Secciones
Referencias
Resumen
Servicios
Descargas
HTML
ePub
PDF
Buscar
Fuente


LA MATRIZ DE GESTIÓN Y CONTROL DE RIESGOS: HERRAMIENTA EFECTIVA EN LA AUDITORÍA INTERNA PARA LAS EMPRESAS COMERCIALES DE LA CIUDAD DE PANAMÁ
The risk management and control matrix: an effective tool in the internal audit for commercial enterprises in panama city
Revista FAECO sapiens, vol.. 4, núm. 2, 2021
Universidad de Panamá

Revista FAECO sapiens
Universidad de Panamá, Panamá
ISSN: 2644-3821
Periodicidad: Semestral
vol. 4, núm. 2, 2021

Recepción: 24 Febrero 2021

Aprobación: 29 Abril 2021

Resumen: La presente investigación se desarrolló bajo el objetivo de evaluar la matriz de gestión de riesgos y control como herramienta efectiva en la auditoría interna para las empresas comerciales de la ciudad de Panamá, para ello, y mediante una metodología cuantitativa se precisó la recolección de la información, a través de una encuesta estructurada, a los contadores, auditores de las empresas en estudio. Es a través de una metodología basada en los principios de la matriz de gestión de riesgos y control como herramienta que utilice el proceso de auditoría interna que podrá coadyuvar a evaluar, comprender, clasificar los distintos riesgos y sus posteriores controles de manera efectiva en la toma de decisiones por parte de los administradores, ya que, la posibilidad de que acontecimientos se presenten de manera desfavorables en las empresas, para ello es labor de auditor la elaboración de un plan o programa, de manera efectiva y eficaz, que podrá mitigar los riesgos en beneficio de las operaciones de la propia empresa.

Palabras clave: Auditoría Interna, Riesgos y Controles, Matriz de gestión de riesgos y control, Normas de Auditoría –NIA315-.

Abstract: This Investigation was developed under the objective of evaluating the risk management and control matrix as an effective tool in the internal audit for commercial companies of Panama City, for this, and through a quantitative methodology, the collection of information was required, through a structured survey, to the accountants and auditors of the companies under study. It is through a methodology based on the principles of the risk management and control matrix as a tool that uses the internal audit process that can help to evaluate, understand, classify the different risks and their subsequent controls effectively in taking decision-making by the managers, since the possibility of events occurring in an unfavorable manner in the companies, for this it is the task of the auditor to draw up a plan or program, effectively and efficiently, which may mitigate risks for the benefit of the company's own operations.

Keywords: Internal Audit, Risks and Controls, Risk management and control matrix, Auditing Standards –NIA315-.

INTRODUCCIÓN

El fin propio de la auditoría, como principio en la contabilidad, es comprobar y verificar la autenticidad de los estados financiero en las empresas, razón por la cual se realiza un examen crítico y analítico, cuyo objetivo, es emitir juicios y criterios de valor, de manera analítica sobre la propia veracidad de la documentación analizada y procesada, constatando si se ha procedido con el cumplimiento en todas y cada una de las normas que regulan las actividades empresariales y contables. A este respecto Viloria (2004) manifiesta que es a través de la auditoría se puede realizar la emisión de ese diagnóstico, permitiendo verificar y observar la autenticidad de los estados financieros (Auditing Finance) y emitir al usuario un dictamen, el cual permite evitar cualquier tipo de fraude financiero. Es por ello, como aduce Montilla & Marchena (2005) que es mediante la auditoría, es que se puede dirigir y controlar todas las actividades que se dan dentro de una organización, se aduce por tanto que, la ejecución de las auditorías en las empresas permite llevar a cabo un mejor control en cada una de las actividades que realizan las empresas dentro de sus operaciones. Con lo antes expuesto, conviene subrayar que la auditoría es un sistema de control e inspección que se da dentro de una empresa de cualquier sector de actividad, con el fin de mejorar los procesos, o con el fin de comprobar que realmente actúa dentro de los términos legales en materia contable. A este respecto Armada et. al. (2015) aseguran que hoy en día, la auditoría como ciencia, además de dar fe sobre las operaciones pasadas, pretende mejorar las futuras a través de la presentación de recomendaciones constructivas tendentes a aumentar la economía, la eficiencia y la eficacia de la empresa. Lo anterior hace referencia explícita a la auditoría de por su importancia e impacto social para la mejora de las empresas en cualquier contexto.

Es de señalar, como al referirse a la auditoría existe coincidencia entre varios de los autores consultados al respecto, definiéndose así: examen crítico y sistemático, consistente en la investigación independiente de la información contenida en los estados contables preparados por la empresa, para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados, aplicando normas y procedimientos aceptados, con la finalidad de averiguar la exactitud, integridad y autenticidad de los mismos, para expresar una opinión sobre si la razonabilidad de los saldos expresados representan adecuadamente la situación financiera y patrimonial, Instituto

Norteamericano de Contadores Públicos (AICPA), (1983); Villardefrancos (2006); Rubio (2008); Gámez (2010); Gómez (2012); Mayorga et al. (2015).

Por tanto, a partir de los años cincuenta, como manifiestan Villardefrancos Álvarez, et al. (2006, pág. 54) la misión de la auditoría deja de limitarse a la mera actividad de control y asume una función de asesoramiento a los órganos gerenciales de la empresa. Son dos las funciones que cumple:

  • · Controlar la eficacia de las políticas y los medios que utiliza la empresa descubriendo cualquier desviación sobre lo planificado.

    · Recomendar las medidas adecuadas para corregir o mejorar determinadas actuaciones.

A lo largo del referido siglo, los objetivos de la auditoría fueron evolucionando, como consecuencia del desarrollo y tecnificación de los procesos sociales, el desarrollo económico de los países, el crecimiento de las empresas y la expansión de las actividades productoras con el consiguiente aumento de la complejidad en la administración de los negocios y de las prácticas financieras. A este respecto, (Sánchez Gómez A., 2005 citado en Castillo Cabeza 2017, pág. 46) expresa en su artículo científico que la Auditoría puede definirse como “un proceso sistemático para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados, cuyo fin consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como establecer si dichos informes se han elaborado observando los principios establecidos para el caso”. Además, aduce Castillo Cabeza, que la auditoría constituye una herramienta de control y supervisión que contribuye a la creación de una cultura de la disciplina de la empresa y permite descubrir fallas en las estructuras o vulnerabilidades existentes en la misma. Igualmente, subraya Casal A. (2004) que el control es la esencia del funcionamiento de la empresa como un sistema, de acuerdo con el principio de realimentación.

