuaciones para responder a riesgos específicos o puede decidir
aceptar un riesgo debido al costo o a otras consideraciones. Los riesgos pueden
surgir o variar debido a circunstancias como las siguientes:
· Cambios en el entorno operativo. Los cambios en el entorno regulatorio u
operativo pueden tener como resultado cambios en las presiones competitivas y
riesgos significativamente distintos.
· Nuevo personal. El nuevo personal puede tener una concepción o interpretación
diferente del control interno.
· Sistemas de información nuevos o actualizados. Los cambios rápidos y
significativos en los sistemas de información pueden modificar el riesgo relativo al
control interno.
· Crecimiento rápido de la empresa. Una expansión significativa y rápida de las
operaciones puede poner a prueba los controles e incrementar el riesgo de que
éstos dejen de funcionar.
· Nueva tecnología. La incorporación de nuevas tecnologías a los procesos
productivos o a los sistemas de información puede cambiar el riesgo asociado al
control interno.
· Nuevos modelos de negocio, productos o actividades. Iniciar áreas de negocio o
transacciones con las que la entidad tiene poca experiencia puede introducir
nuevos riesgos asociados al control interno.
· Reestructuraciones empresariales. Las reestructuraciones pueden venir
acompañadas de reducciones de plantilla y de cambios en la supervisión y en la
segregación de funciones que pueden cambiar el riesgo asociado al control
interno.
· Expansión de las operaciones en el extranjero. La expansión o la realización de
operaciones en el extranjero trae consigo nuevos riesgos, a menudo
excepcionales, que pueden afectar al control interno; por ejemplo, riesgos
adicionales o diferentes en relación con transacciones en moneda extranjera.
· Nuevos pronunciamientos contables. La adopción de nuevos principios contables
o la modificación de los principios contables puede tener un efecto en los riesgos
de la preparación de estados financieros.
Cabe señalar que una responsabilidad importante de la dirección de la empresa es
establecer y mantener el control interno de manera continuada. El seguimiento de
los controles por la dirección incluye la consideración de si están funcionando
como se espera y si se modifican según corresponda ante cambios en las
condiciones. El seguimiento de los controles puede incluir actividades como la
revisión por la dirección de si las conciliaciones bancarias se preparan
oportunamente, la evaluación por los auditores internos del cumplimiento por el
personal de ventas de las políticas de la entidad sobre condiciones de los
contratos de venta, y la supervisión por el departamento jurídico del cumplimiento
de las políticas de la entidad en materia de ética o de práctica empresarial. El
seguimiento se realiza también para asegurarse de que los controles siguen
funcionando de manera eficaz con el transcurso del tiempo. Por ejemplo, si la
puntualidad y la exactitud de las conciliaciones bancarias no son objeto de
seguimiento, es probable que el personal deje de prepararlas.
De acuerdo a lo anterior, Fundación Tecnológica Antonio de Arévalo-Tecnar
(2019) manifiesta que, sí vale la pena la implementación y acogida de la Norma
NIA 315, no como una imposición
de pesado cumplimiento, sino reconociendo el reto y actualización que representa
acoger la misma, considerando, además, que es una norma de auditoría y que
cada país tenga la confianza de que las auditorías practicadas en su interior tienen
el mismo grado de exigencia y calidad que el de sus homólogos. Facilita el
intercambio de información bajo los mismos parámetros de confianza y moderniza
los procedimientos. Concluyendo la NIA 315 es la guía adecuada de actualización
para los auditores y empresas, toda vez que les facilita el proceso a nivel interno y
externo y les proporciona herramientas de conocimiento y efectividad en la
búsqueda de errores en la elaboración y desarrollo de un plan de auditoría. Pero
todo este transcurso debe ir acompañado de un apropiamiento por parte de los
auditores internos de la empresa y la experiencia en su riesgo y control, además
de entrar a profundidad en los conceptos propios de la recopilación de información
y la posterior elaboración de un estado financiero sano, con datos verídicos y una
evaluación de riesgos consciente, que le permita tanto a él como a la compañía,
tomar acciones en caso de encontrar anomalías y centrarse en las áreas que
corren mayor riesgo.
 MATRIZ DE GESTION DE RIESGOS Y CONTROL

Una matriz de gestión de riesgos y control constituye una herramienta de Control y

de Gestión, identifica las actividades (procesos y productos) más importantes de
una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los
factores internos y externos relacionados con estos riesgos (factores de riesgo),
además, de igual forma, permite evaluar la efectividad de una adecuada gestión y
administración de los riesgos financieros que pudieran impactar los resultados y,
por consiguiente, al logro de los objetivos de una empresa. A este respecto,
Madrid Nicolás y Serrano Madrid (2019, pág. 59) manifiestan que el desarrollo de
una matriz de riesgos, desde un punto de vista general, tiene como objetivo
simplificar la comprensión, clasificación y evaluación de los distintos riesgos a los
que está sometido un sistema de procesos, siendo una herramienta para la toma
de decisiones que conlleva a minimizar los mismos, por lo que una matriz de
riesgos bien desarrollada y estructurada puede permitir la simplificación y
entendimiento de los riesgos, focalizar los esfuerzos del equipo y resumir de forma
gráfica los efectos de todo el proceso, dando como resultado la minimización o
mitigación de riesgos.
De ahí que, la matriz se debe considerar como una herramienta flexible que
documente los procesos y evalúe de manera integral el riesgo de una empresa, a
partir de los cuales se realiza un diagnóstico objetivo de la situación global de
riesgo de en la misma, siendo el punto de partida los objetivos estratégicos y plan
de negocios, la gestión de riesgos debe desarrollar un proceso para la
“identificación” de las actividades principales y los riesgos a los cuales están
expuestas; entendiéndose como riesgo la eventualidad de que una determinada
entidad no pueda cumplir con uno o más de los objetivos.
Desde el punto de vista de la auditoría interna y, partiendo de lo que establece el
objetivo de la NIA 315, de identificar y valorar los riesgos2 de incorreción material,
debida a fraude o error, tanto en los estados financieros como en las afirmaciones,
mediante el conocimiento de la empresa y de su entorno, incluido su control
interno, proporciona una base para el diseño y la implementación de respuestas a
los riesgos valorados de incorrección material, se puede intuir que la matriz de
riesgo como herramienta idónea, se puede conducir el proceso analítico que debe
realizar el auditor para la cobertura de riesgos durante todo el proceso encargado,
por tanto es preciso tener en cuenta que los procedimientos de auditoría han
evolucionado desde un enfoque de revisión de saldos a un enfoque de gestión de
riesgos.
 ESTRUCTURA DE LA MATRIZ DE GESTION DE RIESGO Y CONTROL

