Por: CP Alexander Camargo M. CEO de C&G Auditores y Consultores Ltda. Colaborador de Auditool
El SAGRILAFT le debe permitir a las entidades tomar las medidas razonables para el control del Riesgo Inherente al que están expuestas. Esta es la tercera etapa del sistema, el “Control del Riesgo”.
La normativa requiere que para controlar el Riesgo las empresas adopten el establecimiento de metodologías y la creación de una Matriz de Riesgo para definir los mecanismos de control más adecuados y su aplicación a los factores de riesgo identificados.
La Superintendencia de sociedades requiere como mínimo las siguientes actividades:
- Establecer las metodologías para definir las medidas razonables de control del Riesgo LA/FT/FPADM.
- Aplicar las metodologías a cada uno de los Factores de Riesgo LA/FT/FPADM.
- Establecer controles y herramientas para la detección de operaciones inusuales y operaciones sospechosas, con base en los riesgos LA/FT/FPADM identificados en la clasificación, segmentación e individualización de los factores de riesgo LA/FT/FPADM y conforme a la matriz de Riesgo LA/FT/FPADM, teniendo en cuenta que a mayor riesgo mayor control.
Esta etapa se asimila al tratamiento del riesgo indicado en la Guía técnica colombiana GTC 137.
La norma nos trae las siguientes definiciones asociadas a este proceso:
- Tratamiento del riesgo: Proceso para modificar el riesgo.
- Compartir el riesgo: Forma de tratamiento del riesgo que implica la distribución pactada del riesgo con otras partes.
- Riesgo Residual: remanente después del Tratamiento del riesgo.
- Retención del riesgo: Aceptación del beneficio potencial de ganar, o de la carga de perder proveniente de un riesgo.
- Financiación del Riesgo: Forma de tratamiento del riesgo que implica acuerdos contingentes para la provisión de fondos para satisfacer o modificar las consecuencias del riesgo
- Flexibilidad: Capacidad adaptativa de una organización en un ambiente complejo y cambiante.
En esta etapa se pueden utilizar las siguientes herramientas:
- Análisis de capas de protección: También denominada análisis de barreras, con la cual se puede evaluar los controles y su eficacia.
- Análisis en esquema corbatín: Una forma diagramática de describir y analizar las rutas de un riesgo desde los peligros hasta los resultados y de revisar los controles.
Además de estas técnicas recomendadas en la ISO, podemos acudir a las metodologías utilizadas por los auditores externos para evaluar la eficacia y la eficiencia de los controles internos, tal como están descritos en los apartados A66 a A68 del estándar internacional de auditoria 315. Naturaleza y extensión del conocimiento de los controles relevantes.
En donde se indica que evaluar el diseño de un control implica la consideración de sí el control, de manera individual o en combinación con otros controles, es capaz de prevenir de modo eficaz, o detectar y corregir, incorrecciones materiales. Si el control no es eficaz no tiene sentido evaluar su implementación.
Los procedimientos para la valoración de riesgo incluyen:
- La indagación con los empleados de la entidad.
- La observación de la aplicación de controles específicos.
- La inspección de documentos e informes.
- El seguimiento de transacciones a través del sistema de información.
Para verificar la eficacia operativa de tales controles, se puede acudir a lo indicado en los apartados A26 a A41 de estándar internacional de auditoria 330, que tratan sobre la naturaleza y extensión de las pruebas de controles.
CP Alexander Camargo M
Contador Público, CFCS “Especialista Certificado en Delitos Financieros”, Especialista en Control Interno de la Universidad Militar Nueva Granada, con Maestría en Gestión Integral del Riesgo de la Universidad Externado de Colombia (Pendiente Tesis). Con más de 25 años de experiencia en procesos de aseguramiento y consulta en empresas de diferentes sectores de la economía, adquirida en firmas internacionales de auditoría, KPMG y CROWE. Actualmente CEO de C&G Auditores y Consultores Ltda.