Lo significativo de las decisiones consiste en actuar sobre comportamientos determinados; la adopción de ciertas decisiones genera de inmediato la necesidad de ejercer una vigilancia sobre las mismas y sus derivaciones. Añade el autor que la palabra control tiene varios significados y varios sentidos: a) verificar; b) dirigir u ordenar; c) regular; d) limitar o restringir; e)

comparar con una norma. De igual forma, College D. (2010) manifiesta que el control es la función administrativa por medio de la cual se evalúa el rendimiento. El control es un elemento del proceso administrativo que incluye todas las actividades que se emprenden para garantizar que las operaciones reales coincidan con las operaciones planificadas. Es decir, es una labor gerencial básica, que puede ser considerada como una de las más importantes para una óptima labor gerencial.

Hoy por hoy, entre las diversas definiciones de la auditoría, el concepto más generalizado al parecer es el de los autores Arens y Loebbecke (1996), quiénes manifiestan, que la auditoría es como un proceso de acumular y evaluar evidencia, realizado por una persona independiente y competente acerca de la información cuantificable de una entidad económica específica, con el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuantificable y los criterios establecidos

Existen diversos tipos de auditoría, siendo la auditoría interna, uno de los pilares que favorece a una empresa a cumplir sus objetivos, de forma que se pueden evaluar y mejorar la eficacia de sus procesos de gestión de riesgos y control. Dicho de otra manera, y permitir aclarar con mayor arraigo, la auditoría interna es un sistema de control interno de la empresa por lo cual consiste en un conjunto de medidas, políticas y procedimientos establecidos en una organización concreta para proteger su activo, minimizar riesgos, incrementar la eficacia de los procesos operativos, optimizando y rentabilizando el negocio, es decir, conforme aumenta el volumen y crezca una empresa, ésta se ve en la incapacidad de controlar todos y cada uno de los procesos de los que se vale.

Acorde a lo antes expuesto, es a través de la auditoría interna, es más factible, por parte de la administración de las empresas comprobar que efectivamente se están llevando a término todas las funciones en cada uno de los departamentos, analizándose de manera objetiva y tomando medidas correctivas precisamente en el momento indicado. Por consiguiente, desarrollar una auditoría interna basada en un plan previamente redactado y diseñado, en función de las políticas y procedimientos de la empresa en mención. Al respecto, el aporte dado (Nuño, 2014 citado en Espino García, 2014, pág. 4) manifiesta que la auditoría interna se debe encaminar hacia el cumplimiento de los siguientes puntos:

  • · En qué medida se cumplen los planes y procedimientos derivados de la administración.

    · Revisión y evaluación de la aplicación de los controles operativos, contables y financieros.

    · Realizar un control de inventarios para que todos los bienes que la empresa posee estén registrados, protegidos y sujetos a la normativa pertinente.

    · Verificar y evaluar la información contable, que ésta sea veraz y responda a la realidad económica de la empresa.

    · Realización de investigaciones especiales y extraordinarias que la dirección exija.

    · Preparación de informes de auditoría sobre las irregularidades que se pueden encontrar a término de las investigaciones, determinando asimismo posibles recomendaciones para solventar aquéllas.

    · Vigilancia del cumplimiento de las recomendaciones determinadas en informes y auditorías.

Arjona Canas (2015, pág. 2) señala que “…. en la actualidad, la función de auditoría interna tiene labores principalmente relacionadas con la supervisión independiente (delegadas normalmente por la Comisión de Auditoría) del control interno, contable, financiera y de costos, presupuestos, etc. Es decir, una visión muy financiera. Sin embargo, tiende hacia una visión global de los riesgos del negocio, basando su planificación en los mismos, colaborando con las áreas de negocio para definir umbrales de riesgo aceptables en los procesos de la organización y ayudando, de forma continua, a mejorar el control de los mismos.” Acorde a lo antes expuesto, cabe hacerse la interrogante ¿Cuál es el papel que juega una auditoría interna en una empresa? Por consiguiente, se aduce que la auditoría interna permite llevar a cabo un seguimiento actualizado de la gestión de una empresa, así como un método de control de las gestiones financieras, razón por la cual el porcentaje de probabilidad de que una empresa incremente el logro de sus objetivos es muy elevado, pues es a través de ésta que se detectan estafas, fraudes o cualquier desvío de dinero o bienes entre otros delitos más. Se aduce pues, que es a través de la auditoría interna la cual se precisa detectar cualquier desviación de una empresa y poder subsanarla lo más rápida y eficazmente posible.

Para comprender mejor, y tener una visión integral del papel que juega la auditoría interna, dentro de este supuesto, la auditoría interna y gestión de riesgos1, son procesos complementarios: apoyándose una con otra, de forma tal que se pueda verificar que:

  • · Se aplique el proceso de gestión de riesgos en forma apropiada y que todos los elementos del proceso sean adecuados y suficientes.

    · El proceso de gestión de riesgos está en consonancia con las necesidades estratégicas y la política de la organización.

    · Todos los riesgos significativos han sido identificados y están siendo tratados.

    · Los controles son diseñados e implementados de forma correcta, con el fin de mantener los objetivos del sistema de gestión de riesgos.

    · Los controles críticos son adecuados y efectivos.

    · Se están ejecutando planes para mejorar la gestión de riesgos.

    · Existe un progreso apropiado, según lo previsto en el plan de gestión de riesgos.