A través de este instrumento se puede realizar un diagnóstico objetivo y global de

empresas de diferentes tamaños y sectores de actividad. Por consiguiente,
mediante la matriz de riesgo es
2 Una vez identificados los riesgos, y de acuerdo a la NIA 315, el auditor, según su
juicio profesional, determinará si alguno de los riesgos identificados es
significativo, excluyendo en esta valoración los efectos de los controles que tenga
la sociedad establecida sobre ella. Es decir, un riesgo significativo no dejará de
serlo porque la sociedad tenga establecidos diversos controles sobre el mismo,
sino que el auditor se valdrá de esos controles, una vez validados y verificados,
para reducir el trabajo de campo. La propia Norma Internacional da una serie de
aspectos a considerar a la hora de calificarlo como riesgo significativo:
· Si se trata de un riesgo de fraude.
· Si el riesgo está relacionado con acontecimientos económicos, significativos y
recientes, contables o de otra naturaleza que requieran una consideración
especial.
· La complejidad de las transacciones.
· Si el riesgo afecta a transacciones significativas con partes relacionadas.
· Si existe alto grado de subjetividad y/o incertidumbre en la medición de la
información financiera relacionada con el riesgo.
· Si el riesgo afecta a transacciones significativas ajenas al curso normal de los
negocios de la entidad o que, por otras razones, parecen inusuales.
Imposible evaluar la efectividad de la gestión de los riesgos, tanto financieros
como operativos y estratégicos, (Fig. 2), que están impactando en la misión de
una determinada empresa.
Figura 2
Fases de la Elaboración de una Matriz de Riesgo
Nota: Recuperado de https://fferia.wordpress.com/matriz-de-riesgo/. [En Línea].
Fecha de Consulta: 23 de octubre de 2020.
Con el fin de garantizar su eficacia y utilidad, una matriz de riesgo debe tener las
siguientes características:
· Debe ser flexible.
· Comprensible tanto al elaborar como al consultar.
· Que permita realizar un diagnóstico objetivo de la totalidad de los factores de
riesgo.
· Actualizable en el tiempo entre otras.
Por otro lado, desde su concepción metodológica las matrices se componen de
dos vectores, (Fig. 3), uno de probabilidad y otro de impacto, cuya combinación
define el nivel de riesgo de una acción en particular:
· Cabe aclarar que el nivel de riesgo cero (0) no existe en la naturaleza por
definición.
· Una vez definidos los parámetros, los mismos permiten absorber la información
de las fuentes definidas, para valorizarla en los respectivos vectores de
probabilidad e impactos
Figura 3
Estructura de Matriz de Riesgo basada en Vectores de Probabilidad e Impacto
Nota: ACFCS. Asociación de Especialistas de Delitos Financieros. Conferencia
Anual Latinoamericana sobre Delitos Financieros de la ACFCS. Octubre 13 y 14
de octubre 2016. Panamá. Recuperado de:
https://www.delitosfinancieros.org/acfcs-presenta-en-la-conferencia-anual-
latinoamericana-una-vision- moderna-efectiva-y-agil-para-combatir-los-delitos-
financieros/ [En línea]. Fecha de Consulta: 23 de octubre de 2020.
La estructura de la Matriz debe estar basada en el método de Análisis de Riesgo,
con un grafica de riesgo, y utilizando la fórmula de Riesgo = Probabilidad de
Amenaza x Magnitud de Daño. Por tanto, la Probabilidad de Amenaza y Magnitud
de Daño pueden tomar los valores y condiciones respectivamente, como se indica,
en la (Fig. 4):
1 = Insignificante (incluido Ninguna) 2 = Baja
3 = Mediana
4 = Alta
Figura 4
Matriz de Riesgo
Nota: Flores Portillo, David Antonio (2019) ¿Cómo diseñar una matriz de riesgos?
Recuperado de: https:// buenas-practicas-de-auditoría-y-control-interno-en-las-
organizaciones/. [En Línea]. Fecha de Consulta: 23 de octubre de 2020.
El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por
Magnitud de Daño, está agrupado en tres rangos, y para su mejor visualización, se
aplica diferentes colores:
· Bajo Riesgo = 1 – 6 (verde)
· Medio Riesgo = 8 – 9 (amarillo)
· Alto Riesgo = 12 – 16 (rojo)
Luego de tener bien definidos todos los eventos probables de riesgos, a los que
puede estar sujeta nuestra empresa, debemos continuar asignando dos valores a
cada uno, por ejemplo, del (1 al 5) y de (A hasta E), como sigue:
· Esto lo haremos tanto para su Matriz de Probabilidad (En donde 1 es Improbable,
2 Posible, 3 Ocasional, 4 Probable y 5 Frecuente), tal como mostramos a
continuación, (Fig. 5a).
· Así como para su impacto que este implicaría la Maestría Consecuencia e
Impacto (En donde A sería Insignificante, B Menor, C Moderado, D Peligroso, y E
Catastrófico) de la siguiente manera, (Fig. 5b).
Figura 5
Matriz de Probabilidad y Matriz Consecuencia (Impacto)
Nota: Flores Portillo, David Antonio (2019) ¿Cómo diseñar una matriz de riesgos?
Op. cit. Pág. 3. Fecha de Consulta: 23 de octubre de 2020.
A modo de ejemplo, si tomamos el riesgo de Falta de Mano de Obra Calificada,
haremos dos preguntas: (¿Qué tan probable es que esto suceda? y asignamos un
número 3, pues consideramos que es ¨Ocasional¨ y ¿Qué tanto nos impactaría en
caso de suceder? y por ejemplo definimos un C, ya que su efecto de llegar a
suceder, sería ¨Moderado¨. Por lo que este riesgo tendría una ponderación de:
¨3C¨).
Se parte, por tanto, con un modelo de Matriz de Riesgos Graficada, (Fig. 6), con el
ejemplo propuesto, graficar todos los eventos de riesgos ya debidamente
valorados y ubicados de acuerdo a sus ponderaciones de Impacto y ocurrencia de
forma que los de mayor puntaje serían los más críticos y por tanto los que
necesitan una acción inmediata, los de la franja media podrían ser considerados
en un plan a mediano plazo y sobre los de riesgo más bajo deberíamos mantener
una vigilancia prudencial.

