Business">
Matriz de Riesgo y Su Aplicacion en La Evaluacion Del Control de Interno de Las Empresas
Matriz de Riesgo y Su Aplicacion en La Evaluacion Del Control de Interno de Las Empresas
Matriz de Riesgo y Su Aplicacion en La Evaluacion Del Control de Interno de Las Empresas
La Matriz de Riesgo aplica permite determinar un plan de acción para los procesos
que se encuentra con mayor impacto de riesgos empresariales y con la mayor
frecuencia de ocurrencia, los cuales afectan a la gestión administrativa de la
organización. Esto permitirá diseñar estrategias de mitigación de riesgo
empresarial mediante la aplicación de indicadores de cumplimiento.
Para los fines de la información financiera, la NIA 315 establece que el proceso de
valoración del riesgo por la entidad incluye el modo en que la administración
identifica los riesgos de la empresas y que son relevantes para la preparación de
los estados financieros de conformidad con el marco de información financiera
aplicable a la entidad, estima su significatividad, valora su probabilidad de
ocurrencia y toma decisiones con respecto a las actuaciones necesarias para
darles respuesta y gestionarlos, así como los resultados de todo ello. Por tanto,
como, por ejemplo, el proceso de valoración del riesgo por la entidad puede tratar
el modo en que la entidad considera la posibilidad de que existan transacciones no
registradas o identifica y analiza estimaciones significativas registradas en los
estados financieros.
Los riesgos relevantes para una información financiera fiable incluyen hechos
externos e internos, transacciones o circunstancias que pueden tener lugar y
afectar negativamente a la capacidad de la entidad de iniciar, registrar, procesar e
informar sobre datos financieros coherentes con las afirmaciones de la dirección
incluidas en los estados financieros. La administración puede iniciar planes,
programas o actuaciones para responder a riesgos específicos o puede decidir
aceptar un riesgo debido al costo o a otras consideraciones. Los riesgos pueden
surgir o variar debido a circunstancias como las siguientes:
· Cambios en el entorno operativo. Los cambios en el entorno regulatorio u
operativo pueden tener como resultado cambios en las presiones competitivas y
riesgos significativamente distintos.
· Nuevo personal. El nuevo personal puede tener una concepción o interpretación
diferente del control interno.
· Sistemas de información nuevos o actualizados. Los cambios rápidos y
significativos en los sistemas de información pueden modificar el riesgo relativo al
control interno.
· Crecimiento rápido de la empresa. Una expansión significativa y rápida de las
operaciones puede poner a prueba los controles e incrementar el riesgo de que
éstos dejen de funcionar.
· Nueva tecnología. La incorporación de nuevas tecnologías a los procesos
productivos o a los sistemas de información puede cambiar el riesgo asociado al
control interno.
· Nuevos modelos de negocio, productos o actividades. Iniciar áreas de negocio o
transacciones con las que la entidad tiene poca experiencia puede introducir
nuevos riesgos asociados al control interno.
· Reestructuraciones empresariales. Las reestructuraciones pueden venir
acompañadas de reducciones de plantilla y de cambios en la supervisión y en la
segregación de funciones que pueden cambiar el riesgo asociado al control
interno.
· Expansión de las operaciones en el extranjero. La expansión o la realización de
operaciones en el extranjero trae consigo nuevos riesgos, a menudo
excepcionales, que pueden afectar al control interno; por ejemplo, riesgos
adicionales o diferentes en relación con transacciones en moneda extranjera.
· Nuevos pronunciamientos contables. La adopción de nuevos principios contables
o la modificación de los principios contables puede tener un efecto en los riesgos
de la preparación de estados financieros.
Cabe señalar que una responsabilidad importante de la dirección de la empresa es
establecer y mantener el control interno de manera continuada. El seguimiento de
los controles por la dirección incluye la consideración de si están funcionando
como se espera y si se modifican según corresponda ante cambios en las
condiciones. El seguimiento de los controles puede incluir actividades como la
revisión por la dirección de si las conciliaciones bancarias se preparan
oportunamente, la evaluación por los auditores internos del cumplimiento por el
personal de ventas de las políticas de la entidad sobre condiciones de los
contratos de venta, y la supervisión por el departamento jurídico del cumplimiento
de las políticas de la entidad en materia de ética o de práctica empresarial. El
seguimiento se realiza también para asegurarse de que los controles siguen
funcionando de manera eficaz con el transcurso del tiempo. Por ejemplo, si la
puntualidad y la exactitud de las conciliaciones bancarias no son objeto de
seguimiento, es probable que el personal deje de prepararlas.
