Buenas tardes estudiantes y amigos, por cuestiones de tiempo en el desarrollo del programa

se envía a ustedes el siguiente glosario con el propósito que lo estudien, les servirá para su
carrera y vida profesional.

Posd: será también evaluable….

GLOSARIO

ACEPTAR EL RIESGO: Es uno de los métodos más comunes de manejar el riesgo, es la

decisión de aceptar las consecuencias de la ocurrencia del evento.

ACTIVIDADES DE CONTROL: Según COSO, hace referencia a los controles que

realmente existen para minimizar los riesgos que enfrenta la empresa.

ACTIVOS: Según Magerit, son los recursos del sistema de información o relacionados con
éste, necesarios para que la organización funcione correctamente y alcance los objetivos
propuestos por su dirección.

ADMINISTRACIÓN DEL RIESGO: según David McNamee, es un proceso que asegura

la sensibilidad para detectar el riesgo, la flexibilidad para responder al riesgo, y la
capacidad de recursos para mitigar los riesgos.

ADQUISICIÓN E IMPLEMENTACIÓN: Dominio de COBIT el cual, para llevar a cabo

la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas,
así como implementadas e integradas dentro del proceso del negocio. Además, este
dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

AICPA: American Institute of Certified Public Accountants – Instituto Americano de

Contadores Públicos Certificados.

AMBIENTE DE CONTROL: Según COSO, hace referencia a la cultura corporativa de

control que debe existir en una organización.

AMENAZA: (1) Es un factor del medio ambiente externo que puede ocasionar una falla en
el desempeño futuro de las organizaciones. (2) Según Magerit, se definen como los eventos
que pueden desencadenar un incidente en la organización, produciendo daños materiales o
pérdidas inmateriales en sus activos. Las Amenazas se pueden materializar y transformarse
en agresiones.

ANALISIS DE CAMPO DE FUERZA: Es una técnica utilizada para lograr una

perspectiva completa de las fuerzas en pro y en contra de un plan, de manera que una
decisión puede ser tomada teniendo en cuenta todos los intereses. Ayuda a reducir el
impacto de las fuerzas en oposición, y fortalecer las fuerzas soporte.
ANÁLISIS DOFA: Este tipo de análisis examina la interacción entre las características
particulares de la organización y el medio ambiente en el cual se desenvuelve.

APLICACIONES: Recurso de TI en COBIT, definido como sistemas de aplicación; la

suma de procedimientos manuales y programados.

APPLET: Bases de datos locales de aplicaciones en Internet.

ARBOLES DE DECISION: Herramientas de gran relevancia para la toma de decisiones

basada en aspectos financieros o en situaciones que impliquen números, donde se debe
tener en cuenta una gran cantidad de información. Básicamente su estructura permite
contemplar y evaluar alternativas y las implicaciones de tomar esas decisiones, permitiendo
visualizar los riesgos que pueden derivarse de algunas alternativas.

ASUMIR EL RIESGO: ver “Aceptar el riesgo”.

AUDITORÍA BASADA EN LOS RIESGOS (ABR): metodología que se está empezando

a implementar como parte del cambio al nuevo paradigma. Esta metodología tiene en
cuenta los objetivos organizacionales para la evaluación de los riesgos y dar en su informe
las recomen decisiones pertinentes sobre la mejor forma de manejar dichos riesgos.

AUDITORÍA DE CUMPLIMIENTO: consiste en la comprobación o examen de las

operaciones financieras, administrativas, económicas y de otra índole de una entidad para
establecer que se han realizado conforme a las normas legales, estatutarias y de
procedimientos que le son aplicables.

AUDITORÍA DE GESTION: Este tipo de auditoría se encarga de evaluar el grado de

eficacia y eficiencia con que se manejan los recursos de la entidad, y el grado de eficacia y
eficiencia con que se logran los objetivos organizacionales.

AUDITORÍA DE PROTECCION DE DATOS: Examen practicado para verificar que los

datos electrónicos que maneja la organización poseen las medidas de seguridad apropiadas
para evitar su conocimiento masivo y su potencial modificación ya sea parcial o total por
parte de terceros.

AUDITORÍA FINANCIERA: examen de las operaciones financieras llevadas a cabo por

una entidad con el fin de evaluarlas y verificarlas con posterioridad a su ejecución para
determinar la razonabilidad de las cifras contenidas en los estados financieros.

AUDITORÍA INTEGRAL: es una auditoría que, como su nombre lo indica, integra en

una sola labor la práctica de las auditorías financiera, de cumplimiento, de gestión y de
control interno.

AUDITORÍA INTERNA: La Auditoría Interna es una actividad de aseguramiento y de

consultoría independiente y objetiva, diseñada para adicionar valor y mejorar las
operaciones de una organización. La Auditoría Interna ayuda a la organización a lograr sus
objetivos brindando un enfoque sistemático y disciplinado para evaluar y mejorar la
efectividad de los procesos de administración del riesgo, de control y de gobierno
corporativo.

