Evaluación de riesgos (Risk assessment)

Evaluación de riesgos (Risk assessment)

• — la persistencia del impacto para el negocio una vez se ha producido el
riesgo.

Evaluación de riesgos (Risk assessment)

• En general, se suelen usar clasificaciones del tipo alto/medio/bajo,
dado que es difícil estimar con mas detalle, y tres niveles son
suficientes para la toma de decisiones. Son muy descriptivas las
tablas de doble entrada en las que un eje es la probabilidad y el otro
el tamaño del impacto, pues permiten identificar a la dirección los
riesgos en los que debe centrar sus esfuerzos.
Evaluación de riesgos (Risk assessment)
• Una vez analizados los riesgos, se debe tomar una decisión sobre
como gestionar cada uno de ellos, decisión que puede entrar dentro
de las siguientes opciones:
• — Aceptar el riesgo y no emprender acciones para mitigarlo.
• — Evitar el riesgo dejando de hacer las actividades que lo generan.
• — Reducir el riesgo con las herramientas disponibles.
• — Compartir el riesgo: contratando seguros, buscando socios, etc.
Actividades de control (Control Activities)
• La posición de la compañía hacia cada uno de los riesgos debe
documentarse como parte de este proceso, y contar con el nivel de
autorización pertinente.
• El risk assessment o evaluación de riesgos, es un concepto mas
extendido en las grandes corporaciones americanas, pero que
paulatinamente se esta introduciendo en compañías mexicanas de
cierto tamaño.
Evaluación de riesgos (Risk assessment)
• Los mapas de riesgos son una herramienta cada vez mas usada en la
gestión porque cada vez son mas los gestores que ven las ventajas
de documentar esta información.
• Son los procedimientos que se encuentran a lo largo de cualquier
proceso de negocio de una entidad y que han sido diseñados por la
dirección para mitigar los riesgos identificados (ver apartado anterior) en
el mismo. De todos los componentes del control interno que define
COSO, este es el que coincide con la idea clásica de control interno, es
decir, conciliaciones bancarias, recuentos físicos, etc.
Actividades de control (Control Activities)
• La segregación de funciones se construye en el diseño de las actividades
de control que participan en un proceso, es decir, cuando se decide que
actividades se tienen que realizar y quien las va a realizar. Si las funciones
coinciden en una única persona, el riesgo de error y fraude aumenta
considerablemente. Si hay segregación será necesario que se produzca la
colusión entre empleados para poder llevar a cabo conductas
inapropiadas.
Actividades de control (Control Activities)
• Cuando el tamaño de las entidades y la escasez de recursos no permita
que la segregación de funciones sea suficiente, se debe diseñar otras
actividades de control alternativas que reduzcan el riesgo de fraude por
parte de las personas con acumulación de poderes, como pueden ser
controles detectivos o de supervisión como veremos a continuación.
• Las actividades de control pueden consistir en:
• — Verificaciones: comparar dos elementos y actuar en consecuencia cuando no
coinciden; por ejemplo, la comparación del pedido con el material recibido.
• — Conciliaciones: comparar dos elementos e identificar las partidas que componen la
diferencia entre los mismos; por ejemplo, conciliaciones bancarias.
Actividades de control (Control Activities)
• Las actividades de control pueden consistir en:
• — Autorización: la autorización por el responsable de un departamento da
validez a una transacción; por ejemplo, la autorización de la emisión de un
pedido.
• — Controles físicos: los inmovilizados, existencias, caja, etc. deben estar en
lugares seguros que impidan su apropiación por terceros, y periódicamente
deben ser contados para verificar que coinciden con el registro contable y no se
han producido hurtos; por ejemplo, inventarios, arqueos, etc.
• Las actividades de control pueden consistir en:
Actividades de control (Control Activities)
• — Controles sobre bases de datos fijos: para verificar que no se introduce
modificaciones no autorizadas en las bases de datos que se utilizan en el
proceso, como pueden ser el maestro de clientes o proveedores; por ejemplo,
los exception reports, o informes de excepciones, notifican los cambios
introducidos en la base de datos para que sean revisados por el responsable del
departamento.
• — Controles de supervisión: pruebas para comprobar que el resto de
actividades de control (verificaciones, conciliaciones, autorizaciones...) están
funcionando correctamente; por ejemplo, la revisión de las conciliaciones
bancarias por una persona adicional a la que las realiza.
• Las actividades de control tambien se pueden clasificar entre:
Actividades de control (Control Activities)
• Controles preventivos: diseñados para evitar que se produzca el error en el
momento en que se está gestionando la transacción. Se ejercen durante la
transacción. Por ejemplo la comparación del pedido con el material recibido,
para no aceptar la recepción del producto en caso de no coincidencia.
• Controles detectivos: diseñados para detectar errores que no han sido
detectados por los controles preventivos. Se ejercen con posterioridad al
registro de la transacción, aunque deben ejercerse con anterioridad a la
emisión de los estados financieros. Por ejemplo una revisión analítica de los
márgenes obtenidos puede dar lugar a detectar errores en los procesos de
compra y de venta que han pasado desapercibidos a los controles preventivos.
Tipos de Control
Directivos