Figura 6.
Matriz de Riesgos Graficada
Fuente: Flores Portillo, David Antonio (2019) ¿Cómo diseñar una matriz de
riesgos? Op. Cit. Pág. 3. Fecha de Consulta: 23 de octubre de 2020.
En definitiva, la utilidad de la Matriz de Riesgos, su versatilidad, tamaño y
complejidad pueden ser muy diversos, sin embargo todos autores afirman que se
ha constituido en una herramienta útil y dinámica que facilita la identificación, así
como el control y análisis de los riesgos a los que podemos estar expuestos dentro
de las empresas.
Por todo lo antes expuesto, el objetivo que se pretende alcanzar se ciñe evaluar la
efectividad de la Matriz de Riesgo y Control como herramienta en los procesos de
la auditoría interna de las empresas comerciales.
 DISCUSION
El papel de la auditoría ha cambiado en el devenir de los años, y por consiguiente
los objetivos que se pretende con la misma, en principio se desarrolló dentro del
sector público, haciendo que los auditores de manera independiente facilitaran
información amplia, minuciosa y detalladamente sobre las operaciones que
realizaban los administradores. Sin embargo, hoy por hoy, como
manifiesta Armada et al. (2015) la auditoría como rubro de las ciencias contables,
además de dar fe sobre las operaciones pasadas, tiene como objetivo mejorar las
operaciones futuras, recomendando de manera constructiva tendente a mejorar la
eficiencia y eficacia de las empresas.

METODOLOGIA MATRIZ DE RIESGO

Entre todas las opciones para administrar y controlar riesgos, encontramos su
Matriz para el Control; con la ventaja de visualizar y verificar todos los elementos
de manera fácil.
Todas las empresas, sin excepción, ya sean grandes, Pymes o del sector público,
enfrentan día a día una serie de riesgos para desarrollarse y cumplir sus objetivos,
tales como riesgos financieros, de mercado, estratégicos, operacionales,
regulatorios, legales, contractuales, de más recursos humanos, etc., los cuales, si
no se identifican, analizan, administran y controlan adecuadamente, pueden
afectar la operación y la rentabilidad, detener su sano crecimiento, obstruir la
creación de valor y afectar la permanencia de las sociedades en el tiempo.
Todos los empresarios, miembros de los consejos de administración y directores
de empresa están conscientes que es normal hacer frente a toda clase de riesgos
para cumplir con los objetivos, la visión y misión de toda clase de organizaciones,
lo importante es saber administrar y controlarlos.
El Código de Mejores Prácticas Corporativas (CMPC) en su capítulo segundo
menciona: “Se considera que un buen sistema de gobierno corporativo contenga
los 11 Principios básicos, de los cuales el principio seis se refiere a: “la
identificación, la administración, el control y la revelación de los riesgos a que está
sujeta la sociedad”.
Para administrar y controlar los riesgos, existen numerosas metodologías, las
cuales en general, han sido desarrolladas por las grandes firmas de contadores
públicos y despachos de consultoría. Para el caso de las Pymes, por su
complejidad y costo de implementación, las ha disuadido de contratarlas y
ponerlas en práctica. Asimismo, las empresas grandes cada día restringen más la
aprobación de honorarios a firmas externas para que desarrollen e implementen
nuevas metodologías de trabajo, incluidas las correspondientes para el control de
los riesgos.
 PROPUESTA PARA ESTABLECER UNA MATRIZ DE RIESGOS
En esta ocasión, se propone un modelo relativamente sencillo y compacto de
desarrollar, consistente en un solo documento: la Matriz para el Control de
Riesgos. La ventaja de este modelo, es que, en un solo documento, o en un solo
“golpe de vista”, se pueden visualizar de manera directa todos los elementos para
controlarlos y se pueden relacionar o interconectar entre sí. Las columnas que se
planea para implementar este modelo son las siguientes:
Descripción o definición del riesgo
Concepto del riesgo
Clasificación del riesgo
Cuantificación del riesgo
Impacto o área específica en que recae el riesgo
Medidas para administrar y controlar el riesgo
Fechas de implementación de esas medidas
Porcentaje de cumplimiento de esas medidas

DESARROLLO DE LA MATRIZ

A continuación, se indican algunas generalidades para el llenado de dichas

columnas, sugiriéndose, incluso, la preparación de un procedimiento:
Descripción del riesgo. Aquí se debe definir concisamente el riesgo con las
menores palabras posibles.
Concepto del riesgo. Se clasifican en estratégico, operativo, financiero, de imagen,
de información, regulatorio, de sistemas, contractual, de industria, de mercado, de
recursos humanos, de liquidez y de estabilidad o solvencia. Un riesgo puede caer
en dos o más de estas agrupaciones, por lo que es válido emplear varios de estos
conceptos para conceptualizar un riesgo.
Clasificación del riesgo. Se dividen en crítico, importante y de mediana
importancia, para lo cual deberá definirse qué se entiende por cada uno de éstos
para cada organización. Se sugiere que la Matriz de Control de Riesgos se
enfoque solo sobre los riesgos críticos e importantes.

