Ingresa o regístrate acá para seguir este blog.

Por: CP Alexander Camargo M. CEO de C&G Auditores y Consultores Ltda. Colaborador de Auditool

Para controlar el Riesgo LA/FT/FPADM, las Empresas Obligadas deben adoptar, entre otras medidas, el establecimiento de metodologías y la creación de una Matriz de Riesgo LA/FT/FPADM para definir los mecanismos de control más adecuados y su aplicación a los Factores de Riesgo LA/FT/FPADM identificados.

Una de las metodologías de control interno más aceptadas es Marco Integrado de Control Interno de COSO, en el cual se definen las actividades de control como: “Las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos con impacto potencian en los objetivos.

Según su naturaleza, pueden ser preventivas o de detección y pueden abarcar una amplia gama de actividades manuales y automatizadas, tales como autorizaciones, verificaciones, conciliaciones y revisiones de desempeño empresarial. La segregación de funciones normalmente está integrada en la definición y funcionamiento de las actividades de control.

Ahora, bien las empresas obligadas deberán tener el inventario de riesgos con la identificación del riesgo inherente. Luego en la etapa de control establecer el riesgo residual objetivo (el riesgo que la entidad está dispuesta a asumir para el logro de sus objetivos) y el riesgo residual real (entendido como el riesgo remanente después que la gerencia haya tomado medidas para alterar su gravedad).

Ahora bien, el riesgo residual real puede ser mayor o menor que el objetivo, si es mayor deberán identificarse medidas adicionales de control y en el caso contrario se pueden identificar medidas innecesarias. Las respuestas de riesgo redundantes pueden ser eliminadas para permitir una asignación más eficiente de recursos.

En la matriz de riesgo se deben identificar todas las actividades de control, que realizan las áreas y las que deberían realizar, nuestra sugerencia es incluir los siguientes ítems para su adecuado entendimiento:

Controles_LAFT.png

Los aspectos en gris son responsabilidad del dueño del proceso (primera línea de defensa); sin embargo, uno de los errores que hemos observado es la falta de consistencia en la redacción de los controles por lo que algunas veces estos se repiten, por lo que la coordinación del oficial de cumplimiento en esta actividad es muy valiosa.

Las evaluaciones del diseño, implementación y de la operatividad el control debe ser lideradas por el Oficial de cumplimiento del diseño (Segunda línea de defensa). Si el oficial de cumplimiento no cuenta con el recurso disponible para realizar este tipo de evaluaciones deberá solicitar los recursos correspondientes a la Junta Directiva o quien haga sus veces par obtener los recursos necesarios y contratar las evaluaciones correspondientes.

Metodología de calificación de los controles

Como resultado de la evaluación de cada control en su Diseño, este puede ser calificado con una las siguientes definiciones:

1. Diseño Adecuado: cuando un control se ha diseñado e implementado de manera tal que este:

  • Cumple con el objetivo.
  • Mitiga el riesgo al cual fue asociado en la matriz.
  • Previene y/o detecta y corrige oportunamente los errores en los estados financieros.
  • El ejecutor del control cuenta con la competencia necesaria para que el control funcione de manera eficaz.

2. Diseño Adecuado con Observación: cuando el control como un todo es apropiado en el diseño e implementación, pero se requiere realizar uno o varios cambios de forma. Estos cambios se definen como Ajustes Menores por:

  • Cambios en la frecuencia del control.
  • Cambios en tipo de control.
  • Responsables, si solo es un cambio de forma en la matriz.
  • Ajustes mínimos de redacción en la actividad de control.
  • Exceso de controles que pueden ser unificados a un control clave.

3. Diseño Inadecuado: cuando se presentan las siguientes premisas:

  • Desalineación entre el riesgo y el control (el control no es apropiado para mitigar los riesgos),
  • El control existente no está bien diseñado.
  • El control opera según se diseñó, pero no cumple el objetivo del control.
  • Existe una deficiencia en la implementación del control.
  •  El control no funciona según su diseño.
  • La persona que ejecuta el control no posee la autoridad o competencia necesaria para ejecutar el control eficazmente,
  •  La evidencia que soporta el control difiere con el propósito de este.
  • El diseño o la operación de un control no permiten que la gerencia o los empleados, en el transcurso normal de sus funciones asignadas prevengan o detecten y corrijan oportunamente los errores.

Los controles que son evaluados en su “Diseño” como: “Diseño Inadecuado” y en su “Implementación” como no implementados, no deben ser objeto de procedimientos para probar su Eficacia Operativa, ya que metodológicamente se considera que son inefectivos o sin población o no probados respectivamente.

La Eficacia Operativa del control se califica teniendo en consideración las siguientes definiciones:

a) Efectivo: cuando se determina que el control opera como fue diseñado, ejecutado por personas que poseen la autoridad o competencia necesaria para desarrollar el control efectivamente, satisfaga los objetivos de control de la Compañía y pueda prevenir o detectar errores o fraudes que pudieran resultar en un error material en los estados financieros.

b) Inefectivo: cuando un control apropiadamente diseñado no opera como fue diseñado, o cuando la persona que desarrolla el control no posee la autoridad necesaria o competencia para ejecutar el control efectivamente.

c) Sin Población: corresponde a controles que no tienen poblaciones en el periodo evaluado, por la frecuencia del control.

d) No probado: Corresponden a los controles que fueron calificados en diseño “Inadecuado” o “no probado”.

 

CP Alexander Camargo M

Contador Público, CFCS “Especialista Certificado en Delitos Financieros”, Especialista en Control Interno de la Universidad Militar Nueva Granada, con Maestría en Gestión Integral del Riesgo de la Universidad Externado de Colombia (Pendiente Tesis). Con más de 25 años de experiencia en procesos de aseguramiento y consulta en empresas de diferentes sectores de la economía, adquirida en firmas internacionales de auditoría, KPMG y CROWE. Actualmente CEO de C&G Auditores y Consultores Ltda.

www.auditorescyg.com

Compartir post