Preventivos Detectivos Correctivos

La aplicación de los cuatro tipos de control deben de :

compensarse, equilibrarse y complementarse.
Actividades de control (Control Activities)
• La decisión de que tipo de controles establecer dependerá de la
dirección, que normalmente elegirá una combinación de ambos,
dado que los controles preventivos evitan que se produzca el error
y los detectivos permiten obtener una mayor seguridad sobre el
funcionamiento global del resto de controles.
• En relación a su vinculación con el sistema informático, las
actividades de control se pueden clasificar en:
• — Manuales: cuando son realizadas por un empleado, por ejemplo cuando se
recuenta el producto que llega al almacén y se compara con el pedido.
Actividades de control (Control Activities)
• — Automáticas: cuando son realizadas por el propio sistema informático, por
ejemplo cuando el sistema no admite pedidos de clientes no autorizados o no
deja entrar en almacén algo que no ha sido pedido.
• — Combinación de ambas: por ejemplo cuando una interfaz de datos entre
dos sistemas advierte de datos que no han podido ser volcados, pero es una
persona quien debe investigar esas transacciones para determinar cual ha
sido el problema y volverlas a procesar.
Actividades de control (Control Activities)
• Adicionalmente a las actividades de control que funcionan a nivel
de transacción, se pueden implementar otras actividades de
control cuyo objetivo suele ser mes amplio. Este tipo de revisiones
habitualmente son ejercidas por el departamento de control de
gestión o controller. Son ejemplos las siguientes:
• La comparación de los márgenes, por división o por producto, con los
conseguidos en periodos pasados y con el presupuesto. Una evolución fuera
de lo normal puede ser indicativa de algún fallo de control en los procesos de
compras o ventas que se debe investigar. El mismo análisis se puede hacer
con otras partidas de la cuenta de resultados como pueden ser las ventas o
los gastos de explotación.
• Son ejemplos las siguientes:
Actividades de control (Control Activities)
• El análisis de la variación de los precios medios a los que se adquiere las
materias primas principales puede proporcionar una seguridad adicional
sobre el funcionamiento de los controles de los procedimientos de compra.
• Análisis de las desviaciones de fábrica: el análisis de los datos que puede
proporcionar una buena contabilidad analítica puede ser un control
importante sobre las transacciones que involucra el proceso de fabricación.
• Son controles a posteriori, pero si se realizan rigurosamente el
grado de seguridad que otorgan es muy elevado. Adicionalmente,
tienen la ventaja de que no se centran en un solo riesgo y por
tanto pueden detectar errores causados por diferentes motivos.
Información y comunicación (Information &
Communication)
• La información y la comunicación son componentes que soportan el
funcionamiento del resto de componentes del control interno.
• Información no es sinónimo de datos. Información es la combinación de
datos, con el análisis y presentación adecuados, para que sean relevantes
para el usuario. Datos puede haber muchos, pero la dirección debe decidir
que información le será útil para el desarrollo de las diferentes actividades
de control.
• Actualmente los entreprise resource planning, (ERP's), los programas de
business intelligence, las aplicaciones web, etc. son fuentes de información
muy potentes. Esta información si es bien tratada es un elemento de
Actividades de control (Control Activities)
control realmente efectivo. Con estas herramientas se puede disponer de
informes como por ejemplo:
Información y comunicación (Information &
Communication)
• Datos comparados con presupuesto, con el año anterior, y con el mes
anterior.
• Informes de resultados por división, por producto, por cliente... y en cada uno
de estos informes, se pueden incluir el volumen de ventas, los abonos, las
causas de los abonos.
• Estadísticas de los productos mas visitados en la web, los más comprados, los
que más gente han pinchado en el botón "me gusta"...
Información y comunicación (Information &
Communication)
• Datos comparados con presupuesto, con el año anterior, y con el mes
anterior.
• Informes de resultados por división, por producto, por cliente... y en cada uno
de estos informes, se pueden incluir el volumen de ventas, los abonos, las
causas de los abonos.
• Estadísticas de los productos mas visitados en la web, los más comprados, los
que más gente han pinchado en el botón "me gusta"...
Información y comunicación (Information &
• Si se dispone de esta información, se debe decidir que informes
son más relevantes para cada nivel de responsabilidad y
comunicar para que se haga un use adecuado de la información.
Communication)
• En relación al control interno la dirección debe comunicar a sus
empleados:
• — La importancia y las ventajas de contar con un control interno efectivo.
• — El rol que debe jugar cada empleado al realizar las actividades de control que
le han sido encomendadas.
Información y comunicación (Information &
• — La importancia de comunicar cualquier debilidad de control y los
comportamientos contrarios al código ético de la entidad.