De acuerdo a lo anterior, Fundación Tecnológica Antonio de Arévalo-Tecnar
(2019) manifiesta que, sí vale la pena la implementación y acogida de la Norma
NIA 315, no como una imposición
de pesado cumplimiento, sino reconociendo el reto y actualización que representa
acoger la misma, considerando, además, que es una norma de auditoría y que
cada país tenga la confianza de que las auditorías practicadas en su interior tienen
el mismo grado de exigencia y calidad que el de sus homólogos. Facilita el
intercambio de información bajo los mismos parámetros de confianza y moderniza
los procedimientos. Concluyendo la NIA 315 es la guía adecuada de actualización
para los auditores y empresas, toda vez que les facilita el proceso a nivel interno y
externo y les proporciona herramientas de conocimiento y efectividad en la
búsqueda de errores en la elaboración y desarrollo de un plan de auditoría. Pero
todo este transcurso debe ir acompañado de un apropiamiento por parte de los
auditores internos de la empresa y la experiencia en su riesgo y control, además
de entrar a profundidad en los conceptos propios de la recopilación de información
y la posterior elaboración de un estado financiero sano, con datos verídicos y una
evaluación de riesgos consciente, que le permita tanto a él como a la compañía,
tomar acciones en caso de encontrar anomalías y centrarse en las áreas que
corren mayor riesgo.
MATRIZ DE GESTION DE RIESGOS Y CONTROL
Figura 6.
Matriz de Riesgos Graficada
Fuente: Flores Portillo, David Antonio (2019) ¿Cómo diseñar una matriz de
riesgos? Op. Cit. Pág. 3. Fecha de Consulta: 23 de octubre de 2020.
En definitiva, la utilidad de la Matriz de Riesgos, su versatilidad, tamaño y
complejidad pueden ser muy diversos, sin embargo todos autores afirman que se
ha constituido en una herramienta útil y dinámica que facilita la identificación, así
como el control y análisis de los riesgos a los que podemos estar expuestos dentro
de las empresas.
Por todo lo antes expuesto, el objetivo que se pretende alcanzar se ciñe evaluar la
efectividad de la Matriz de Riesgo y Control como herramienta en los procesos de
la auditoría interna de las empresas comerciales.
DISCUSION
El papel de la auditoría ha cambiado en el devenir de los años, y por consiguiente
los objetivos que se pretende con la misma, en principio se desarrolló dentro del
sector público, haciendo que los auditores de manera independiente facilitaran
información amplia, minuciosa y detalladamente sobre las operaciones que
realizaban los administradores. Sin embargo, hoy por hoy, como
manifiesta Armada et al. (2015) la auditoría como rubro de las ciencias contables,
además de dar fe sobre las operaciones pasadas, tiene como objetivo mejorar las
operaciones futuras, recomendando de manera constructiva tendente a mejorar la
eficiencia y eficacia de las empresas.
DESARROLLO DE LA MATRIZ
RIESGO INHERENTE
Sistema de contabilidad
El auditor debería obtener una comprensión del sistema de contabilidad suficiente
para identificar y entender:
(a) las principales clases de transacciones en las operaciones de la entidad;
(b) cómo se inician dichas transacciones;
(c) registros contables importantes, documentos de soporte y cuentas en los
estados financieros; y
(d) el proceso contable y de informes financieros, desde el inicio de transacciones
importantes y otros eventos hasta su inclusión en los estados financieros.
Ambiente de control
El auditor debería obtener una comprensión del ambiente de control suficiente
para evaluar las actitudes, conciencia y acciones de directores y administración,
respecto de los controles internos y su importancia en la entidad.