AUTOAUDIT 2000: Software de auditoría desarrollado por Paisley Consulting que

permite automatizar el flujo del proceso dentro del departamento de auditoría.

BALANCED SCORECARD: Esta metodología es un enfoque gerencial que, según sus

creadores Robert Kaplan y David Norton, traduce las estrategias en mediciones que
comuniquen la visión corporativa a toda la organización.

BENCHMARKING: el proceso de medir las operaciones de una organización contra

operaciones similares con el propósito de mejorar los procesos del negocio. Su propósito es
mejorar los productos y procesos para satisfacer mejor las necesidades de los clientes. Es
decir, mirar lo que han hecho con éxito otras empresas de la misma industria en cuanto
administrar los riesgos, y realizar las mismas acciones; en caso que aquellas empresas no
hayan tenido buenos resultados, tener en cuenta esas situaciones para mejorarlas o para no
realizarlas.

CAMBIO: es el proceso de adaptación de un sistema u organización con su medio

ambiente.

CAPACIDAD: Para CoCo, es un grupo de criterios que proveen un sentido de la

competencia de la organización.

CICA: Canadian Institute of Chartered Accountants – Instituto Canadiense de Contadores

Certificados.

CICLO DEL CAMBIO: modelo desarrollado por David MacNamee para entender las
fases de crecimiento de un sistema u organización. Este ciclo no es lineal ni circular, sino
que presenta las características de una espiral. El ciclo del cambio presenta tres fases:
formación, normalización y cumplimiento; separadas por límites críticos, llamados
breakpoints.

COBIT: Informe emitido por la Information Systems Audit and Control Foundation,
órganos dependientes de ISACA que muestra procedimientos de auditoría que se pueden
efectuar sobre sistemas de información.

COCO: Acrónimo de Criteria of Control, una iniciativa del Canadian Institute of

Chartered Accountants (CICA) para proveer una estructura de control, para el
fortalecimiento del control y del gobierno corporativo en una organización.

CÓDIGO CADBURY (Cadbury Code): Metodología desarrollada por el Comité de

Informes Financieros del Institute of Chartered Accountants of England and Wales
(ICAEW) como un informe de riesgo.
COMPARTIR EL RIESGO: es un caso especial de la transferencia del riesgo, es también
una forma de retener el riesgo. Cuando los riesgos son compartidos, la posibilidad de
pérdida es transferida de un individuo al grupo; sin embargo, compartir el riesgo es también
una forma de retenerlo en la cual el riesgo “transferido” al grupo es retenido junto con los
riesgos de los demás miembros del grupo.

COMPROMISO: Para CoCo, es un grupo de criterios que proveen un sentido de la

identidad y valores de la organización.

CONFIABILIDAD DE LA INFORMACIÓN: Criterio de información de COBIT que

hace referencia a la provisión de información apropiada para la administración con el fin de
operar la entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento.

CONFIDENCIALIDAD: Criterio de información de COBIT que hace referencia a la

protección de información sensible contra divulgación no autorizada.

CONTRALORIA: Organismo de control que vigila la gestión fiscal de la administración y

de los particulares o entidades que manejen fondos o bienes de la Nación.

CONTROL INTERNO: sistema integrado por el esquema de organización y el conjunto

de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y
evaluación adoptados por una entidad, con el fin de procurar que todas las actividades,
operaciones y actuaciones, así como la administración de la información y los recursos, se
realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las
políticas trazadas por la dirección y en atención a las normas u objetivos previstos.

CONTROL: Según CoCo, son todos los elementos de una organización – incluyendo sus
recursos, sistemas, procesos, cultura, estructura y tareas –, que tomados en conjunto
respaldan a la gente en el logro de los objetivos de la organización.

CONTROLAR EL RIESGO: el riesgo se controla a través de la prevención por medio de

la implementación de controles y su monitoreo constante. Esta es una técnica ideal para el
manejo de los riesgos, y es la más utilizada

COSO: Metodología de control emitida por el Committee Of Sponsoring Organizations of

the Treadway Commission.

COSTO: Impacto sobre el precio que se pagaría si se presenta un riesgo determinado.

CSA: Acrónimo de Control Self-Assessment (Auto-Evaluación de Control) y es definido

por McNamee como “la involucración de la gerencia y el personal en la evaluación de los
controles internos dentro de su grupo de trabajo”.

CUMPLIMIENTO: Criterio de información de COBIT que hace referencia al

cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso
de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente.
CURVA ESTRATÉGICA RIESGO/OPORTUNIDAD: modelo desarrollado por David
McNamee para mostrar la relación entre los conceptos de riesgo y oportunidad. Muestra
además los efectos que tiene el tiempo (corto, mediano y largo plazo) sobre estos dos
conceptos.

D.A.R.E.: “Valoración Dinámica de Riesgos y Factores de Riesgo” – proviene su nombre

del nombre en inglés “Dynamic Assessment of Risk and Enablers”–. Metodología
informática aplicable en Auditoría Interna.