Por consiguiente, la necesidad de gestionar los riesgos ha sido reconocida como parte esencial de las prácticas de un buen estamento gerencial. Esto ha sometido a las empresas a una creciente presión para identificar los riesgos asociados a su negocio y explicar cómo gestionarlos. De hecho, las actividades relacionadas con la gestión de riesgos han sido consideradas como críticas, por lo que se les ha asignado un papel fundamental en el desarrollo de un sistema de control interno adecuado. Si bien la gestión de riesgos es un proceso que debe implementar la propia empresa, la creciente importancia que se le ha dado implica un reto para la profesión del auditor, pues es precisamente la auditoría la que debe agregar valor a sus clientes a través de la revisión, permitiendo asegurar que los riesgos están siendo administrados. En los últimos años se ha venido utilizando un nuevo concepto

1 La gestión de riesgos es un proceso aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. Por tanto, el propósito principal del análisis de riesgos es poder diferenciar los riesgos menos relevantes de los riesgos más relevantes, para así proveer información importante para la evaluación y tratamiento de los riesgos. Esta labor se realizan mediante una ponderación de cada riesgo por lo que el análisis de riesgo puede ser realizado con distintos grados (cualitativo, semicuantitativo, cuantitativo o la combinación de ellos), de refinamiento dependiendo de la información de riesgos y de los datos de que se disponga.

relacionado con la profesión contable: la auditoría basada en riesgos. Esta nueva especialidad representa un conocimiento estructurado, desde una perspectiva estratégica de sistemas, que combina la determinación y valoración de los riesgos del negocio con la evaluación de los controles que mitigan, trasladan o eliminan esos riesgos, asentando un enfoque de juicio profesional sustentado en metodologías, evidencias y encadenamientos lógicos.

Como resultado de lo antes expuesto, Arias Jiménez y Alejandra (2017) manifiestan que la auditoría interna ha implementado estrategias que permiten un conocimiento profundo de la empresa con el fin de identificar, anticipar y medir sus riesgos y así prevenirlos, controlándolos al máximo y, por tanto la importancia de identificar los posibles riesgos de una organización en todas sus áreas durante el proceso de auditoría que sirve de guía para la planificación y dirección de las actividades de la empresa. De igual manera, se puede manifestar que la auditoría basada en riesgos es una forma de conducir las auditorías internas y externas de diferentes tipos, a partir de la planeación y desarrollo en los riesgos críticos, es decir, los que pudieran causar mayor impacto negativo en la obtención de objetivos de la organización (estratégicos, operacionales, de información y de cumplimiento) con el fin de identificar si las operaciones y los productos o servicios se ajustan a lo establecido en las reglas del negocio, las buenas y mejores prácticas de control interno y seguridad, y a las normas legales aplicables.

Norma Internacional de Auditoría (NIA) 315

Los riesgos que muchas de las veces se enfrentan las empresas son uno de los factores fundamentales en la gestión de los auditores, razón por la cual se establece una norma que hace énfasis en el uso del juicio profesional del auditor, por lo que considera que la evolución de los riesgos debe estar presente en las etapas de planeación y ejecución. Por tanto, es preciso que se deba tener en cuenta que los riesgos se encuentran tanto al interior de la empresa como en su entorno, y, por tanto, en su desempeño como auditor debe desarrollar procedimientos para analizar ambos ambientes (el externo y el interno) de la entidad, aplicando como un instrumento clave la evaluación del sistema de control interno. La Norma Internacional de Auditoría (NIA 315), (Fig. 1), indica que las funciones del auditor, con respecto

a los riesgos, se extienden a las gestiones de identificación y valoración de tales riesgos, pues estos tienden potencialmente a producir errores o fraudes en los estados financieros.

Nota: Recuperado de: https://es.scribd.com/document/472390095/MAPA-MENTAL-NIA-315. [En línea].

Fecha de Consulta: 22 de octubre de 2020.

Se procede, por tanto, de esta manera con el fin de que se pueda entregar a la empresa la base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material. Si bien, no existe una lista definida de los riesgos que se pueden evaluar al interior de una empresa, debido a que estos dependen de las características propias de las mismas, del entorno y del modelo de negocio en el que se desempeñan, los auditores deben permanecer vigilantes de un conjunto de situaciones que pueden establecerse como prioritarias al momento de iniciar las gestiones en torno a la identificación del riesgo. Entre ellas se pueden identificar las siguientes:

  • · Evaluación del sistema de políticas de la organización.

    · Estructura del control interno.

    · Desempeño financiero de la organización.

    · Estrategias de inversión.

De lo antes expuesto se evidencia la importancia del juicio profesional en el proceso de auditoría, puesto que la normatividad es flexible en el sentido en que no postula de manera precisa los campos de evaluación, sino que traslada la responsabilidad al profesional. El auditor desde el entendimiento y comprensión de la empresa y el entorno, debe proyectarse en la ejecución del plan de auditoría, bajo la obligatoriedad de la utilidad en la generación de información, en la pertinencia de la misma y en el cumplimiento con los marcos regulatorios, que le permitirán comprender los tipos de transacciones, las cuentas de balance y las revelaciones que espera que contengan los estados financieros sujetos a examen. Los instrumentos con que cuentan los auditores para el efectivo cumplimiento de la labor son tres:

  • · Indagaciones ante la dirección y ante las personas que conforman la entidad en general: consiste en la libertad que tiene el auditor de realizar las labores de investigación e inspección directamente con el personal que considere poseedor de información valiosa para la identificación de los riesgos.

    · Procedimientos analíticos: pueden incluir la comparación de estados financieros de períodos anteriores, la indagación por la existencia de personal nuevo, los sistemas de información internos y las características de control para la generación y alimentación de la información contable.

    · Observación e inspección: está direccionada a la recopilación de la información obtenida de los procedimientos anteriores, a fin de recopilar los resultados y de esta manera lograr la identificación de los riesgos.

    De hecho, la concordancia de la información contable y la normatividad reguladora de la preparación y presentación de la misma es uno de los aspectos que debe evaluar el auditor, a fin de determinar los riesgos y establecer las posibles y posteriores respuestas. Lo anterior permite resaltar la importancia de la información contable al interior de las empresas, puesto que se considera que dicha información es relevante, tiene influencia significativa en ellas y, por tanto, debe ser reconocida dentro de los riesgos.

El Proceso de valoración del Riesgo por la empresa

Para los fines de la información financiera, la NIA 315 establece que el proceso de valoración del riesgo por la entidad incluye el modo en que la administración identifica los riesgos de la empresas y que son relevantes para la preparación de los estados financieros de conformidad con el marco de información financiera aplicable a la entidad, estima su significatividad, valora su probabilidad de ocurrencia y toma decisiones con respecto a las actuaciones necesarias para darles respuesta y gestionarlos, así como los resultados de todo ello. Por tanto, como, por ejemplo, el proceso de valoración del riesgo por la entidad puede tratar el modo en que la entidad considera la posibilidad de que existan transacciones no registradas o identifica y analiza estimaciones significativas registradas en los estados financieros.

