EL RIESGO Y EL CONTROL INTERNO: AMIGOS Y ENEMIGOS INSEPARABLES

Resumen
En el cambiante ambiente en el cual se desenvuelven las organizaciones, actualmente existen contingencias que están en la naturaleza propia de las actividades y procesos, riesgos cuyos controles implantados no surjan el efecto deseado y que no se detecte dicho riesgo.

Ante situaciones como las mencionadas, existe el control interno que es una herramienta creada para disminuir o mitigar estos riesgos. Cabe indicar, que se hace énfasis en el hecho de que el control interno no desaparece el riesgo, pero si promueve la simplificación, dando como resultado una mínima expresión, generando que las actividades que se interrelacionan fluyan con mayor facilidad para que las decisiones que se tomen en adelante no adolezcan de incertidumbre respecto a escenarios de error o fraude.

Como parte del control interno se ha creado el Informe COSO, cuyos componentes abarcan todos los aspectos organizacionales importantes, es decir, desde el factor humano pasando por el análisis del riesgo, la información, actividades de control y el seguimiento a ese control posterior.

Es importante analizar que sin riesgo no existe el control, el mismo que se origina en la naturaleza propia de la actividad y que por lo tanto siempre existirán mecanismos que permitan eliminarlo por completo.

Palabras claves: riesgo, control interno, riesgo inherente, COSO, seguimiento.

Abstract

In the changing environment in which organizations operate today , there are risks that are in the nature of the activities and processes , risk controls in place that do not arise desired effect and that the risk is detected.

In situations like these, there is the internal control is a tool designed to reduce or mitigate these risks. It should be noted that the emphasis is on the fact that internal control risk does not go away , but if it promotes simplified to its simplest expression and activities that are interrelated flow more easily, and that the decisions made onwards are not affected by uncertainty scenarios of error or fraud .

As part of internal control has created the COSO Report, whose components include all important organizational aspects , that is, from the human factor through risk analysis , information , control activities and monitoring subsequent to that control.

It is important to consider that without risk there is no control, the same that originates in the nature of the activity and therefore always exist mechanisms to remove it completely.

Keywords: risk, internal control, inherent risk, COSO, tracing.

  1. 1.   DEFINICIONES IMPORTANTES

1.1 El Riesgo

Riesgo es la vulnerabilidad ante un potencial perjuicio o daño para las unidades, personas, organizaciones o entidades. Cuanto mayor es la vulnerabilidad mayor es el riesgo, pero cuanto más factible es el perjuicio o daño, mayor es el peligro. Por tanto, el riesgo se refiere sólo a la teórica “posibilidad de daño” bajo determinadas circunstancias, mientras que el peligro se refiere sólo a la teórica “probabilidad de daño” bajo esas circunstancias. Por ejemplo, desde el punto de vista del riesgo de daños a la integridad física de las personas, cuanto mayor es la velocidad de circulación de un vehículo en carretera mayor es el “riesgo de daño” para sus ocupantes, mientras que cuanto mayor es la imprudencia al conducir mayor es el “peligro de accidente” (y también es mayor el riesgo del daño consecuente)1.

1.2 Riesgo en Auditoría

Según Araceli Mora Enguídanos2,el riesgo en auditoría es la posibilidad de que el auditor emita una opinión incorrecta por no haber detectado alguna irregularidad significativa.  El hecho de que la opinión del auditor se base en la aplicación de pruebas selectivas, en lugar de llevar a cabo la comprobación de todas las operaciones, conlleva un riesgo, es el conocido como riesgo de auditoría.  El denominado modelo de riesgo de auditoría descansa sobre los pilares fundamentales: el riesgo general o probable de auditoría y la importancia relativa.

1.3 Componentes del Riesgo en Auditoria

De acuerdo con De la Peña3 el riesgo global de Auditoria cabe descomponerlo en: Riesgo inherente, Riesgo de control y Riesgo de No detección.

El Riesgo Inherente, es el riesgo de que ocurran errores significativos en la información contable, independientemente de la existencia de los sistemas de control.  Este tipo de riesgo depende de:

-     Del tipo de negocio

-     De su medio ambiente

-     Del tipo de transacción

El riesgo inherente, afecta a la extensión del trabajo de auditoria, por ello a mayor riesgo inherente deberá existir una mayor cantidad de pruebas de satisfacerse de determinadas afirmaciones, transacciones o acontecimientos afectados por el riesgo. A menor nivel de riesgo inherente, la cantidad de evidencia será menor.  Por el contrario, si el riesgo inherente es elevado, el auditor deberá obtener mayor evidencia sobre la que soportar su opinión.