DATOS: Recurso de TI en COBIT, definido como los elementos de datos en su más amplio
sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos,
sonido, etc.

DEBILIDAD: algo de lo que carece una compañía o ejecuta deficientemente comparado

con los rivales o una condición que la coloca en una desventaja competitiva.

DIAGRAMA CAUSA – EFECTO: Este es un diagrama con forma de espina de pescado

que muestra la relación entre los efectos que genera un proceso o actividad, y las posibles
causas que lo originan.

DIAGRAMA DE DISPERSION: Este gráfico representa la relación que existe entre dos
variables, ubicando en el eje x la que se considera como posible causa, y en el eje y, la
variable que se considera como efecto. Al marcar las parejas de puntos se forma una “nube”
que permite llevar a cabo el análisis de dependencia entre las variables en estudio.

DIAGRAMA DE FLUJO: Representación gráfica de las actividades o pasos a seguir para

llevar a cabo un proceso. Se ha de tener en cuenta la secuencialidad, la relación entre dichas
actividades, y los productos que se generan en cada uno de estos pasos.

DIAGRAMA DE PARETO: Diagrama basado en el “principio de Pareto”, según el cual

en la aparición u obtención de un efecto hay muy pocas causas realmente importantes que
son responsables del 80% del total del efecto, y muchas causas secundarias que son
responsables solamente del 20% restante. Es decir, hay muy pocos factores vitales y
muchos triviales.

DIAGRAMA GRID: Este diagrama es una herramienta utilizada para llevar a cabo de
manera apropiada la priorización de procesos o actividades para de esta manera poder
concentrar el trabajo de auditoría en aquellos que presenten un mayor nivel de riesgo.

DISPONIBILIDAD: Criterio de información de COBIT que hace referencia a la

disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y
en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades
asociadas.

DIVERSIFICAR EL RIESGO: ver “Compartir el riesgo”.

ECOLOGIA: Factor de evaluación de los procesos en que se mide el adecuado manejo de
los recursos naturales.

ECONOMÍA: Factor de evaluación de los procesos en que se mide el si se produce un

mayor beneficio con un mínimo costo.

EFECTIVIDAD: Criterio de información de COBIT que hace referencia a que la

información relevante sea pertinente para el proceso del negocio, así como a que su entrega
sea oportuna, correcta, consistente y de manera utilizable.

EFICACIA: Factor de evaluación de los procesos en que se mide el logro apropiado de los
objetivos.

EFICIENCIA: (1) Factor de evaluación de los procesos en que se mide el manejo

apropiado de los recursos. (2) Criterio de información de COBIT que hace referencia a la
provisión de información a través de la utilización óptima (más productiva y económica) de
recursos.

ENTREGA Y SOPORTE: Dominio de COBIT que hace referencia a la entrega de los

servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad. Este dominio incluye el procesamiento de
los datos por sistemas de aplicación, frecuentemente clasificados como controles de
aplicación.

EQUIDAD: Factor de evaluación de los procesos en que se mide la imparcialidad en el

trato y la justicia natural.

ETICA: Factor de evaluación de los procesos en que se mide la solidez de los principios
morales de la organización.

EVALUACIÓN DE RIESGOS: Según COSO, es el examen de factores internos y

externos que impiden el logro de los objetivos organizacionales.

EVALUACIÓN HIPOTETICA DE RIESGOS: Evaluación de riesgos que se efectúa en

la fase de planeación, que se basa en el análisis del diagrama de flujo y los aportes de los
responsables del (los) proceso(s) estudiado(s).

EVALUACIÓN PRÁCTICA DE RIESGOS: Evaluación de riesgos que se efectúa en el

trabajo de campo, en que confronta los riesgos observados con los factores de riesgos para
determinar las causas que originan la ocurrencia de los riesgos observados.

EVALUACIÓN PRELIMINAR DE RIESGOS: Evaluación de riesgos que se efectúa en

la fase de evaluación de los controles, que se basa en el análisis realizado en la evaluación
hipotética de riesgos y el estudio de la fortaleza del sistema de Control Interno.
EVITAR EL RIESGO: el riesgo es evitado cuando la organización rechaza aceptarlo, es
decir, no se permite ningún tipo de exposición. Esto se logra simplemente con no
comprometerse con la acción que origine el riesgo.

FAA: Federal Aviation Administration – Administración Federal de Aviación.

FASE DE CUMPLIMIENTO: fase del ciclo del cambio donde existe la conciencia que al
tiempo que un sistema u organización crece a través del mejoramiento, al interior del medio
ambiente que los rodea se producen cambios de muchas maneras. El sistema u organización
debe reaccionar ante estos cambios incorporando lo nuevo y lo diferente.

FASE DE FORMACIÓN: fase del ciclo del cambio donde la organización o el sistema
trata de establecer una conexión segura con su medio ambiente. Es una época de gran
experimentación, de probar nuevas ideas, de responder rápida y furiosamente al mercado.