Communication)
• Por lo que respecta a este último punto es recomendable que existan
canales de comunicación que permitan al empleado denunciar malas
practicas como por ejemplo los llamados whistle blowers, que se
podría traducir por chivato (denunciantes), o "ethic hotlines“ (líneas
directas de ética), que consisten en un teléfono o dirección de correo
electrónico donde poder denunciar conductas inapropiadas sin temor
a represalia por superiores jerárquicos. Es también una buena
Información y comunicación (Information &
practica en ese sentido, que el Consejo de administración pueda
tener acceso a comunicarse directamente con los empleados sin la
presencia de la dirección.
Communication)
• También es importante comunicar a terceros como clientes o
proveedores el código ético que rige las operaciones de la entidad,
e incluso solicitar a nuevos proveedores que confirmen su
adherencia al mismo.
• La comunicación fluida y bidireccional con terceros, como pueden
ser clientes y proveedores, puede ser muy beneficiosa para
Información y comunicación (Information &
mejorar el control de la entidad. Por ejemplo, si se concilia saldos
regularmente se puede detectar errores en la contabilización de
las operaciones, y si se solicita que nos informen de los errores
que se ha cometido en la gestión con ellos nos puede llevar a
detectar errores de control interno.
Seguimiento (Monitoring)
• Las actividades de seguimiento son procedimientos realizados
para evaluar si cada uno de los cinco componentes del control
interno está funcionando correctamente. El concepto se puede
confundir con un control detectivo o un control de supervisión
(ver Actividades de control) al estar interrelacionados. La
diferencia entre una actividad de seguimiento y una actividad de
control es la siguiente:
• — Un control detectivo como puede ser un inventario rotativo, detecta unos
errores y estos se corrigen. Aquí finaliza el proceso.
Seguimiento (Monitoring)
• — Una actividad de seguimiento podría ser también el mismo inventario
rotativo, pero el revisor se planteará:
• — Una actividad de seguimiento podría ser también el mismo inventario
rotativo, pero el revisor se planteará:
• Si los controles sobre la entrada y salida de existencias siguen funcionando adecuadamente
(actividad de control)
• Si existen nuevos riesgos que no han sido identificados (evaluación de riesgos)
• Si los empleados implicados disponen de información suficiente y entienden su rol dentro de
la organización para realizar sus funciones (información y comunicación).
Seguimiento (Monitoring)
• Es decir, evaluará si en esa actividad cada uno de los componentes
del control interno está funcionando como debería.
• Según COSO, las actividades de seguimiento pueden realizarse de
dos maneras:
• Ongoing evaluations (evaluaciones en curso): cuando se llevan a cabo de
manera continua y rutinaria, como parte del proceso que están evaluando, y
generalmente, son realizadas por personal de la entidad. Puede ser un
ejemplo el inventario rotativo que se ha comentado anteriormente.
• Separate evaluations (Las evaluaciones puntuales): cuando se realizan en un
momento concreto del tiempo, y por personal ajeno al proceso como pueden
Seguimiento (Monitoring)
ser auditores internos o externos. Puede ser un ejemplo el inventario de fin
de ejercicio.
• Las Ongoing evaluations comportan una mayor rapidez en la detección
de errores. Las Separate evaluations, si son realizadas por personal
ajeno al proceso, aportan un punto de vista nuevo y una mayor
independencia. En general se optará por una combinación de ambas
formulas.
• Las actividades de seguimiento son imprescindibles para tener la
seguridad de que el control interno sigue siendo efectivo. Las
actividades de un negocio son cambiantes, las personas pueden
Seguimiento (Monitoring)
cometer errores, un empleado puede no haber entendido el objetivo
del control que realiza, la configuración de la seguridad informática se
puede desmontar por un cambio de versión, etc., por consiguiente, se
debe establecer ciertas medidas para comprobar que los cambios en el
entorno no han afectado a los controles establecidos y que estos siguen
funcionando.
• Cuando una parte de las actividades de la compañía este
subcontratada (por ejemplo, la preparación de la nómina) también
se debe llevar a cabo actividades de seguimiento sobre el control
Seguimiento (Monitoring)
interno de las actividades llevadas a cabo por el proveedor de
servicios. Este seguimiento se puede enfocar de tres maneras:
• — Realizando nosotros mismos verificaciones sobre el control interno del
proveedor de servicios, para ello se debe haber previsto esta posibilidad en el
contrato.
• — Solicitando al proveedor un informe de experto independiente sobre su
control interno.
• —Estableciendo controles en nuestra organización para comprobar que el
resultado de los servicios contratados está libre de errores.