Cuantificación del riesgo. Se propone estimarlo en pesos o dólares, o bien, bajo

los indicadores o parámetros operativos de la empresa en cuestión, como
pudieran ser toneladas, kilowatts-horas o cualquier unidad de medida aplicable. Si
no es posible definir, estimar o identificar dicha cuantificación, se recomienda
calcular el rango mínimo y máximo de ocurrencia del riesgo en particular de que
se trate. Se sugiere procurar evitar las palabras “no cuantificable”.
Impacto o área específica en que recae el riesgo. En esta columna, se debiera
identificar el área o concepto de la empresa donde recae el riesgo en particular.
Medidas para administrar y controlar el riesgo. La columna más importante de
todas para identificar y controlar todos los riesgos. Estas medidas corresponden a
las acciones normales o extraordinarias, preventivas y correctivas, que la dirección
de la empresa desarrolla para administrar la operación, el control de gestión y las
finanzas de la empresa.
Fechas de implementación de dichas medidas, tanto de inicio y de terminación,
procurando evitar la palabra “permanente”. En este caso, se requiere honestidad
profesional para reconocer si efectivamente se tienen o no implementadas las
medidas aplicables correspondientes, es decir, si se deben establecer nuevos
mecanismos para el control de los riesgos de la empresa.
Porcentaje de cumplimiento de esas medidas. Para esto, se deberá ser objetivo al
indicar ese porcentaje, para que el lector de esta Matriz evalúe, si estas medidas
están implementadas al 100%, o bien identificar cuál es su porcentaje de
cumplimiento efectivo.
Para preparar esta Matriz, se sugiere pedir a cada una de las áreas funcionales o
direcciones de la empresa que desarrolle su Matriz individual, para consolidarlas
en una Matriz general, sugiriendo que se reporten en ella los riesgos principales
de la empresa. Se recomienda preparar la Matriz general con un total de diez
riesgos, la cual secuencialmente debiera aprobarse por las siguientes instancias:
por la dirección general de la empresa, para después pasar a la aprobación del
Comité de auditoría y, por último, por el Consejo de administración, para cumplir
con la función sugerida por la Práctica 7.X del CMPC del Consejo de
Administración: “Asegurar el establecimiento de mecanismos para la identificación,
análisis, administración, control y adecuada revelación de los riesgos”. Uno de los
mecanismos sugeridos por esta práctica y función pueden aplicarse al modelo de
implementar una Matriz para el Control de Riesgos de la empresa.
Considerando lo mencionado en los dos párrafos anteriores, la Matriz de Riesgos
debiera ser un documento dinámico que circule entre cada una de las áreas y
órganos antes citados, recibiendo la retroalimentación de cada uno de estos. Se
recomienda que todas las empresas debieran programar en las juntas del Comité
de Auditoría y del Consejo de Administración las fechas en que se propondrá la
aprobación de la Matriz de Control de Riesgos para cumplir con la función de
aprobar los riesgos, que el CMPC sugiere en sus Principios básicos y en las
funciones del Consejo.
Debido al entorno cambiante de los negocios, al surgimiento de nuevos riesgos de
todas clases (no solo de carácter financiero) así como a la aparición de nuevos
competidores nacionales y extranjeros, al incremento de la inflación y del dólar, a
la globalización de los riesgos, a la constante modificación de las leyes y
mercados locales e internacionales, se recomienda actualizar esta Matriz cada
año, ya que la preparada hace uno o tres años, no sería vigente.

NORMAS INTERNACIONALES DE AUDITORIA

Control Interno
400. EVALUACIÓN DE RIESGO Y CONTROL INTERNO
El propósito de esta Norma Internacional de Auditoría es establecer normas y
proporcionar lineamientos para obtener una comprensión de los sistemas de
contabilidad y de control interno sobre el riesgo de auditoría y sus componentes:
riesgo inherente, riesgo de control y riesgo de detección.

El auditor deberá obtener una comprensión de los sistemas de contabilidad y de

control interno suficiente para planear la auditoría y desarrollar un enfoque de
auditoría efectivo. El auditor deberá usar juicio profesional para evaluar el riesgo
de auditoría y diseñar los procedimientos de auditoría para asegurar que el riesgo
se reduce a un nivel aceptablemente bajo.

RIESGO INHERENTE

Al desarrollar el plan global de auditoría, el auditor debería evaluar el riesgo

inherente a nivel de estado financiero. Al desarrollar el programa de auditoría, el
auditor debería relacionar dicha evaluación a nivel de aseveración de saldos de
cuenta y clases de transacciones de importancia relativa, o asumir que el riesgo
inherente es alto para la aseveración.

SISTEMAS DE CONTABILIDAD Y DE CONTROL DEL RIESGO

Los controles internos relacionados con el sistema de contabilidad están dirigidos
a lograr objetivos como:
· Las transacciones son ejecutadas de acuerdo con la autorización general o
específica de la administración.
· Todas las transacciones y otros eventos son prontamente registrados en el
monto correcto, en las cuentas apropiadas y en el período contable apropiado.
· El acceso a activos y registros es permitido sólo de acuerdo con la
autorización de la administración.
· Los activos registrados son comparados con los activos existentes a
intervalos razonables y se toma la acción apropiada respecto de cualquier
diferencia.

Comprensión de los sistemas de contabilidad y control interno

Al obtener una comprensión de los sistemas de contabilidad y de control interno
para planear la auditoría, el auditor obtiene un conocimiento del diseño de los
sistemas de contabilidad y de control interno, y de su operación.