FASE DE NORMALIZACIÓN: fase del ciclo del cambio donde se mantienen vínculos
regulares y repetibles con el medio ambiente y se refuerza la conexión que dio resultado. El
sistema u organización se concentra en repetir lo que fue exitoso; se decide lo que se hará y
lo que no se hará.

FASE DE RENOVACIÓN: fase del ciclo del cambio que representa una nueva fase de
formación. Se hacen mejoras a la calidad más que a la cantidad, hay más innovación, el
sistema u organización empiezan a reinventarse. Empieza un nuevo ciclo de crecimiento.

FRECUENCIA: Repetición frecuente de un riesgo sobre una actividad específica.

GOBIERNO: Según CoCo, hace referencia a los procesos y estructuras utilizados para
dirigir y gerenciar la organización. Hace referencia al rol de la Alta Gerencia y de la Junta
Directiva.

GRÁFICO DE BARRAS: Permiten comparar el tamaño de dos o más cantidades, para lo

cual se utilizan barras verticales u horizontales de igual ancho para permitir una adecuada
comparación.

GRÁFICO DE LÍNEA: Muestra la tendencia de una situación a través de la dirección de

las líneas, permitiendo observar los cambios en el tiempo. Son diagramas bidimensionales,
donde el eje x representa el tiempo, y el eje y, los aspectos objeto de comparación.

GRÁFICOS CIRCULARES: Son los gráficos que representan en un círculo los

componentes de un conjunto de datos en un período determinado de tiempo.

GRÁFICOS DE RADAR: Es un círculo con varios radios, cada uno de los cuales
representa una variable del asunto que se analiza. Permite observar con facilidad el balance
entre las variables medidas en cada radio.

GUIDANCE FOR DIRECTORS – DEALING WITH RISK AT THE BOARDROOM.

[Guía para Directores – Negociar con el Riesgo en la Sala de Juntas]: Guía del CICA
que se encamina hacia la efectividad organizacional teniendo la participación de la alta
gerencia.

GUIDANCE FOR DIRECTORS – GOVERNANCE PROCESSES FOR CONTROL.

[Guía para Directores – Procesos de Gobierno para el Control]: Guía del CICA útil
para la junta directiva en el cumplimiento de sus responsabilidades respecto al control.

GUIDANCE ON CONTROL [Guía de Control]: Guía del CICA que introduce el

concepto de la estructura CoCo y da los lineamientos básicos para su desarrollo.

HACKER: Pirata cibernético encargado de penetrar en las redes computacionales de las

empresas para extraer información ya sea de carácter general o específica.

HOJA DE VERIFICACION: Herramienta útil para el registro y organización de la

información requerida al momento de realizar un análisis sobre un departamento, sistema,
proceso o actividad.

ICAEW: Institute of Chartered Accountants of England and Wales – Instituto de

Contadores Certificados en Inglaterra y Wales.

IIA: Institute of Internal Auditors – Instituto de Auditores Internos.

IMACS: Internal Management and Consulting Services – Servicios de Administración y

Consulta Interna.

IMPACTO: Repercusión directa de un riesgo en un proceso y/o sistema determinado.

IMPACTO: Según Magerit se define como un daño producido a la organización por un

posible incidente y es el resultado de la Agresión sobre el Activo, o visto de manera más
dinámica, la diferencia en las estimaciones de los estados (de seguridad) obtenidas antes y
después del evento.

INCERTIDUMBRE: según Emmet Vaughan, es una reacción psicológica a la ausencia de

conocimiento acerca del futuro. Con base en la teoría de la probabilidad, se puede medir en
un intervalo entre 0 y 1.

INFORMACIÓN Y COMUNICACIÓN: Según COSO, es el proceso de

retroalimentación que debe existir dentro de la empresa y entre ésta y su medio ambiente.

INSTALACIONES: Recurso de TI en COBIT, definido como los recursos para alojar y dar
soporte a los sistemas de información.

INTEGRIDAD: Criterio de información de COBIT que hace referencia a la precisión y

suficiencia de la información, así como a su validez de acuerdo con los valores y
expectativas del negocio.

ISACA: Information Systems Audit and Control Asociation.

IT: Information Technology – Tecnología de Información.

LLUVIA DE IDEAS: Técnica en la cual un grupo o grupos del personal de la

organización colaboran con la generación de ideas acerca de un tema específico de acuerdo
a la índole de cada grupo. Durante la sesión no se permite la crítica – en su sentido negativo
– de las ideas expuestas.

MAGERIT: Metodología de Análisis y GEstión de Riesgos de los sistemas de

Información de las AdminisTraciones Públicas elaborada por el Consejo Superior de
Informática, cuya utilización promueve, como respuesta a la dependencia creciente de éstas
(y en general de toda la sociedad) respecto a las Tecnologías de la Información.