Los riesgos relevantes para una información financiera fiable incluyen hechos externos e internos, transacciones o circunstancias que pueden tener lugar y afectar negativamente a la capacidad de la entidad de iniciar, registrar, procesar e informar sobre datos financieros coherentes con las afirmaciones de la dirección incluidas en los estados financieros. La administración puede iniciar planes, programas o actuaciones para responder a riesgos específicos o puede decidir aceptar un riesgo debido al costo o a otras consideraciones. Los riesgos pueden surgir o variar debido a circunstancias como las siguientes:

  • · Cambios en el entorno operativo. Los cambios en el entorno regulatorio u operativo pueden tener como resultado cambios en las presiones competitivas y riesgos significativamente distintos.

    · Nuevo personal. El nuevo personal puede tener una concepción o interpretación diferente del control interno.

    · Sistemas de información nuevos o actualizados. Los cambios rápidos y significativos en los sistemas de información pueden modificar el riesgo relativo al control interno.

    · Crecimiento rápido de la empresa. Una expansión significativa y rápida de las operaciones puede poner a prueba los controles e incrementar el riesgo de que éstos dejen de funcionar.

    · Nueva tecnología. La incorporación de nuevas tecnologías a los procesos productivos o a los sistemas de información puede cambiar el riesgo asociado al control interno.

    · Nuevos modelos de negocio, productos o actividades. Iniciar áreas de negocio o transacciones con las que la entidad tiene poca experiencia puede introducir nuevos riesgos asociados al control interno.

    · Reestructuraciones empresariales. Las reestructuraciones pueden venir acompañadas de reducciones de plantilla y de cambios en la supervisión y en la segregación de funciones que pueden cambiar el riesgo asociado al control interno.

    · Expansión de las operaciones en el extranjero. La expansión o la realización de operaciones en el extranjero trae consigo nuevos riesgos, a menudo excepcionales, que pueden afectar al control interno; por ejemplo, riesgos adicionales o diferentes en relación con transacciones en moneda extranjera.

    · Nuevos pronunciamientos contables. La adopción de nuevos principios contables o la modificación de los principios contables puede tener un efecto en los riesgos de la preparación de estados financieros.

Cabe señalar que una responsabilidad importante de la dirección de la empresa es establecer y mantener el control interno de manera continuada. El seguimiento de los controles por la dirección incluye la consideración de si están funcionando como se espera y si se modifican según corresponda ante cambios en las condiciones. El seguimiento de los controles puede incluir actividades como la revisión por la dirección de si las conciliaciones bancarias se preparan oportunamente, la evaluación por los auditores internos del cumplimiento por el personal de ventas de las políticas de la entidad sobre condiciones de los contratos de venta, y la supervisión por el departamento jurídico del cumplimiento de las políticas de la entidad en materia de ética o de práctica empresarial. El seguimiento se realiza también para asegurarse de que los controles siguen funcionando de manera eficaz con el transcurso del tiempo. Por ejemplo, si la puntualidad y la exactitud de las conciliaciones bancarias no son objeto de seguimiento, es probable que el personal deje de prepararlas.

De acuerdo a lo anterior, Fundación Tecnológica Antonio de Arévalo-Tecnar (2019) manifiesta que, sí vale la pena la implementación y acogida de la Norma NIA 315, no como una imposición

de pesado cumplimiento, sino reconociendo el reto y actualización que representa acoger la misma, considerando, además, que es una norma de auditoría y que cada país tenga la confianza de que las auditorías practicadas en su interior tienen el mismo grado de exigencia y calidad que el de sus homólogos. Facilita el intercambio de información bajo los mismos parámetros de confianza y moderniza los procedimientos. Concluyendo la NIA 315 es la guía adecuada de actualización para los auditores y empresas, toda vez que les facilita el proceso a nivel interno y externo y les proporciona herramientas de conocimiento y efectividad en la búsqueda de errores en la elaboración y desarrollo de un plan de auditoría. Pero todo este transcurso debe ir acompañado de un apropiamiento por parte de los auditores internos de la empresa y la experiencia en su riesgo y control, además de entrar a profundidad en los conceptos propios de la recopilación de información y la posterior elaboración de un estado financiero sano, con datos verídicos y una evaluación de riesgos consciente, que le permita tanto a él como a la compañía, tomar acciones en caso de encontrar anomalías y centrarse en las áreas que corren mayor riesgo.

Matriz de Gestión de Riesgos y Control

Una matriz de gestión de riesgos y control constituye una herramienta de Control y de Gestión, identifica las actividades (procesos y productos) más importantes de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores internos y externos relacionados con estos riesgos (factores de riesgo), además, de igual forma, permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y, por consiguiente, al logro de los objetivos de una empresa. A este respecto, Madrid Nicolás y Serrano Madrid (2019, pág. 59) manifiestan que el desarrollo de una matriz de riesgos, desde un punto de vista general, tiene como objetivo simplificar la comprensión, clasificación y evaluación de los distintos riesgos a los que está sometido un sistema de procesos, siendo una herramienta para la toma de decisiones que conlleva a minimizar los mismos, por lo que una matriz de riesgos bien desarrollada y estructurada puede permitir la simplificación y entendimiento de los riesgos, focalizar los esfuerzos del equipo y resumir de forma gráfica los efectos de todo el proceso, dando como resultado la minimización o mitigación de riesgos.

De ahí que, la matriz se debe considerar como una herramienta flexible que documente los procesos y evalúe de manera integral el riesgo de una empresa, a partir de los cuales se realiza un diagnóstico objetivo de la situación global de riesgo de en la misma, siendo el punto de partida los objetivos estratégicos y plan de negocios, la gestión de riesgos debe desarrollar un proceso para la “identificación” de las actividades principales y los riesgos a los cuales están expuestas; entendiéndose como riesgo la eventualidad de que una determinada entidad no pueda cumplir con uno o más de los objetivos.