Sistema de contabilidad
El auditor debería obtener una comprensión del sistema de contabilidad suficiente
para identificar y entender:
(a) las principales clases de transacciones en las operaciones de la entidad;
(b) cómo se inician dichas transacciones;
(c) registros contables importantes, documentos de soporte y cuentas en los
estados financieros; y
(d) el proceso contable y de informes financieros, desde el inicio de transacciones
importantes y otros eventos hasta su inclusión en los estados financieros.
Ambiente de control
El auditor debería obtener una comprensión del ambiente de control suficiente
para evaluar las actitudes, conciencia y acciones de directores y administración,
respecto de los controles internos y su importancia en la entidad.
Procedimientos de control
El auditor debería obtener una comprensión de los procedimientos de control
suficiente para desarrollar el plan de auditoría. Al obtener esta comprensión el
auditor consideraría el conocimiento sobre la presencia o ausencia de
procedimientos de control obtenido de la comprensión del ambiente de control y
del sistema de contabilidad para determinar si es necesaria alguna comprensión
adicional sobre los procedimientos de control.
Riesgo de Control
Evaluación preliminar del riesgo de control
La evaluación preliminar del riesgo de control es el proceso de evaluar la
efectividad de los sistemas de contabilidad y de control interno de una entidad
para prevenir o detectar y corregir representaciones erróneas de importancia
relativa. Siempre habrá algún riesgo de control a causa de las limitaciones
inherentes de cualquier sistema de contabilidad y de control interno.
Después de obtener una comprensión de los sistemas de contabilidad y de control
interno, el auditor debería hacer una evaluación preliminar del riesgo de control, al
nivel de aseveración, para cada saldo de cuenta o clase de transacciones, de
importancia relativa.
La evaluación preliminar del riesgo de control para una aseveración del estado
financiero debería ser alta a menos que el auditor:
(a) pueda identificar controles internos relevantes a la aseveración que sea
probable que prevengan o detecten y corrijan una representación errónea de
importancia relativa; y
(b) planee desempeñar pruebas de control para soportar la evaluación.

Documentación de la comprensión y de la evaluación del riesgo de control

El auditor debería documentar en los papeles de trabajo de la auditoría:
(a) la comprensión obtenida de los sistemas de contabilidad y de control interno
de la entidad; y
(b) la evaluación del riesgo de control. Cuando el riesgo de control es evaluado
como menos que alto, el auditor debería documentar también la base para las
conclusiones.
Pruebas de control
El auditor debería obtener evidencia de auditoría por medio de pruebas de control
para soportar cualquiera evaluación del riesgo de control que sea menos que alto.
Mientras mas baja la evaluación del riesgo de control, más soporte debería
obtener el auditor de que los sistemas de contabilidad y de control interno están
adecuadamente diseñados y operando en forma efectiva.
Basado en los resultados de las pruebas de control, el auditor debería evaluar si
los controles internos están diseñados y operando según se contempló en la
evaluación preliminar de riesgo de control. La evaluación de desviaciones puede
dar como resultado que el auditor concluya que el nivel evaluado de riesgo de
control necesita ser revisado. En tales casos el auditor modificaría la naturaleza,
oportunidad y alcance de los procedimientos sustantivos planeados.

Calidad y oportunidad de la evidencia de auditoría

Al determinar la evidencia de auditoría apropiada para soportar una conclusión
sobre riesgo de control, el auditor puede considerar la evidencia de auditoría
obtenida en auditorías previas. En un trabajo continuo, el auditor estará consciente
de los sistemas de contabilidad y de control interno a través del trabajo llevado a
cabo previamente pero necesitará actualizar el conocimiento adquirido y
considerar la necesidad de obtener evidencia de auditoría adicional de cualesquier
cambios en control. Antes de apoyarse en procedimientos aplicados en auditorías
previas, el auditor debería obtener evidencia de auditoría que soporte esta
confiabilidad. El auditor debería obtener evidencia sobre la naturaleza, oportunidad
y alcance de cualesquier cambios en los sistemas de contabilidad y de control
interno de la entidad, ya que dichos procedimientos fueron aplicados y debería
evaluar su impacto sobre la confianza que intenta depositar en ellos. Mientras más
tiempo haya transcurrido desde que se aplicaron dichos procedimientos,
disminuye el nivel de seguridad.
El auditor debería considerar si los controles internos estuvieron vigentes a lo
largo del periodo. Si se modificaron sustancialmente los controles en varias
ocasiones durante el periodo, el auditor debería considerar cada uno
separadamente. Una falla en los controles internos por una porción específica del
periodo requiere consideración por separado de la naturaleza, oportunidad y
alcance de los procedimientos de auditoría a ser aplicados a las transacciones y
otros eventos de ese periodo.
El auditor puede decidir desarrollar algunas pruebas de control durante una visita
interina antes del final del periodo. Sin embargo, el auditor no puede confiar en los
resultados de dichas pruebas sin considerar la necesidad de obtener evidencia de
auditoría adicional relacionada con el resto del periodo.
Evaluación final del riesgo de control
Antes de la conclusión de la auditoría, basado en los resultados de los
procedimientos sustantivos y de otra evidencia de auditoría obtenida por el auditor,
el auditor debería considerar si la evaluación del riesgo de control fue adecuada.