MATRIZ CRECIMIENTO – PARTICIPACIÓN: Técnica utilizada para analizar las

operaciones de una empresa diversificada y verla como un portafolio de negocios. Aporta
un marco de referencia para categorizar los diferentes negocios de una organización y
determinar sus implicaciones en cuanto a asignación de recursos.

MATRIZ DE PRIORIDADES: Matriz de prioridades complementaria al análisis DOFA,

pues realiza un análisis de las debilidades y/o amenazas y de las fortalezas y/u
oportunidades a los que se enfrenta una organización.

MÉTODO "EN BASE AL SISTEMA": utilizado durante el segundo paradigma. El

método parte del análisis del sistema contable y de control para deducir la fiabilidad de los
controles y dar mayor seguridad a las muestras.

MÉTODO “DE ARRIBA ABAJO”: método utilizado en el primer paradigma, donde los
registros y documentos eran revisados en su integridad, lo cual hacía que el método fuese
adecuado, suficiente y viable, y que el riesgo fuese prácticamente inexistente.

MONITOREO Y APRENDIZAJE: Para CoCo, es un grupo de criterios que proveen un

sentido de la evolución de la organización.

MONITOREO: (1) Según COSO, se refiere al seguimiento permanente que se debe

hacer, por parte de la administración, para evaluar la efectividad del sistema de control
interno. (2) Dominio de COBIT el cual evalúa regularmente todos los procesos a través del
tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

OPORTUNIDAD: para McNamee, la oportunidad es “el potencial de resultados positivos

– más de lo esperado –, y el riesgo es “el potencial de resultados negativos – menos de lo
esperado –, derivados de los cambios ocurridos en el ambiente donde se desenvuelven las
organizaciones.

PARADIGMA: principios o dogmas que se catalogan como verdad en una rama del
conocimiento y que prevalecen por cierto tiempo hasta que, debido a cambios en el medio
ambiente, surgen nuevos principios y métodos, con lo cual se genera un cambio de
paradigma.
PARADIGMAS EN AUDITORÍA: la auditoría ha pasado por dos paradigmas y está
entrando a un tercero. Estos paradigmas son: auditoría basada en la re-ejecución o
verificación total de las operaciones; auditoría basada en los controles internos, y; auditoría
basada en los riesgos del negocio.

PERSONAL: Recurso de TI en COBIT, definido como las habilidades del personal,

conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar,
soportar y monitorear servicios y sistemas de información.

PLANEACIÓN Y ORGANIZACIÓN: Dominio de COBIT que cubre la estrategia y las

tácticas y se refiere a la identificación de la forma en que la tecnología de información
puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la
consecución de la visión estratégica necesita ser planeada, comunicada y administrada
desde diferentes perspectivas.

PROBLEMA: Lascano define problema como el efecto adverso que indefectiblemente

surge ante la ocurrencia de un riesgo y que siempre se manifiesta en términos de trastornos
o daños.

PROCEDIMIENTO DE VERIFICACIÓN INTERNA: método utilizado en el segundo

paradigma. Es descrito por Jaime Hernández como un método que utilizó procedimientos
de selectividad para asegurar que las pruebas de auditoría cubrieran los ítems más
importantes del universo de las operaciones, dada la imposibilidad de revisar el gran
volumen de transacciones. Este “Procedimiento de Verificación Interna” fue una primera
aproximación a lo que hoy en día se conoce como Sistema de Control Interno.

PROCESO DE LA ADMINISTRACIÓN DEL RIESGO: comprende las siguientes

fases: determinación de objetivos, identificación de riesgos, evaluación de riesgos,
consideración de alternativas y selección de la(s) técnica(s) de manejo de(los) riesgo(s),
implementación de la decisión tomada, y evaluación y revisión del proceso.

PROPOSITO: Para CoCo, es un grupo de criterios que proveen un sentido de la dirección

de la organización.

REDUCIR EL RIESGO: ver “controlar el riesgo”.

RELACIÓN CON CLIENTES EXTERNOS: Relación directa de la ocurrencia de un

riesgo sobre terceros.

RELACIÓN CON CLIENTES INTERNOS: Relación directa de la ocurrencia de un

riesgo sobre los empleados de la organización.

RETENER EL RIESGO: ver “Aceptar el riesgo”.

REVISORIA FISCAL: es un órgano de fiscalización que, en interés de la comunidad,
bajo la dirección y responsabilidad del revisor fiscal y con sujeción a las normas de
auditoría de general aceptación, le corresponde dictaminar los estados financieros y revisar
y evaluar sistemáticamente los componentes y elementos que integran el control interno, en
forma oportuna e independiente en los términos que le señale la ley, los estatutos y los
pronunciamientos profesionales.

RIESGO: es una medida de incertidumbre que refleja hechos presentes o futuros que
pueden ocasionar una ruptura en el flujo de información o incumplimiento en el logro de
los objetivos organizacionales.

RIESGO ABSOLUTO: El máximo riesgo sin los efectos mitigantes de controles internos.

RIESGO ADMINISTRADO: Los riesgos y consecuencias después de la aplicación del

control interno.