Procedimientos de control
El auditor debería obtener una comprensión de los procedimientos de control
suficiente para desarrollar el plan de auditoría. Al obtener esta comprensión el
auditor consideraría el conocimiento sobre la presencia o ausencia de
procedimientos de control obtenido de la comprensión del ambiente de control y
del sistema de contabilidad para determinar si es necesaria alguna comprensión
adicional sobre los procedimientos de control.
Riesgo de Control
Evaluación preliminar del riesgo de control
La evaluación preliminar del riesgo de control es el proceso de evaluar la
efectividad de los sistemas de contabilidad y de control interno de una entidad
para prevenir o detectar y corregir representaciones erróneas de importancia
relativa. Siempre habrá algún riesgo de control a causa de las limitaciones
inherentes de cualquier sistema de contabilidad y de control interno.
Después de obtener una comprensión de los sistemas de contabilidad y de control
interno, el auditor debería hacer una evaluación preliminar del riesgo de control, al
nivel de aseveración, para cada saldo de cuenta o clase de transacciones, de
importancia relativa.
La evaluación preliminar del riesgo de control para una aseveración del estado
financiero debería ser alta a menos que el auditor:
(a) pueda identificar controles internos relevantes a la aseveración que sea
probable que prevengan o detecten y corrijan una representación errónea de
importancia relativa; y
(b) planee desempeñar pruebas de control para soportar la evaluación.
Para la elaboración de una matriz de riesgos podemos considerar tres pasos que
a continuación desarrollaremos:
1. IDENTIFICACION DE RIESGOS
En esta etapa debemos listar todos los eventos de riesgo posibles que
puedan ocurrir y afectar las actividades normales de nuestra empresa o
proyecto. Algunos ejemplos de estos eventos de riesgo podrían ser:
6. Adicionalmente las ventas han tenido un descenso en los últimos dos años
de un 15% anual con respecto a las ventas del año anterior, sin embargo, el
costo de las ventas ha tenido un comportamiento inverso, el cual aumento
entre el 7%y 8% anual, originando una disminución severa en la rentabilidad
de la compañía.
Categorías de impacto:
Valor Categorías Descripción
5 Catastróficas Influye directamente en la misión, pérdida patrimonial o de
imagen
4 Mayores Dañaría significativamente en la misión, pérdida patrimonial o
imagen
3 Moderadas Daño importante en la misión, pérdida patrimonial o de
imagen
2 Menores Corregir a corto tiempo y no afecta cumplimiento de objetivos
1 Insignificantes Pequeño o nulo efecto en la institución
Comentarios:
1) Primero para poder elaborar una matriz de riesgo es importante que conozcamos
nuestro mapa de calor a través de nuestros valores que aparecen en las
probabilidades como valores 5, 4, 3, 2, 1 y como impactos 5, 4, 3, 2,1.
2) Numeral 1) comentario extra: números que aparecen dentro de la columna del
mapa de matriz re riesgo del 1 al 10 son los hallazgos
3) Establecemos el objetivo
4) Establecemos el tipo de riesgo
5) Evaluamos el riesgo
6) El efecto
7) Determinamos la probabilidad del evento
8) El impacto se provocaría dentro de la compañía
9) El riesgo inherente este es importante comprender que se debe de realizar y
como lo hacemos multiplicamos la casilla de probabilidad por impacto según
nuestro análisis.
10) Qué respuesta le damos al riesgo
11) Quien es responsable de esta gestión del riesgo. Cada gerente de los
departamentos.
12) Es importante saber que nosotros como profesionales solo identificamos los
riesgos y dar las mejores o posibles propuestas de soluciones.
Hallazgo 5 es importante:
El mapa de calor es alto provocando un alto riesgo
6. Para que las empresas logren sus objetivos y una vida perdurable deben
implementar una cultura de gestión de riesgo, utilizando las matrices de riesgos
como herramientas de medición. La cultura de riesgo ya es parte de la vida
cotidiana de toda empresa en la actualidad, por ello es importante que la
implementación se haga en corto plazo.
BIBLIOGRAFIA
https://www.auditool.org/blog/control-interno/6227-metodologia-matriz-de-
control-de-riesgos
http://fccea.unicauca.edu.co/old/evaluacion.htm
http://portal.amelica.org/ameli/journal/221/2212240002/html