Relación entre las evaluaciones de riesgos inherente y de control

La administración a menudo reacciona a situaciones de riesgo inherente
diseñando sistemas de contabilidad y de control interno para prevenir o detectar y
corregir representaciones erróneas y por lo tanto, en muchos casos, el riesgo
inherente y el riesgo de control están altamente interrelacionados. En estas
situaciones, si el auditor se decide a evaluar los riesgos inherente y de control por
separado, habría la posibilidad de una evaluación inapropiada del riesgo. Como
resultado, el riesgo de auditoría puede ser más apropiadamente determinado en
dichas situaciones haciendo una evaluación combinada.
Riesgo de detección
El nivel de riesgo de detección se relaciona directamente con los procedimientos
sustantivos del auditor. La evaluación del auditor del riesgo de control, junto con la
evaluación del riesgo inherente, influye en la naturaleza, oportunidad y alcance de
los procedimientos sustantivos que deben desarrollarse para reducir el riesgo de
detección, y por tanto el riesgo de auditoría, a un nivel aceptablemente bajo. Algún
riesgo de detección estaría siempre presente aún si un auditor examinara 100 por
ciento del saldo de una cuenta o clase de transacciones porque, por ejemplo, la
mayor parte de la evidencia de auditoría es persuasiva y no concluyente.
El auditor debería considerar los niveles evaluados de riesgos inherentes y de
control al determinar la naturaleza, oportunidad y alcance de los procedimientos
sustantivos requeridos para reducir el riesgo de auditoría a un nivel aceptable. A
este respecto, el auditor consideraría:
(a) la naturaleza de los procedimientos sustantivos, por ejemplo, usar pruebas
dirigidas hacia partes independientes fuera de la entidad y no pruebas dirigidas
hacia partes o documentación dentro de la entidad, o usar pruebas de detalles
para un objetivo particular de auditoría además de procedimientos analíticos;
(b) la oportunidad de procedimientos sustantivos, por ejemplo, desarrollándolos
al final del periodo y no en una fecha anterior; y
(c) el alcance de los procedimientos sustantivos, por ejemplo, usar un tamaño
mayor de muestra.
Los niveles evaluados de riesgos inherentes y de control no pueden ser suficien-
temente bajos para eliminar la necesidad para el auditor de desarrollar algún
procedimiento sustantivo. Sin importar los niveles evaluados de riesgos inherentes
y de control, el auditor debería desarrollar algunos procedimientos sustantivos
para los saldos de las cuentas y clases de transacciones importantes.
Mientras más alta sea la evaluación del riesgo inherente y de control, más
evidencia de auditoría debería obtener el auditor del desarrollo de procedimientos
sustantivos. Cuando tanto el riesgo inherente como el de control son evaluados
como altos, el auditor necesita considerar si los procedimientos sustantivos
pueden brindar suficiente evidencia apropiada de auditoría para reducir el riesgo
de detección, y por tanto el riesgo de auditoría, a un nivel aceptablemente bajo.
Cuando el auditor determina que el riesgo de detección respecto de una
aseveración de los estados financieros para el saldo de una cuenta o clase de
transacciones de importancia relativa, no puede ser reducido a un nivel
aceptablemente bajo, el auditor debería expresar una opinión calificada o una
abstención de opinión.
Comunicación de debilidades
Como resultado de obtener una comprensión de los sistemas de contabilidad y de
control interno y de las pruebas de control, el auditor puede detectar debilidades
en los sistemas. El auditor debería informar a la administración, tan pronto sea
factible y a un apropiado nivel de responsabilidad, sobre las debilidades de
importancia en el diseño u operación de los sistemas de contabilidad y de control
interno, que hayan llegado a la atención del auditor. La comunicación a la
administración de las debilidades de importancia ordinariamente seria por escrito.
Sin embargo, si el auditor juzga que la comunicación oral es apropiada, dicha
comunicación seria documentada en los papeles de trabajo de la auditoría. Es
importante indicar en la comunicación que sólo han sido reportadas debilidades
que han llegado a la atención del auditor como un resultado de la auditoría y que
el examen no ha sido diseñado para determinar lo adecuado del control interno
para fines de la administración.
Ilustración de la interrelación de los componentes del riesgo de auditoría
La siguiente tabla muestra cómo puede variar el nivel aceptable de riesgo de
detección, basado en evaluaciones de los riesgos inherentes y de control.

Las áreas en negrilla en esta tabla se refieren al riesgo de detección.

Hay una relación inversa entre el riesgo de detección y el nivel combinado de los
riesgos inherentes y de control. Por ejemplo, cuando los riesgos inherentes y de
control son altos, los niveles aceptables del riesgo de detección necesitan ser
bajos para reducir el riesgo de auditoría a un nivel aceptablemente bajo. Por otra
parte, cuando los riesgos inherente y de control son bajos, un auditor puede
aceptar un riesgo de detección más alto y aun así reducir el riesgo de auditoría a
un nivel aceptablemente bajo.

CASO PRÁCTICO MATRIZ DE RIESGOS PASO A PASO

Dentro de la Gestión de Riesgos hoy en día es casi imprescindible el uso de una
herramienta que nos permita identificar, cuantificar y valorar los riesgos a los que
tenemos que hacer frente, así como trazar un mapa que nos guíe en una ruta de
éxito para nuestra empresa.

Por esto a nivel global es muy aceptada la práctica de elaborar Matrices de

Riesgos, que nos permitan la identificación y valoración de los mismos,
considerando también el impacto que podrían generar la ocurrencia de tales o
cuales variables.

Pero, aunque su elaboración precisa de conocimientos técnicos y de una

metodología adecuada, no debemos considerar que deba ser demasiado
complicada, sino más bien su naturaleza misma es la simplicidad.

Para la elaboración de una matriz de riesgos podemos considerar tres pasos que
a continuación desarrollaremos:

1. IDENTIFICACION DE RIESGOS
En esta etapa debemos listar todos los eventos de riesgo posibles que
puedan ocurrir y afectar las actividades normales de nuestra empresa o
proyecto. Algunos ejemplos de estos eventos de riesgo podrían ser:

 El incumplimiento de marco legal regulatorio,

 El paro de labores por falta de suministros,
 La falta de mano de obra calificada*,
 La utilización de nuestra empresa para actividades de Lavado de
Dinero,
 Fraude interno,
 Alto de nivel de Competencia en el mercado,
 Delitos informáticos, ataques de hackers y virus,
 Daños a la reputación de la Empresa,
 Alta rotación del Talento Humano,
 Responsabilidad civil por daños a terceros,
 Accidentes laborales,
 Siniestros o catástrofes naturales, etc.

2. EVALUACION DE PROBABILIDAD E IMPACTO

Luego de tener bien definidos todos los eventos probables de riesgos, a los
que puede estar sujeta nuestra empresa, debemos continuar asignando dos
valores a cada uno, por ejemplo, del (1 al 5) y de (A hasta E), como sigue:

Esto lo haremos tanto para su Probabilidad (En donde 1 es Improbable, 2

Posible, 3 Ocasional, 4 Probable y 5 Frecuente), tal como mostramos a
continuación:
 CASO PRACTICO

Usted forma parte de auditoría interna de la compañía La Mariposa S.A. se dedica

a su actividad principal consiste a la productividad de telas de alta calidad las
cuales vende en el mercado local y exporta en varios países, al realizar y evaluar
el sistema de gestión de riesgos implantado por la compañía se determinaron las
siguientes situaciones:

1. La compañía no cuenta con políticas de niveles mínimos o máximos de

inventarios de materia prima ante tal situación por ausencia de una adecuada
planificación de compras , la empresa se quedó sin accesorios (algodón,
hilos, y otros ) para concluir un lote importante de producción para
exportación de a EEUU, lo anterior origino un atraso de 25 días para la
entrega del producto, lo cual molesto al principal cliente de la compañía y
cancelo el pedido por un valor de 400,000.00 dólares, esta mercadería ya no
fue posible vendérsela a otro cliente porque las características del producto
era de uso exclusivo .