RIESGO DE AMBIENTE DE OPERACIÓN: Son amenazas que surgen como

consecuencia de procesos inefectivos o ineficientes para la adquisición, transformación y
mercadeo de bienes y servicios, así como detrimento de activos físicos, financieros, de
información, o intelectuales; pérdidas de mercado u oportunidades de mercado y; perjuicio
en la reputación.

RIESGO DE AMBIENTE ESTRATÉGICO: Son amenazas de los factores externos al

negocio, incluyendo cambios en los gustos y preferencias de los clientes, creación de
productos sustitutos o cambios en el ambiente competitivo, escenarios políticos, ambiente
legal y normativo, y disponibilidad de capital.

RIESGO DE CAPACIDAD DIRECTIVA: Factor interno que hace referencia a la

competitividad del recurso humano, incluyendo variables como: Nivel académico,
experiencia, estabilidad, rotación, capacitación y programas de desarrollo, entre otras.

RIESGO DE COMPETENCIA: Factor interno y/o externo que se deriva con el mercado,
y su área comercial en la venta de productos o prestación de servicios, y está encaminado a
determinar la oportunidad y la capacidad de competencia que tiene la organización en el
medio. Incluye variables como: Portafolio de productos, calidad del producto, canales de
distribución, investigación y desarrollo, servicio al cliente, entre otras.

RIESGO DE CONOCIMIENTO: Factor interno que se deriva de la cultura estratégica;

reconocimiento de la organización en cada una de sus facetas; visión, misión, objetivos
globales, estrategias, cultura institucional, planes de acción, políticas, normas,
procedimientos, filosofía de la administración, estilo de operación, proceso administrativo;
y, conocimiento del Control Interno.

RIESGO DE CONTROL: La tendencia del sistema de control interno de perder eficacia

con el paso del tiempo y exponer, o no impedir la exposición de los activos que
salvaguarda.
RIESGO DE DETECCIÓN: La probabilidad que se obtendrá una conclusión de auditoría
herrada a partir de los resultados de un examen.

RIESGO DE EMPRESA: el riesgo proveniente de las estrategias y objetivos específicos

de la unidad de negocio.

RIESGO DE ENTORNO: ver “Riesgos externos”.

RIESGO DE FUNCIONES: Es el riesgo sobre un proceso industrial.

RIESGO DE INFORMACIÓN: Son amenazas de uso de información de poca calidad

para la toma de decisiones operacional, financiera o estratégica dentro del negocio y
suministrar información distorsionada a terceras personas.

RIESGO DE LA CULTURA DE CONTROL: el riesgo proveniente de los elementos de

las organizaciones (recursos, sistemas, procesos, cultura, estructura y tareas) que tomadas
en conjunto apoyan a la gente en el logro de los objetivos de la compañía.

RIESGO DE LIQUIDEZ: Se refiere a la disponibilidad de recursos cuando son

necesarios, al flujo continuo y consistente de estos recursos y la confianza de que continúen
circulando.

RIESGO DE PLANEACIÓN: Es el riesgo que el proceso de planeación sea defectuoso.

En términos de evaluación de riesgos, es el riesgo de que el proceso de evaluación sea
inadecuado o incorrectamente implementado.

RIESGO DE POLÍTICAS: Es el riesgo que el diseño de las políticas de la organización

sea deficiente.

RIESGO DE PORTAFOLIO: Es el riesgo de que una combinación de proyectos, activos,

unidades o lo que exista en cartera no alcance para lograr los objetivos totales de la cartera
debido a una mala balanza de riesgos dentro de la misma.

RIESGO DE PROCESO: (1) el riesgo proveniente de los procesos y productos clave

utilizados para lograr las estrategias y los objetivos específicos de la unidad de negocio. (2)
Es el riesgo sobre un proceso comercial.

RIESGO DE PRODUCCIÓN: Es simplemente el riesgo asociado con las capacidades de

fabricación y producción, el grado de adaptación al cambio de estos procesos y su grado de
disponiblidad o no disponibilidad.

RIESGO DE PROGRAMACIÓN: riesgos que incluyen la obtención y el uso de recursos

y actividades aplicables que pueden estar por fuera del control del programa pero que
pueden afectar la dirección del programa. Estos riesgos tienden a ser una función del
ambiente del negocio.
RIESGO DE RECURSO HUMANO: Son los que pueden afectar la productividad y
efectividad organizacional.

RIESGO DE REPUTACIÓN: Es el riesgo de una pérdida de confianza en la

administración de la organización.

RIESGO DE SOPORTE: riesgo asociado con los sistemas de mantenimiento y de

operación que están siendo desarrollados y ejecutados actualmente.

RIESGO DEL NEGOCIO: (1) según el AICPA, es definido como la amenaza que un
evento o acción afecte de manera adversa la habilidad de la organización para lograr sus
objetivos corporativos y ejecutar exitosamente sus estrategias. (2) Ver Riesgo de Empresa.