Desde el punto de vista de la auditoría interna y, partiendo de lo que establece el objetivo de la NIA 315, de identificar y valorar los riesgos2 de incorreción material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones, mediante el conocimiento de la empresa y de su entorno, incluido su control interno, proporciona una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material, se puede intuir que la matriz de riesgo como herramienta idónea, se puede conducir el proceso analítico que debe realizar el auditor para la cobertura de riesgos durante todo el proceso encargado, por tanto es preciso tener en cuenta que los procedimientos de auditoría han evolucionado desde un enfoque de revisión de saldos a un enfoque de gestión de riesgos.

Estructura de la Matriz de Gestión de Riesgo y Control

A través de este instrumento se puede realizar un diagnóstico objetivo y global de empresas de diferentes tamaños y sectores de actividad. Por consiguiente, mediante la matriz de riesgo es

2 Una vez identificados los riesgos, y de acuerdo a la NIA 315, el auditor, según su juicio profesional, determinará si alguno de los riesgos identificados es significativo, excluyendo en esta valoración los efectos de los controles que tenga la sociedad establecida sobre ella. Es decir, un riesgo significativo no dejará de serlo porque la sociedad tenga establecidos diversos controles sobre el mismo, sino que el auditor se valdrá de esos controles, una vez validados y verificados, para reducir el trabajo de campo. La propia Norma Internacional da una serie de aspectos a considerar a la hora de calificarlo como riesgo significativo:

  • · Si se trata de un riesgo de fraude.

    · Si el riesgo está relacionado con acontecimientos económicos, significativos y recientes, contables o de otra naturaleza que requieran una consideración especial.

    · La complejidad de las transacciones.

    · Si el riesgo afecta a transacciones significativas con partes relacionadas.

    · Si existe alto grado de subjetividad y/o incertidumbre en la medición de la información financiera relacionada con el riesgo.

    · Si el riesgo afecta a transacciones significativas ajenas al curso normal de los negocios de la entidad o que, por otras razones, parecen inusuales.

posible evaluar la efectividad de la gestión de los riesgos, tanto financieros como operativos y estratégicos, (Fig. 2), que están impactando en la misión de una determinada empresa.

Nota: Recuperado de https://fferia.wordpress.com/matriz-de-riesgo/. [En Línea]. Fecha de Consulta: 23 de octubre de 2020.

Con el fin de garantizar su eficacia y utilidad, una matriz de riesgo debe tener las siguientes características:

  • · Debe ser flexible.

    · Comprensible tanto al elaborar como al consultar.

    · Que permita realizar un diagnóstico objetivo de la totalidad de los factores de riesgo.

    · Actualizable en el tiempo entre otras.

Por otro lado, desde su concepción metodológica las matrices se componen de dos vectores, (Fig. 3), uno de probabilidad y otro de impacto, cuya combinación define el nivel de riesgo de una acción en particular:

  • · Cabe aclarar que el nivel de riesgo cero (0) no existe en la naturaleza por definición.

    · Una vez definidos los parámetros, los mismos permiten absorber la información de las fuentes definidas, para valorizarla en los respectivos vectores de probabilidad e impactos

Nota: ACFCS. Asociación de Especialistas de Delitos Financieros. Conferencia Anual Latinoamericana sobre Delitos Financieros de la ACFCS. Octubre 13 y 14 de octubre 2016. Panamá. Recuperado de: https://www.delitosfinancieros.org/acfcs-presenta-en-la-conferencia-anual-latinoamericana-una-vision- moderna-efectiva-y-agil-para-combatir-los-delitos-financieros/ [En línea]. Fecha de Consulta: 23 de octubre de 2020.

La estructura de la Matriz debe estar basada en el método de Análisis de Riesgo, con un grafica de riesgo, y utilizando la fórmula de Riesgo = Probabilidad de Amenaza x Magnitud de Daño. Por tanto, la Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones respectivamente, como se indica, en la (Fig. 4):

1 = Insignificante (incluido Ninguna) 2 = Baja

3 = Mediana

4 = Alta


Figura 4
Matriz de Riesgo

Nota: Flores Portillo, David Antonio (2019) ¿Cómo diseñar una matriz de riesgos? Recuperado de: https:// buenas-practicas-de-auditoría-y-control-interno-en-las-organizaciones/. [En Línea]. Fecha de Consulta: 23 de octubre de 2020.

El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño, está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes colores:

  • · Bajo Riesgo = 1 – 6 (verde)

    · Medio Riesgo = 8 – 9 (amarillo)

    · Alto Riesgo = 12 – 16 (rojo)

Luego de tener bien definidos todos los eventos probables de riesgos, a los que puede estar sujeta nuestra empresa, debemos continuar asignando dos valores a cada uno, por ejemplo, del (1 al 5) y de (A hasta E), como sigue:

  • · Esto lo haremos tanto para su Matriz de Probabilidad (En donde 1 es Improbable, 2 Posible, 3 Ocasional, 4 Probable y 5 Frecuente), tal como mostramos a continuación, (Fig. 5a).

    · Así como para su impacto que este implicaría la Maestría Consecuencia e Impacto (En donde A sería Insignificante, B Menor, C Moderado, D Peligroso, y E Catastrófico) de la siguiente manera, (Fig. 5b).

Nota: Flores Portillo, David Antonio (2019) ¿Cómo diseñar una matriz de riesgos? Op. cit. Pág. 3. Fecha de Consulta: 23 de octubre de 2020.

A modo de ejemplo, si tomamos el riesgo de Falta de Mano de Obra Calificada, haremos dos preguntas: (¿Qué tan probable es que esto suceda? y asignamos un número 3, pues consideramos que es ¨Ocasional¨ y ¿Qué tanto nos impactaría en caso de suceder? y por ejemplo definimos un C, ya que su efecto de llegar a suceder, sería ¨Moderado¨. Por lo que este riesgo tendría una ponderación de: ¨3C¨).

Se parte, por tanto, con un modelo de Matriz de Riesgos Graficada, (Fig. 6), con el ejemplo propuesto, graficar todos los eventos de riesgos ya debidamente valorados y ubicados de acuerdo a sus ponderaciones de Impacto y ocurrencia de forma que los de mayor puntaje serían los más críticos y por tanto los que necesitan una acción inmediata, los de la franja media podrían ser considerados en un plan a mediano plazo y sobre los de riesgo más bajo deberíamos mantener una vigilancia prudencial.