2. Se estableció que los índices de producción defectuosa son elevados, en

parte porque la compañía para ahorrar costos, en ocasiones, compra
material primas de segunda calidad.

3. Se cuenta con información fidedigna de que una empresa mexicana de

reconocido prestigio, por sus altos estándares de calidad y que se dedica a la
misma actividad económica que la compañía, está por ingresar a competir en
el mercado guatemalteco.
4. El índice de morosidad de la cartera de clientes de la compañía es elevado
por carecer de adecuadas políticas de créditos, la morosidad con riesgo de
incobrabilidad representa el 27% de la totalidad de la cartera.

5. El endeudamiento de la compañía es elevado, el índice de liquidez indica

que por cada un quetzal que debe pagar a corto plazo solo dispone de 0.20
centavos de quetzal sin tomar en cuenta un préstamo bancario por
10,000,000.00 que vence dentro de 4 años con amortizaciones anuales de
2.5 millones

6. Adicionalmente las ventas han tenido un descenso en los últimos dos años
de un 15% anual con respecto a las ventas del año anterior, sin embargo, el
costo de las ventas ha tenido un comportamiento inverso, el cual aumento
entre el 7%y 8% anual, originando una disminución severa en la rentabilidad
de la compañía.

7. Los inventarios de materia prima, productos en proceso y productos

terminados de la compañía no está asegurada contra incendios, el 30% de
los activos totales están concentrados en este rubro.

8. La compañía no ha actualizado el inventario de los activos fijos ni cuenta con

tarjetas de responsabilidad sobre los mismos, el 15% de los activos están
invertidos en este rubro.

9. La empresa tiene 75 clientes, 3 de ellos le compran el 75% de la producción

total.

10. Se establecido que un solo proveedor del exterior le provee el 65% de la

materia prima.

Con la información anterior y utilizando las categorías de probabilidad y el impacto,

así como el formato de matriz de riesgo que más adelante se indica y utiliza
colores, para el mapa de color según la prioridad, se le pide a usted que como
experto evaluador de riesgos desarrolle lo siguiente:

 Establecer los objetivos de la organización

 Identificar el tipo de riesgo (riesgo de negocio, riesgo financiero, de
cumplimiento, operacional y otros)
 Hacer la evaluación de cada uno de los riesgos
 Consignar el efecto del riesgo.
 Consignar cuantitativamente la probabilidad, el impacto y la prioridad.
 Colorear la prioridad (rojo, amarillo, verde) como mapa de calor de los
riesgos
 Consignar las respuestas a los riesgos y
 Indicar la dependencia responsable de efectuar la respuesta al riesgo.
Categorías de probabilidad:
Valor Categoría Descripción
5 Casi certeza Riesgo con probabilidad de 100%
4 Probable Riesgo con probabilidad entre 75% a 95%
3 Moderado Riesgo con probabilidad entre 51% a 74%
2 Improbable Riesgo con probabilidad entre 27% a 50%
1 Muy probable Riesgo con probabilidad entre 1% a 25%

Categorías de impacto:
Valor Categorías Descripción
5 Catastróficas Influye directamente en la misión, pérdida patrimonial o de
imagen
4 Mayores Dañaría significativamente en la misión, pérdida patrimonial o
imagen
3 Moderadas Daño importante en la misión, pérdida patrimonial o de
imagen
2 Menores Corregir a corto tiempo y no afecta cumplimiento de objetivos
1 Insignificantes Pequeño o nulo efecto en la institución
Comentarios:
1) Primero para poder elaborar una matriz de riesgo es importante que conozcamos
nuestro mapa de calor a través de nuestros valores que aparecen en las
probabilidades como valores 5, 4, 3, 2, 1 y como impactos 5, 4, 3, 2,1.
2) Numeral 1) comentario extra: números que aparecen dentro de la columna del
mapa de matriz re riesgo del 1 al 10 son los hallazgos
3) Establecemos el objetivo
4) Establecemos el tipo de riesgo
5) Evaluamos el riesgo
6) El efecto
7) Determinamos la probabilidad del evento
8) El impacto se provocaría dentro de la compañía
9) El riesgo inherente este es importante comprender que se debe de realizar y
como lo hacemos multiplicamos la casilla de probabilidad por impacto según
nuestro análisis.
10) Qué respuesta le damos al riesgo
11) Quien es responsable de esta gestión del riesgo. Cada gerente de los
departamentos.
12) Es importante saber que nosotros como profesionales solo identificamos los
riesgos y dar las mejores o posibles propuestas de soluciones.

En el hallazgo 1 es importante conocer que:

En su calor por ser rojo está bastante alto

Hallazgo 2 es importante conocer que:

Identifiquemos que nos están indicando que la empresa compra materia prima de baja
calidad que pasa el efecto de comprar materia prima de baja calidad es que gerenera
una producción defectuosa de forma elevada está en el mapa de color rojo es alto
riesgo esto provocaría que nos dejen de comprar por la calidad y vamos a perder y se
debe tomar en cuenta que vendrá otra empresa a competir con productos de calidad
esto lo que provoca de emergencia en la empresa es el cambio de esa compra de
productos de mala calidad para ser el número uno en los productos y seguir teniendo
clientes y podemos ahorraren otros costos tales como teléfono, compra de combustible
etc.

Hallazgo 3 es importante que:

Estamos en amarillo lo cual está dando alerta que debemos hacer sustituir esas
materias primas de mala calidad y si no se trabaja con calidad tomamos el riesgo de
que nos quiten la venta.