RIESGO DINÁMICO: Los riesgos dinámicos son los que resultan de los cambios en la
economía; surgen de dos tipos de factores: Factores en el medio externo, los cuales son
incontrolables y los otros factores son las decisiones gerenciales dentro de la empresa.

RIESGO ECONÓMICO: Factor externo que se relaciona con el comportamiento de la

economía, tanto al nivel nacional como internacional; que tiene como característica
particular que el efecto de sus variables son explosivas y pueden incluirse –entre otras– las
siguientes: Inflación, PIB, ingreso percápita, devaluación, comportamiento de la economía
internacional.

RIESGO ESPECÍFICO: Es el tipo de riesgo que recae sobre una actividad específica,
debido a que el nivel de riesgo varía de actividad en actividad.

RIESGO ESPECULATIVO: El riesgo especulativo describe una situación que sostiene la

posibilidad tanto de pérdida como de ganancia.

RIESGO ESTÁTICO: Los riesgos estáticos involucran aquellas pérdidas que resultarían
aun si no ocurren cambios en la economía.

RIESGO ESTRATÉGICO: el riesgo proveniente de las estrategias y objetivos globales

de la organización.

RIESGO EXTERNO: resultan de circunstancias ajenas a la empresa que pueden ser

difíciles o imposibles de controlar. Estos riesgos serían causados, en su mayoría, por
fuerzas sociales, políticas o económicas.

RIESGO FINANCIERO: (1) Factor Interno que se relaciona directamente con el Capital
de Trabajo, las fortalezas o debilidades financieras de la organización, en el manejo de sus
finanzas, e incluye variables como: Liquidez, endeudamiento, margen de rentabilidad,
rotación de activos corrientes y elasticidad en la demanda, entre otras. (2) se pueden
considerar como parte de los riesgos internos y pueden ser resumidos como el riesgo que
los flujos de caja no sean administrados efectivamente para: maximizar la disponibilidad
del efectivo; para reducir incertidumbre en cuanto a la variación en la moneda, tasas de
interés y créditos; y para mover fondos de efectivo de manera rápida y sin pérdida de valor
a donde más se necesiten. Estos riesgos pueden tener un efecto directo en los activos y
pasivos monetarios. (3) El riesgo financiero involucra la relación entre un individuo – o una
organización – y un activo o un ingreso que se puede perder o dañar.

RIESGO FISCAL: El riesgo de que las deficiencias en el control de gastos o ingresos

afecten de manera adversa el logro de los objetivos.

RIESGO FUNDAMENTAL: Los riesgos fundamentales involucran pérdidas que son

impersonales en origen y consecuencia; son riesgos de grupo causados en su mayor parte
por fenómenos económicos, sociales y políticos aunque también pueden resultar de
ocurrencias físicas. Los riesgos fundamentales afectan a un gran grupo, o en algunos casos,
a una gran población.

RIESGO GEOGRÁFICO: Factor externo que se relaciona con el medio ambiente en

factores como: Ubicación, clima, recursos naturales, topografía, y vías de acceso.

RIESGO GERENCIAL: Se refiere principalmente al estilo, uniformidad y continuidad de

la gerencia.

RIESGO GLOBAL: Riesgos que dependen de las medidas tomadas por el Medio
Ambiente Externo sin que la empresa pueda influir sobre ellas.

RIESGO INHERENTE: Es el que tiene que ver con la naturaleza propia de cada
actividad.

RIESGO INTERNO: pueden ser "riesgo de proceso" o "riesgo de información para la

toma de decisiones". Estos riesgos surgen dentro de una empresa como resultado de sus
actividades de negocio. Generalmente, estos riesgos son más controlables que los riesgos
externos.

RIESGO NO FINANCIERO: este término describe aquellos riesgos que no se relacionan

directamente con los activos y pasivos monetarios. Sin embargo, estos riesgos tienen
implicaciones financieras para los flujos de caja y la obtención de utilidades, aunque
incluyen riesgos de salud y seguridad, decisiones políticas y cambios que afectan al
negocio.

RIESGO OMNIPRESENTE: Es el tipo de riesgo que se encuentra en todo el ambiente.

El enfoque es el ambiente de las actividades del negocio en vez de la actividad en sí. Está
relacionado con la cultura organizacional.

RIESGO OPERATIVO: riesgo asociado con el ¿Qué tan bien operan los sistemas en
cuanto a especificaciones de diseño o seguridad?

RIESGO PARTICULAR: Los riesgos particulares involucran pérdidas que surgen a partir
de eventos particulares que son sentidos por los individuos más que por el grupo entero.
RIESGO POLÍTICO: (1) Según Rangel, es un factor externo que también se denomina
como Riesgo País, y se debe al uso del poder; incluye variables como: Política del País,
renovación de la clase dirigente, acuerdos internacionales, cambios en las regulaciones, y
desacuerdos en los frentes políticos, económicos, sociales, entre otros. (2) Es aquel
asociado con las medidas de tipo legal que se asuman en un momento determinado.