Figura 6.
Matriz de Riesgos Graficada
Fuente: Flores Portillo, David Antonio (2019) ¿Cómo diseñar una matriz de riesgos? Op. Cit. Pág. 3. Fecha de Consulta: 23 de octubre de 2020.

En definitiva, la utilidad de la Matriz de Riesgos, su versatilidad, tamaño y complejidad pueden ser muy diversos, sin embargo todos autores afirman que se ha constituido en una herramienta útil y dinámica que facilita la identificación, así como el control y análisis de los riesgos a los que podemos estar expuestos dentro de las empresas.

Por todo lo antes expuesto, el objetivo que se pretende alcanzar se ciñe evaluar la efectividad de la Matriz de Riesgo y Control como herramienta en los procesos de la auditoría interna de las empresas comerciales.

METODOLOGÍA (MÉTODOS Y MATERIALES)

La investigación realizada se establece bajo los criterios de una investigación no experimental, de enfoque cuantitativo, de tipo descriptivo, que pudiese especificar las características y perfiles de los encuestados; además de explicativa, de forma tal que se pueda establecer el por qué o relación causa-efecto de las variables correspondientes a la investigación, es decir la matriz de riesgo y control como herramienta efectiva dentro de las auditorías internas en las empresas. De igual forma, fueron consultadas diversas fuentes y referencias bibliográficas que enfatizan los elementos teóricos relacionados a las variables en estudio: matriz de riesgo y control, y auditoría interna. Además, se consultó, a través de internet, repositorios universitarios, revistas especializadas, fuentes virtuales relacionadas a la temática abordada en la presente investigación.

Referente a la muestra representativa en la presente investigación se recurrió a un muestreo probabilístico aleatoria simple, en el cual cada una de las empresas fue elegida de manera aleatoria, razón que nos permitió de que cada una tuviese la probabilidad de formar parte de ellas. En efecto, se incluyeron 30 profesionales contables y auditores de las pequeñas y medianas empresas comerciales, cuya fuerza laboral oscilaban 10 a 50 colaboradores, todas ellas radicadas en la ciudad de Panamá.

La información teórica primaria que sirvió de sustento para el estudio y análisis sobre la temática y con el objeto de estudio abordado, se utilizó para recabar esta información una

encuesta estructurada con 21 ítems, relacionados a las variables en estudios, agrupándolos de acuerdo a la operacionalización de las mismas.

Los datos recabados a través de las encuestas se trataron y evaluaron a través de una base de datos elaborada en Microsoft Excel (Windows 10) para su posterior análisis estadísticos utilizado –SPSS versión 23-. Al respecto, las pruebas estadísticas comprendieron el uso de estadística descriptiva, de forma tal que se agruparon correlacionalmente las variables en estudio, evidenciando así la relación y asociación entre ellas, es decir la relación causa-efecto que conllevo el presente estudio. De igual manera, el uso de estadística inferencial a través de la prueba no paramétrica –Chi Cuadrado (χ²), considerando en esta prueba un valor p=0.05, que pudiese determinar el grado de significancia estadística entre las dos variables analizadas.

RESULTADOS

La tasa de respuestas recibidas al cuestionario se establece en un 100%, es decir, la participación del personal de las 30 empresas comerciales encuestadas, como muestra de esta investigación, los cuales correspondieron a 20 (67%) a la profesión de contadores, 7 (23%) a la profesión de auditores y 3 (10%) a profesiones relacionadas al campo de la contabilidad, y los cuales han ejercido la profesión entre 1 año y más de 11 años, siendo la mayoría de ellos en un intervalo de 6 a 10 años, es decir 15 (50%) dentro el ejercicio de la profesión contable.

Tal cual como se dieron los resultados, y por lo que respecta al análisis de las variables analizadas y estudiadas en la presente investigación, se señala que el grado de control y supervisión que a través de la auditoría interna permita la identificación de las faltas y vulnerabilidades en este tipo de empresas es muy alto 50% (15) y alto, 50% (15), respectivamente (Fig. 7). Hay que mencionar, que según los encuestados entre los riesgos que se identificaron en estas empresas comerciales, están con mayor y buena relevancia los nuevos procedimientos contables, la incorporación de nuevo personal a las empresas en estudio, y la incorporación de nuevas tecnologías.


Figura 7
Grado de Control y Supervisión de los Riesgos y Control a través de la auditoría interna
Fuente: Elaboración propia, a partir de la aplicación de las encuestas a los auditores y contadores de las empresas comerciales, el día 26 de noviembre de 2020

Sin embargo, a pesar de contar con una herramienta que permita el descubrimiento de faltas y vulnerabilidades a través de la aplicación de las normas -NIA315-, muchos de los encuestados 50% (15) adujeron que, a pesar del conocimiento de estas normas su aplicación. no eran ni alto, ni bajo para identificar los diversos riesgos y sus respectivos control. (Fig. 8).


Figura 8
Conocimiento y Aplicación de las Normas NIA315
Fuente: Elaboración propia, a partir de la aplicación de las encuestas a los auditores y contadores de las empresas comerciales, el día 26 de noviembre de 2020.

Del mismo modo, el análisis y estudio de la variable –Matriz de Riesgo y Control- como herramienta en los procesos de la auditoría interna, se aduce que muchos de los encuestados tenían conocimiento de la Matriz de Riesgos y Control que permitirá identificar los mismos, sin embargo no la aplicaban para la identificación de los riesgos y su posterior control en la empresas, así el 22 (73%) manifestaron conocerla y el 8 (27%) tenían desconocimiento de la misma, cabe señalar que la mayoría de los encuestados indicaron que en las empresas no tenían establecido ningún proyecto o programa para la gestión y control de riesgos a través de la auditoría interna, que les permitiese identificar a través de la matriz de riesgo y control, aquellos riesgos con mayor relevancia en su empresa. Así, 25 (83%) adujeron no tener establecido dicho proyecto o programa, sin embargo 5 (17%) manifestaron si contar con este tipo de proyecto y programa que le permitiese identificarlos para poder de mitigarlos.