Hallazgo 4 es importante que:

Debemos de tener una cartera sana y una correcta cartera de pago a nuestros
proveedores esto quiere decir que debemos tener una forma nivelada de nuestras
obligaciones para evitarnos contingencias innecesarias, esto provocaría el riesgo de
morosidad seria inadecuado para la empresa y provocaría falta de ingreso de efectivo a
la empresa y si no pagamos a los proveedores ellos no nos venderían no podríamos
producir.

Hallazgo 5 es importante:
El mapa de calor es alto provocando un alto riesgo

Hallazgo 6 es importante que:

Es importante asegurarse de recuperar la cartera de clientes.

Hallazgo 7 es importante que:

Esto no es impactante, pero si se deja al tiempo afectaría a la compañía

Hallazgo 8 es importante que:

Podría provocar perdida de inventarios.

Hallazgo 9 es importante que:

Conocer que es mucha dependencia de clientes debemos buscar otras estrategias de
ventas.

Hallazgo 10 es importante que:

Busquemos insumos de calidad
 CONCLUSIONES

1. Establecer los planes estratégicos de la organización o del comité ejecutivo es

el paso inicial de un proceso de Evaluación de Riesgos, complementado con la
identificación de eventos potenciales que podrían afectar positiva o
negativamente los planes de una Empresa. Con estas herramientas y con el
apetito de riesgo despertado por los altos ejecutivos de una entidad, se logra
valuar por medio de matrices de riesgos estos eventos, y cuantificar su efecto en
la consecución de los objetivos. Con los resultados obtenidos, la alta gerencia
enfoca sus esfuerzos a minimizar y reducir los riesgos detectados más
importantes y potencializar las oportunidades descubiertas, utilizando las
matrices de riesgo como herramientas básicas de medición y seguimiento.

2. La matriz de riesgos es la herramienta más importante en el proceso de

administración de riesgos, ya que permite ordenar los eventos potenciales
(riesgos y oportunidades) dando relevancia a los de mayor importancia y
enfocando las respuestas a implementar a los problemas con mayor incidencia
en la consecución de los objetivos de la empresa.

3. No puede implementarse una cultura de riesgo ignorando el ambiente de control

establecido por la compañía, un entorno interno ineficiente puede representar
una mayor cantidad de riesgos de pérdidas futuras. Entre más eficiente es el
ambiente de control los riesgos disminuyen su impacto y su probabilidad de
ocurrencia; sin embargo, no se eliminan.

4. La gestión del riesgo es responsabilidad de todos los miembros de la estructura

organizacional de una empresa; aunque cada nivel jerárquico tiene sus
responsabilidades definidas, sino se trabaja en equipo los resultados de la
gestión no serán los adecuados para garantizar el cumplimiento de los objetivos.

5. La administración del riesgo empresarial es una rama de la consultoría que

puede ser aprovechada por el Contador Público y Auditor como parte de su
gama de servicios que se ofrece.

6. La gestión de riesgo es aplicable a cualquier tipo de empresa, sea ésta

comercial, industrial o de servicios. Las empresas de consultoría administrativa y
financiera pueden evaluar sus riesgos utilizando las herramientas disponibles y
las matrices de riesgos como base para cuantificar eventos potenciales
perjudiciales o favorables y para determinar las respuestas que deben asignarse
para reducir o prevenir su impacto.
 RECOMENDACIONES

1. Antes de iniciar un trabajo de evaluación de riesgos, la organización y la Junta

Directiva (Comité Ejecutivo), deben establecer los objetivos estratégicos, de
operaciones, de presentación de información y de cumplimiento; basados en lo
que esperan de retorno de su inversión. Estos objetivos deben ser informados
claramente a los altos ejecutivos de la empresa para que ellos logren identificar
los eventos que pueden impedir el cumplimiento de los mismos.

2. Utilizar la matriz de riesgos como herramienta de cuantificación de eventos

potenciales ya que permite ordenarlos por nivel de importancia y valorizar la
respuesta que piensa ser asignado para prevenirlos o reducirlos. La matriz de
riesgos también permite relacionar los eventos detectados con los objetivos
determinados por la empresa.

3. Diseñar un sistema de control interno eficiente, en el mejor de los casos antes

de que la empresa inicie operaciones formales, que permita asegurar que los
recursos sean enfocados a la consecución de los objetivos establecidos y que
permita reducir las probabilidades de pérdidas futuras. Antes de implementar
una cultura de administración de riesgos debe estudiarse la estructura de control
interno e identificar las áreas que hay que fortalecer; un ambiente interno con
valores éticos e integridad facilita la evaluación de los riesgos.

4. La cultura de gestión de riesgos debe comunicarse a todo el personal que forma

parte de la estructura organizacional de la empresa, delimitando correctamente
las responsabilidades de cada funcionario. Esta labor debe ser ejecutada por el
Comité de Gestión de Riesgos o por la alta gerencia, apoyado por la Junta
Directiva (Comité ejecutivo). Para facilitar la comunicación de la filosofía del
riesgo, ésta puede exhibirse en un lugar público dentro de la entrada de la
compañía, entre otras opciones.

5. En la actualidad el Contador Público y Auditor puede desempeñarse como

consultor en forma simultánea, por lo que la gama de servicios que puede
prestar se ha incrementado considerablemente, un ejemplo claro es la
implementación de una Administración de Riesgos. Para que pueda prestar este
servicio, todo profesional de la Auditoría, debe capacitarse constantemente, tal y
como se lo dicta su código de ética.

6. Para que las empresas logren sus objetivos y una vida perdurable deben
implementar una cultura de gestión de riesgo, utilizando las matrices de riesgos
como herramientas de medición. La cultura de riesgo ya es parte de la vida
cotidiana de toda empresa en la actualidad, por ello es importante que la
implementación se haga en corto plazo.
 BIBLIOGRAFIA

https://www.auditool.org/blog/control-interno/6227-metodologia-matriz-de-
control-de-riesgos
http://fccea.unicauca.edu.co/old/evaluacion.htm
http://portal.amelica.org/ameli/journal/221/2212240002/html