RIESGO PURO: El riesgo puro es utilizado para designar aquellas situaciones que
involucran solo la posibilidad de pérdida o no pérdida. La diferencia existente es que
solamente el riesgo puro puede ser asegurable.

RIESGO RESIDUAL: Es el riesgo que queda cuando han sido aplicadas las técnicas de
administración o manejo de riesgos.

RIESGO SOCIAL: Factor externo que afecta el modo de vivir de la gente, calidad de
vida, su comportamiento, cultura, e incluso sus valores. Incluye variables como:
Desempleo, violencia en zonas rurales, desplazados, comportamiento cultural, salud,
educación, entre otras.

RIESGO TÉCNICO: Riesgo asociado con el desarrollo de un nuevo diseño para proveer
un mayor nivel de desempeño que el previamente demostrado o el mismo o menor nivel de
desempeño sujeto a nuevas restricciones. La naturaleza y causas de los riesgos técnicos son
muy variadas, pero en general estos riesgos son el resultado de la demanda por un mayor
desempeño de los nuevos sistemas y equipos.

RIESGO TECNOLÓGICO: Factor Interno y/o externo que incluye aspectos relacionados
con el uso de tecnología tangible o intangible, infraestructura tecnológica, normalización de
procesos, y la capacidad de reacción que tiene la organización en el uso de éstas.

SANCIÓN LEGAL: Pago de una multa ante las autoridades tributarias, civiles, laborales,
entre otras.

TECNICA DE LO PERFECTO HACIA ATRÁS: Esta técnica ha sido desarrollada por

David McNamee para promover el cambio de la perspectiva del CSA de mirar los eventos
pasados a tener en cuenta también el futuro.

TECNOLOGÍA: Recurso de TI en COBIT, definido que cubre hardware, software,

sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc.

TRANSFERIR EL RIESGO: El riesgo puede ser transferido de una organización a otra

que tenga más capacidad de tratarlo.

VALUACIÓN DE RIESGOS: Según COSO, es un componente del control que da una

perspectiva acerca de la eficiencia de los controles.

VISUAL ASSURANCE: Software diseñado por la firma Deloitte & Touche, útil para
organizar los datos recolectados durante los talleres llevados a cabo por los IMAC,
visualización de los resultados y, su posterior revisión.
VULNERABILIDAD: Según Magerit, se define como la ocurrencia real de
materialización de una Amenaza sobre un Activo.

CONTADOR PÚBLICO: aquel profesional dedicado a aplicar, analizar e interpretar la

información contable y financiera de una organización, con la finalidad de diseñar e
implementar instrumentos y mecanismos de apoyo a las directivas de la organización en el
proceso de Toma de decisiones. Se conoce también como aquel experto con formación
universitaria en ciencias empresariales, con especial énfasis en materias y prácticas
contable-financiero-tributaria-administrativas, auditoria externa e interna y servicios de
asesoramiento empresarial.

AUDITOR: (en algunos países de América Latina) a la persona capacitada y

experimentada que se designa por una autoridad competente o por una empresa de
consultoría, para revisar, examinar y evaluar con coherencia los resultados de la gestión
administrativa y financiera de una dependencia (institución gubernamental) o entidad
(empresa o sociedad) con el propósito de informar o dictaminar acerca de ellas, realizando
las observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia en su
desempeño. Originalmente la palabra significa "oidor" u "oyente"

LA REVISORÍA FISCAL: es una institución de origen legal, de carácter profesional a la

cual le corresponde por ministerio de la ley, bajo la responsabilidad de un profesional
contable, con sujeción a las normas que le son propias, vigilar integralmente los entes
económicos, dando fe pública de sus actuaciones.

Con el propósito de contribuir a la confianza pública, la Revisoría Fiscal se fundamenta en

el interés público y en la necesidad que sus acciones brinden seguridad a quienes
interactúan con los entes económicos, en especial en lo concerniente con el cumplimiento
de las disposiciones vigentes, la integridad, confiabilidad y pertinencia de la información
suministrada, la diligencia de los administradores y, la eficiencia y eficacia de las
operaciones realizadas.

Por tanto, tiene la obligación de rendir cuentas ante las autoridades pertinentes y ante la
asamblea, junta general de socios o máxima autoridad del ente económico, nunca ante el
gerente o los administradores, pues estos, lejos de ser sus superiores, por el contrario, son
sujetos pasivos de su vigilancia.

Así las cosas, se puede definir también la Revisoría Fiscal, como una Interventoría Integral
de carácter general, que con sujeción a la ley, examina el ente económico con sus
operaciones decisiones y contratos, para emitir un informe contentivo de su juicio
profesional con base en la evidencia y los hallazgos encontrados.

En otro orden de ideas, se puede afirmar que el Revisor Fiscal, dadas las connotaciones
expuestas puede entenderse como un Fiscal Empresarial o un Interventor Integral con poder
de sindicar conductas y comportamientos.