Prácticas de evaluación de riesgos y controles para auditores

Rodrigo Ricardo Publicado el 14 septiembre, 2020 6 minutos y 21 segundos de lectura

Riesgo versus controles

En el contexto empresarial, los controles internos y de riesgo tienen definiciones específicas. Se considera riesgo cualquier cosa que pueda interponerse entre una organización y las metas y objetivos de esa organización. Esto es diferente a una definición genérica de riesgo, que puede ser simplemente la probabilidad de que suceda algo malo.

Los controles, o más específicamente los controles internos , son aquellos procedimientos integrados en los procesos y políticas que están destinados a evitar errores e irregularidades y garantizar la integridad y precisión en los informes financieros.

En una organización, los auditores internos son responsables de evaluar el riesgo y asegurarse de que la administración comprenda los riesgos que la organización puede enfrentar. Esto incluye identificar, documentar y probar los controles internos para garantizar que la organización no esté expuesta a riesgos innecesarios.

Prácticas de evaluación de riesgos para auditores

Cuando los auditores internos evalúan el riesgo, a menudo se basan en un modelo establecido por una organización sin fines de lucro conocida como COSO . COSO significa Comité de Organizaciones Patrocinadoras y es un grupo de cinco asociaciones industriales, todas con cierto interés en la evaluación de riesgos y la auditoría interna.

Los auditores evalúan e identifican estos riesgos a través de un proceso de evaluación de riesgos que incluye seguir los informes de noticias, vigilar las sanciones del gobierno y asistir a reuniones profesionales que destacan los riesgos comunes en el entorno empresarial actual. Los auditores también visitan a los gerentes y empleados en todos los niveles y les hacen preguntas como, ‘¿qué lo mantiene despierto por la noche?’

El modelo COSO identifica tres tipos de riesgos para una organización: financieros, operativos y de reputación.

Riesgos financieros

Los riesgos financieros son aquellos que pueden costar dinero a la organización o dar lugar a errores en los estados financieros de la organización. Un riesgo financiero puede ser algo así como no realizar depósitos oportunos del efectivo recolectado, lo que lleva a una gran acumulación de efectivo en un lugar no seguro que podría ser robado.

Riesgos operacionales

Los riesgos operacionales son aquellos que pueden llevar a cualquier unidad dentro de la organización a completar sus objetivos de manera ineficaz, ineficiente o de una manera que pueda aumentar el riesgo para la organización. Un buen ejemplo de riesgo operativo es no tener software antivirus en todas las computadoras de la empresa en red. Un empleado que accidentalmente permita el paso de un virus podría provocar la caída de toda la red.

Riesgos de reputación

Los riesgos de reputación son cualquier cosa que la organización pueda hacer que puede no tener implicaciones directas o financieras, pero que daña la reputación de la organización, lo que a menudo puede conducir indirectamente a mayores costos para manejar la crisis o disminuir los ingresos debido a la falta de confianza de los clientes. en la compañia.

El riesgo de reputación puede ser causado por no tener una política específica sobre quién en la organización puede hablar con los medios en nombre de la organización. Si un gerente de nivel medio hace una declaración sobre el lanzamiento de un producto que se supone que es confidencial o es inexacta, y la alta gerencia tiene que corregir esa declaración, una empresa puede parecer tener una mala comunicación interna y los inversionistas o clientes pueden cuestionar otros aspectos de la compañia.

Prácticas de evaluación de control interno para auditores

Como se definió anteriormente, los auditores buscan identificar y, cuando sea necesario, implementar controles internos. Específicamente, hay dos tipos de fallas de control interno que los auditores suelen buscar. Una es una deficiencia de control en el diseño , lo que significa que no hay control interno en un punto de un proceso en el que dicho control podría mitigar el riesgo. La segunda preocupación del control interno es una deficiencia de control en la operación , lo que significa que existe un control interno, pero que no está funcionando como debería.

Un ejemplo de una deficiencia de control en el diseño puede ser algo así como no requerir que un empleado de cuentas por pagar llame y verifique los cambios en la información de la cuenta bancaria con un proveedor. Un empleado malintencionado o un delincuente podría hacerse pasar por un proveedor y pedirle a la oficina de cuentas por pagar que cambie la información de la cuenta de un proveedor al azar por la información de su propia cuenta bancaria.

Un ejemplo de una deficiencia de control en funcionamiento puede ser el mismo ejemplo, pero no es un control que requiere una aprobación o segunda verificación. Pero, si con el tiempo nadie en cuentas por pagar ha estado haciendo eso, entonces es una falla en el funcionamiento del control. Tenga en cuenta que ambas deficiencias pueden resultar en el mismo riesgo, un pago fraudulento, pero una se debe a la falta total de control (deficiencia en el diseño), mientras que la otra se debe a una falla en hacer realmente lo que se requiere (deficiencia en la operación).

El otro aspecto importante de la evaluación del control interno es identificar los controles como controles preventivos o de detección . Se implementan controles preventivos para evitar que ocurran riesgos antes de que tengan la oportunidad, mientras que un control de detectives identifica un problema o riesgo después de que ya haya ocurrido. Nuestro ejemplo anterior de llamar a un proveedor para verificar un cambio de cuenta bancaria es un ejemplo de control preventivo. Sucede antes de que ocurra el posible riesgo para evitar que suceda algo malo.

Generar un informe de las compras realizadas con la tarjeta de crédito de una empresa que superan una cierta cantidad en dólares, o que tuvieron lugar en un determinado tipo de comerciante (es decir, un bar, un casino o un procesador externo impreciso) es un control de detective, porque solo identifica el problema después de que ocurrió. Los controles de detectives no son malos, ciertamente son mejores que nada, pero al evaluar la calidad de los controles internos, los auditores considerarán los controles preventivos mejores que los controles de detectives.

Resumen de la lección

En el entorno actual, las organizaciones enfrentan riesgos en todos los niveles y estos riesgos cambian a diario. Por esa razón, los auditores utilizan modelos como COSO para ayudar a evaluar la exposición al riesgo de una organización y garantizar que existen controles internos para ayudar a proteger a la organización de riesgos innecesarios o excesivos.

El riesgo puede adoptar la forma de riesgo financiero , riesgo operativo o riesgo de reputación . Cualquiera de estos puede causar problemas e impedir que la organización logre sus objetivos. Es por esto que los auditores se enfocan en evaluar los controles internos, identificando específicamente las deficiencias de control en el diseño y las deficiencias de control en la operación . Al garantizar que existen controles preventivos y de detección para cubrir los puntos de riesgo en los procesos, políticas y procedimientos, el riesgo se puede optimizar y la administración se siente cómoda con la protección de los activos de la organización y la eficiencia de sus operaciones.

Explora más sobre este tema

Selecciona un tema y sigue aprendiendo...

Rodrigo Ricardo
Rodrigo Ricardo Editor y fundador