El Riesgo de Control, es el riesgo de que el sistema  de control interno del cliente no prevenga, detecte o corrija dichos errores.  Este tipo de riesgo se evalúa mediante el conocimiento y comprobación,  a través de pruebas de cumplimiento, del sistema de control interno.  A mayor grado de confianza en los controles internos instalados, menor es el riesgo de control.  Por el contrario, a medida que disminuye ese grado de confianza, se incrementa esta clase de riesgo.

El Riesgo de no detección, es el riesgo de que un error u omisión significativo existente no sea detectado, por último, por el propio proceso de auditoría.  El nivel de riesgo de no detección está directamente relacionado con los procedimientos de auditoría debido a:

-     La ineficacia de los procedimientos de auditoría aplicados.

-     La inadecuada aplicación de dichos procedimientos.

-     Al deficiente alcance y oportunidad de los procedimientos seleccionados.

-     A la inapropiada interpretación del resultado de los procedimientos. 

1.4 La Importancia Relativa

Así también De la Peña4 manifiesta que la importancia relativa es la magnitud o naturaleza de un error u omisión en la información financiera, que, bien individualmente o en su conjunto, y a la luz de las circunstancias que le rodean, hacen probable que el juicio de una persona razonable que confía en dicha información, se hubiera visto influido en su decisión como consecuencia de dicho error u omisión.  Es decir un error u omisión son importantes, o deben considerarse significativos si es probable que su divulgación hubiera influido en la opinión de un lector de las cuentas anuales.

El concepto de importancia relativa tiene su origen en un error o en una omisión.  Se concreta si dichos errores u omisiones influyen individualmente o en su conjunto, sobre un lector de cuentas anuales y tiene como consecuencia un cambio en su opinión sobre el contenido de la cuentas anuales.

En las etapas de la Auditoría afecta sus etapas de la siguiente manera:

Planificación.- Fijar la importancia relativa o el nivel de precisión en función de diversos parámetros.

Ejecución del trabajo.- Fijar el error tolerable, tomando como referencia la cifra de importancia relativa fijada en la planificación.

Emisión del informe.- Evaluar la significancia de las limitaciones al alcance, los errores, los incumplimientos o cambios de los PCGA y las incertidumbres. 

1. 5 El control interno

El control interno o de gestión es un conjunto de áreas funcionales en una empresa y de acciones especializadas en la comunicación y control al interior de la empresa. El sistema de gestión por intermedio de las actividades, afecta a todas las partes de la empresa a través del flujo de efectivo. La efectividad de una empresa se establece en la relación entre la salida de los productos o servicios y la entrada de los recursos necesarios para su producción. Entre las responsabilidades de la gerencia están:

-     Controlar la efectividad de las funciones administrativas.

-     Regular el equilibrio entre la eficacia y la eficiencia en la empresa.

-     Otros aspectos del desarrollo de la empresa, como crecimiento, rentabilidad y liquidez5.

2. MARCO TEORICO

De acuerdo con Miguel Barquero6, parte del control interno está en el hecho de que la dirección analice cuales son los riesgos que pueden afectar a la entidad, los documentos, los evalúe y establezca estrategias para afrontarlos.

En la identificación de riesgos debe considerarse la probabilidad de que se produzcan conductas fraudulentas dentro de la organización, en sus dos vertientes: la apropiación indebida de activos y la preparación de información maquillada.

Una vez identificada, se debe analizar y clasificar los riesgos en función de variables como las siguientes:

- Su probabilidad de ocurrencia.

- La magnitud del impacto.

- El tiempo que transcurre entre que se materializa el riesgo y el impacto para la entidad.

- La persistencia del impacto para el negocio una vez que se ha producido el riesgo.

Una vez analizados los riesgos, se debe tomar una decisión sobre cómo gestionar cada uno de ellos, decisión que puede entrar dentro de las siguientes opciones:

-     Aceptar el riesgo y no emprender acciones para mitigarlo

-     Evitar el riesgo dejando de hacer las actividades que lo generan

-     Reducir el riesgo con las herramientas disponibles

-     Compartir el riesgo: contratando seguros, buscando socios, etc.

Una herramienta organizacional, creada para mitigar el riesgo y evaluar el control interno, es el COSO (Committee of Sponsoring Organizations of the Treadway Commission), cuyo objetivo es mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno.