Como resultado de lo antes expuesto, y a pesar del conocimiento del uso y la aplicación de la Matriz de Riesgos y Control, como herramienta tendiente aminorar los riesgos en las empresas en estudio, los aspectos más relevantes que se deben incorporar para una gestión de riesgos y su posterior control, y basado en lo establecido en las normas NIA315, y que sirven para identificarlos como significativos y relevantes, están:

  • · Riesgos relacionados con acontecimientos económicos, significativos recientes, contables, etc.

    · Riesgo que afecta a transacciones significativas ajenas al curso normal de los negocios de la entidad o que por toras razones parecen inusuales.

    · Riesgos relacionados con acontecimientos económicos, significativos recientes, contables, etc.

    · Alto grado de subjetividad y/o incertidumbre en la medición de la información relacionada con el riesgo.

    · Riesgo que afecta a transacciones significativas ajenas al curso normal de los negocios de la entidad o que por toras razones parecen inusuales.

    · Riesgo de Fraude.

    · Riesgos que afectan a transacciones significativas con partes relacionadas. (Fig. 9).


Figura 9
Aspectos a considerar para validar y verificar los riesgos significativos e incorporarlos a una Matriz de Riesgos y Control
Fuente: Elaboración propia, a partir de la aplicación de las encuestas a los auditores y contadores de las empresas comerciales, el día 26 de noviembre de 2020.

Figura 10. Grado de Correlación y Asociación positiva entre las variables Matriz de Riesgo y Auditoría Interna

Fuente: Elaboración propia, a partir de los datos de las encuestas a los auditores y contadores de las empresas comerciales, el día 26 de noviembre de 2020

Por lo antes expuesto, los resultados generales de la muestra nos permitieron observar que la matriz de riesgo y control son una herramienta efectiva para evaluar y diagnosticar los riesgos, y su posterior control a través de la auditoría interna en las empresas comerciales analizadas, la razón prima que es a través de la correlación que existe entre las variables analizadas, Matriz de Riesgos y Control, y Auditoría Interna, muestran y establecen un coeficiente de correlación de Pearson de 0,981, reflejando una correlación lineal entre ambas variables, lo que significa que cuanto más cercano es el valor obtenido a los extremos del intervalo (1) más fuerte es la tendencia de ambas variables, o menor es la dispersión existe en los puntos. (Fig. 10).

Figura 10. Grado de Correlación y Asociación positiva entre las variables Matriz de Riesgo y Auditoría Interna

Fuente: Elaboración propia, a partir de los datos de las encuestas a los auditores y contadores de las empresas comerciales, el día 26 de noviembre de 2020

De igual forma, el análisis estadístico establecido manifiesta una asociación significativa entre ambas variables, considerando que el p-valor, encontrado es 0,027, es menor que el valor establecido α=0,05, se aduce por tanto que la hipótesis nula (H0) se rechaza y se acepta la alternativa (H1), lo que nos indica que la matriz de control y riesgos es una herramienta efectiva para la identificación de los riesgos y su posterior control en las empresas analizadas. (Tabla 1).

Tabla 1
Prueba y contraste de la Chi-cuadrada

Fuente: Elaboración propia, a partir de los datos obtenidos de las encuestas y analizado con el programa estadístico SPSS 25.

Discusión

El papel de la auditoría ha cambiado en el devenir de los años, y por consiguiente los objetivos que se pretende con la misma, en principio se desarrolló dentro del sector público, haciendo que los auditores de manera independiente facilitaran información amplia, minuciosa y detalladamente sobre las operaciones que realizaban los administradores. Sin embargo, hoy por hoy, como manifiesta Armada et al. (2015) la auditoría como rubro de las ciencias contables, además de dar fe sobre las operaciones pasadas, tiene como objetivo mejorar las operaciones futuras, recomendando de manera constructiva tendente a mejorar la eficiencia y eficacia de las empresas.

Por tanto, es a través que las aplicaciones de las normas NIA315, el auditor podrá obtener y esclarecer la evidencia a través de su desempeño como tal, de manera suficiente y adecuada, dependiendo de los riesgos y su afectación. Así, el auditor analizara las causantes de los riesgos para valorar y caracterizar el mismo, teniendo en cuenta aquellos factores probables de

ocurrencia y la efectividad en el control de los mismos, conservando la evidencia que sostienen las pruebas de los controles que se puedan aplicar. Al respecto, el conocimiento y aplicación por parte de los auditores, 22 (73%) que manifestaron de su conocimiento y aplicación, sobrepone un beneficio para la identificación de un cuadro de riesgos previamente evaluados, evidenciando las áreas susceptibles de error o fraude no solo a nivel financiero, sino por el contrario contractual, administrativo y de gestión dentro de las propias empresas, a diferencia de los 8 (27%) desconocer y la aplicabilidad de dichas normas. Dicho lo anterior, Albanese (2012) manifiesta que es a través de la aplicación y desarrollo de la Matriz de Riesgos y Control en las empresas comerciales de esta investigación que se parte o referencia la puesta en marcha de los controles y mecanismos de alertas y se puede profundizar el análisis y sus actividades respectivas. Con referencia a lo expresado anteriormente, Rico Romero (2018) manifiesta que el resultado de aplicación de la matriz es una herramienta para que los responsables de las empresas tomen decisiones respecto a la detección de operaciones inusuales o sospechosas, y por ende, como punto de referencia para alertar sobre éstas, además de poner en marcha los respectivos controles y prevenir los riesgos.

Como se hizo mención en los resultados obtenidos los riesgos que mayor relevancia se identificaron en las empresas comerciales analizadas, el 43,3% representaron los de mayor relevancia, es decir los nuevos pronunciamientos contables, de buena relevancia el 20% correspondieron a las incorporación de nuevas tecnologías y la incorporación de nuevo personal a las operaciones de la empresa, ambas con el mismo puntaje, y con regular relevancia se identificó, con un 26,6% los cambios en el entorno operativo. Estos resultados no evidencian que es a través de la aplicación de la NIA315, se integran los conceptos de riesgo y su respectiva tipificación, no solo en el entorno organizacional, sino desde el punto de vista de los riesgos, sino de su cumplimiento y materialidad, por lo que el auditor en su proceso de investigación debe identificarlos claramente, analizarlos, valorarlos y evaluarlos a fin de aplicar técnicas de observación, confirmación y procedimientos analíticos entre otras, que le permitan obtener evidencias adecuadas y suficientes o en su defecto, optar por una retroalimentación y aplicar nuevas estrategias de auditoría.

Los valores obtenidos y significativos con respecto al uso de la matriz de riesgo y control como herramienta en la auditoría interna, 22 (73%) muy de acuerdo, 7 (23%) de acuerdo, nos hace pensar que la aplicación de ésta, dentro del proceso de la auditoría podrá simplificar la comprensión, clasificación y evaluación de los distintos riesgos, y su posterior control que contribuirán en la toma de decisiones, con el propósito de minimizar los riesgos, de igual manera los resultados obtenidos, 20 (67%), 9 (30%) manifestaron estar muy de acuerdo y de acuerdo, respectivamente, que es a través de la matriz de riesgos y control tener la posibilidad de evaluar la efectividad en la gestión de riesgos en las empresas analizadas.

Se aduce por tanto, que la aplicación de la matriz de riesgo y control, en el proceso de auditoría interna, resulta una herramienta simple eficaz y efectiva, cuya máxima utilizada para el desempeño del auditor de detectar, evaluar y minimizar los riesgos y sus posteriores controles, desarrollar un informe de auditoría libre de errores, aportando a través de éste una visión global de las áreas que representan mayor relevancia de riesgos. Por tanto, como aduce Madrid Nicolás y Serrano Madrid (2019), su aplicación ayudará a la gestión de escenarios cambiantes dentro del proceso de auditoría, así como a una mejor gestión y entendimiento del riesgo en las empresas. Es de relevancia hacer énfasis lo que manifestó Marques de Almeida (2001) en sus conclusiones aduce que “no se puede alcanzar los objetivos sin enfrentar riesgos” sin embargo, “no se puede alcanzar los objetivos sin gestionar adecuadamente los riesgos que enfrentamos”

Finalmente, indicar que la aplicación de matrices de riesgo en la fase de planeación del proceso de auditoría permitirá un conocimiento más amplio de la empresa auditada para que por medio de su incertidumbre y juicio profesional, evidencie situaciones de riesgo que puedan terminar en errores o fraudes, que afecten las finanzas y desarrollo de la empresa, lo anterior, enmarcado por las habilidades, conocimientos y practica del desempeño del auditor a través de la auditoría interna.

REFERENCIAS BIBLIOGRÁFICAS

Arens, Alvin A. y Loebbecke, James K. (1996). Auditoría: Un enfoque integral. Sexta Edición. Traducción de Adolfo Deras Quiñones. Prentice-Hall. México, D.F.

Armada, E., et al. (2015). Selección de temas de Auditoría de Gestión. Departamento de Contabilidad y Auditoría. Facultad de Contabilidad y Finanzas. Universidad de la Habana.

Casal A M (2004). El control interno en la Administración de empresas. Contabilidad y Auditoría 19. 10_ (19) _05.pdf Recuperado de: http://bibliotecadigital.econ.uba.ar/download/cya/cya. [En línea]. Fecha de consulta: 18 de octubre de 2020.

Castillo Cabeza, Segundo Nelson (2017). La auditoría en el proceso de control. Facultad de Ciencias económicas y empresariales Universidad Técnica Luis Vargas Torres de Esmeraldas. Quito, Ecuador.

College D. (2010). El control como fase del proceso administrativo. Recuperado de: http://www.gestiopolis.com/el-control-como-fase-del-proceso-administrativo/ [En línea]. Fecha de Consulta 20 de octubre de 2020.

Espino García, Gabriel (2014). Fundamentos de Auditoría. Grupo Editorial Patria. México, D.F.

Fundación Tecnológica Antonio de Arévalo-Tecnar (2019). NIA 315: Identificación y Valoración de los Riesgos de Incorrección Material mediante el conocimiento de la entidad y de su entorno: ¿Vale la pena su implementación? (Ensayo Argumentativo). Facultad de Ciencias Económicas, Administrativas y Contables. Cartagena de Indias, Colombia.

Jiménez, A. y Alejandra, M. (2017). Importancia de la identificación de los riesgos en una organización basada en Auditoría Interna. Recuperado de: https://www.semanticscholar.org/paper/Importancia-de-la-identificaci%C3%B3n-de-los- riesgos-en-Jim%C3%A9nez?p2df. [En línea]. Fecha de Consulta: 22 de octubre de 2020.

Madrid Nicolás, Ramón y Serrano Madrid, José (2019). Matriz de riesgos. ¿En qué consiste, cómo se construye, cómo se gestiona? Revista de Contabilidad y Dirección, Vol. 28, 2019. Págs. 57-68.

Marques de Almeida, José Joaquim (2001). Nuevas tendencias en la auditoría. Contaduría y Administración. Octubre-Diciembre. Recuperado de: http://www.redalyc.org/articulo.oa?id=39520304. [En línea]. Fecha de consulta: 22 de octubre de 2020.

Montilla Galviz, O. d., & Marchena Herrera, L. G. (2005). El deber ser de la auditoría. Estudios Gerenciales, N. 98, agosto-noviembre 2005, p. 1-28.

Rico Romero, Diana Paola (2018). NIA 315 y 330. La evaluación del Riesgo como una herramienta del proceso de auditoría de la Contraloría de Cundinamarca. Tesis de Maestría. Universidad Militar de Nueva Granada. Facultad de Ciencias Económicas. Bogotá, Colombia.

Villardefrancos Álvarez, María del Carmen; Rivera, Zoia (2006). La auditoría como proceso de control: concepto y tipología. Ciencias de la Información, vol. 37, núm. 2-3, mayo- diciembre, 2006, pp. 53-59 Instituto de Información Científica y Tecnológica. La Habana, Cuba.

Viloria, N. (2004). Una aproximación a un enfoque holístico en auditoría. Revista Actualidad Contable, vol. 7, N. 9, julio-diciembre 2004, p. 85-94.



Buscar:
Ir a la Página
IR
Modelo de publicación sin fines de lucro para conservar la naturaleza académica y abierta de la comunicación científica
Visor de artículos científicos generados a partir de XML-JATS4R