El COSO está conformado por 5 componentes, los cuales son explicados por Mantilla7:

Ambiente de Control.- La esencia de cualquier negocio es su gente – sus atributos individuales, incluyendo integridad, los valores éticos y la competencia – y el ambiente en que ella opera.  La gente es el motor que dirige la entidad y el fundamento sobre el cual todas las cosas descansan.

Valoración de riesgos.- La entidad debe ser consciente de los riesgos y enfrentarlos.  Debe señalar objetivos, integrados con ventas, producción, mercadeo, finanzas y otras actividades de manera que opere concertadamente.  También debe establecer mecanismos para identificar, analizar y administrar los riesgos relacionados.

Actividades de control.- Se deben establecer y ejecutar políticas y procedimientos para ayudar a asegurar que se están aplicando efectivamente las acciones identificadas por la administración como necesarias para manejar los riesgos en la consecución de los objetivos de la entidad.

Información y comunicación.- Los sistemas de información y comunicación se interrelacionan.  Ayudan al personal de la entidad a capturar e intercambiar la información necesaria para conducir, administrar y controlar sus operaciones.

Monitoreo.- Debe monitorearse el proceso total, y considerarse como necesario hacer modificaciones.  De esta manera el sistema puede reaccionar dinámicamente, cambiando a medida que las condiciones lo justifiquen.

3. CONCLUSIONES

En vista del inminente crecimiento de las organizaciones, cada día se han visto en la tarea de implementar controles a aquellas áreas de riesgo o procesos más susceptibles al error y al fraude.

El riesgo está presente en todos los procesos institucionales. Cuando el riesgo se origina o es parte de la naturaleza de ésta actividad se denomina “riesgo inherente”.  Este tipo de riesgo dependerá de factores como el tamaño del negocio y el ambiente de control, factores que el Auditor de verá evaluar al momento de realizar la primera y segunda fase de la Auditoria, como el conocimiento del negocio y planeación preliminar.

También pueden existir controles que al implementarse no surjan el efecto preventivo, correctivo y de un control posterior, a éste riesgo se lo denomina “riesgo de control”.

Así también, existe la incertidumbre que al implementarse los controles, no se detecte los errores en los procesos, inclusive en el de Auditoria, a éste riesgo se lo conoce como “riesgo de no detección”. 

Una herramienta que se ha creado para mitigar estos riesgos, en cada una de sus etapas, es el informe COSO.   Este instrumento está conformado de 5 componentes importantes: ambiente de control, valoración del riesgo, actividades de control, información y comunicación y monitoreo.

Estos componentes evalúan y analizan desde el capital humano hasta el seguimiento a los controles instaurados.

Determina si cada una de las actividades presentan factores de riesgo que pueden ir desde la mala distribución del trabajo en las áreas, hasta la falta de compromiso de la alta dirección de una cultura de control estructurada, imprevista y sin organización.

Estos últimos factores, son fundamentales para que el personal que ejerce y realiza el control implementen los mismos, ya que no existe el incentivo y la motivación para que éste nivel jerárquico tome decisiones que afecten positivamente el resultado organizacional.

______________________________

BIBLIOGRAFÌA:

1 http://es.wikipedia.org/wiki/Riesgo

2 Mora Enguídanos Araceli (2008): Diccionario de contabilidad, auditoría y control de gestión. Página 201. España: Editorial Ecobook.

3 De la Peña Gutiérrez Alberto (2011): Auditoria: Un enfoque práctico.  Capítulo 2 El riesgo y la evidencia en auditoria página 49. España: Editorial Paraninfo.

4 De la Peña Gutiérrez Alberto (2011): Auditoria: Un enfoque práctico.  Capítulo 2 El riesgo y la evidencia en auditoria página 52. España: Editorial Paraninfo.

5 http://es.wikipedia.org/wiki/Control_interno

6 Barquero Miguel (2013): Manual práctico de control interno: teoría y aplicación práctica. Capítulo 3 Control Interno. España: Profit Editorial.

7 Mantilla Samuel Alberto (2005): Control Interno Informe Coso. Capítulo 3 Framework. España. ECOE Ediciones.

Para citar este artículo puede utilizar el siguiente formato:
Armijos Santos, Mónica: "El riesgo y el control interno: amigos y enemigos inseparables" en Revista Caribeña de Ciencias Sociales, mayo 2014, en http://caribeña.eumed.net/riesgo-control-interno/

Revista Caribeña de Ciencias Sociales es una revista académica, editada y mantenida por el Grupo eumednet de la Universidad de Málaga.