Universidad de San Carlos de Guatemala

Facultad de Ciencias Económicas

Escuela de Auditoría

Seminario de Integración Profesional

Lic. Carlos Roberto Mauricio García

Auxiliar: Gerber Josué Che Monterroso

Tema: MATRICES DE RIESGOS – GESTIÓN DE RIESGOS.

Guatemala, 16 de marzo de 2022

 Grupo No. 4

Carne Nombres y Apellidos

1 200813564 Milbia Felisa Santos Chinchilla

2 200817122 María Ana Mayèn Enríquez

3 201404465 Kevin Eduardo Che Esquite

4 201404480 Karla Yadira Elizabeth Morales Leal

5 201404732 Roberto Javier Reina Medrano

6 201505343 Esdras Estuardo Castro Gómez

7 201612693 Luis Antonio Salvador Rojche

8 201704611 Sharon Ivone De León Péres

9 201710525 Jamilin Yajaira Cabrera Reyes

10 201711660 Jordy Alexander Mazariegos Ramos

 ÍNDICE

INTRODUCCIÓN................................................................................................................. 8

MATRICES DE RIESGOS .................................................................................................. 3

Conceptos: .......................................................................................................................... 3
Características de la matriz de riesgo: ............................................................................ 3
Elementos de la matriz de riesgos .................................................................................... 4
Pasos para la elaboración de una matriz de riesgo:........................................................ 5
Elementos deben considerarse en el diseño de una matriz de riesgo ............................ 8
Matriz de riesgo y el nuevo enfoque de Supervisión..................................................... 13

CONTROL INTERNO ....................................................................................................... 14

Definición del control interno ......................................................................................... 14
Importancia del control interno ..................................................................................... 14
Características del control interno ................................................................................. 15
Componentes del control interno ................................................................................... 16
1. Ambiente de control ................................................................................................. 16
2. Proceso de evaluación de riesgo .............................................................................. 18
3. Sistema de información, y comunicación. .............................................................. 20
4. Actividades de control .............................................................................................. 21
5. Monitoreo de controles ............................................................................................ 23
Elementos del Control Interno Según COSO II ........................................................... 23
Matriz del Informe Coso ERM ............................................................................................. 24
Ambiente Interno ................................................................................................................... 26
Establecimientos de objetivos ............................................................................................... 26
Identificación de eventos ....................................................................................................... 27
Evaluación de riesgos............................................................................................................. 27
Respuesta a los riesgos ........................................................................................................... 27
Actividades de control ........................................................................................................... 28
Información y comunicación ................................................................................................. 28
Supervisión ............................................................................................................................. 28

CONCLUSIONES ............................................................................................................... 29

REFERENCIAS BIBLIOGRÁFICAS .............................................................................. 30

 i

INTRODUCCIÓN

El presente trabajo consta de una parte teórica y práctica las matrices de riesgos y gestión de

riesgos, distinguiendo el alcance de esta herramienta y el significado de los conceptos más

comunes utilizados.

Una matriz de riesgo constituye una herramienta de control y de gestión normalmente

utilizada para identificar las actividades (procesos y productos) más importantes de una

empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y

endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de

riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos

financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una

organización.

Asimismo, mediante la matriz de riesgo es posible evaluar la efectividad de la gestión de los

riesgos, tanto financieros como operativos y estratégicos, que están impactando en la misión

de una determinada organización.

i
 3

MATRICES DE RIESGOS

Conceptos:

Es una herramienta de gestión que permite determinar objetivamente cuáles son los riesgos

relevantes para la seguridad y salud de los trabajadores que enfrenta una organización y

requiere del análisis de lastareas que desarrollan los trabajadores.

La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera

integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico objetivo

de la situación global de riesgo de una entidad. Exige la participación activa de las unidades

de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo

de la empresa. Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre

proyectos, áreas, productos, procesos o actividades. Todo ello constituye un soporte

conceptual y funcional de un efectivo Sistema Integral de Gestión de Riesgo

Una matriz de riesgos es una sencilla pero eficaz herramienta para identificar los

riesgos más significativos inherentes a las actividades de una empresa, tanto de procesos

como de fabricación de productos o puesta en marcha de servicios.

Por lo tanto, es un instrumento válido para mejorar el control de riesgos y la seguridad de una

organización. A través de este instrumento se puede realizar un diagnóstico objetivo y global

de empresas de diferentes tamaños y sectores de actividad.

Características de la matriz de riesgo:

Con el fin de garantizar su eficacia y utilidad, una matriz de riesgo debe tenerlas siguientes
 4

características:

a) Debe ser flexible.

b) Sencilla de elaborar y consultar.

c) Que permita realizar un diagnóstico objetivo de la totalidad de los factores de riesgo.

d) Ser capaz de comparar proyectos, áreas y actividades.

Elementos de la matriz de riesgos

Factor de riesgo: Elementos internos o externos que se conjugan entre sí paradar nacimiento

al riesgo;

Riesgo: Probabilidad de ocurrencia de un evento de riesgo dentro del contexto;

Impacto: Consecuencias que pueden ocasionar al sujeto obligado la materialización del

riesgo;

Probabilidad: Posibilidad de ocurrencia del riesgo;

Control existente: Detalle del control interno que la organización tiene implementado para

prevenir la ocurrencia del riesgo;

Riesgo residual: Suceso o circunstancia indeterminada que permanece después de haber

ejecutado las respuestas a los riesgos;

Causa: La explicación de que pudo o puede llegar a ocasionar el riesgo;

Nivel de riesgo: Es la calificación entre alto, moderado y bajo, de acuerdo al nivel o impacto

que pueda ocasionar en la organización;

Plan de mitigación: Es la explicación o acciones concretas que se van a implementar en la

organización para prevenir, reducir o mitigar el nivel de riesgo;

Responsables: Son los encargados de adelantar las acciones propuestas paramitigar el riesgo;

Tolerancia a riesgos: Capacidad que tiene una organización de asumir riesgos y

mantenerlos bajo control;

 5

Apetito de riesgo: Es el máximo riesgo que una organización puede aceptar para lograr sus

objetivos.

Pasos para la elaboración de una matriz de riesgo:

1. Identificación de riesgos

El primer paso consiste en la identificación de las actividades principales de una organización

y de los riesgos inherentes a estas. De una manera general, se puede entender como riesgos la

posibilidad de que a una empresa le sea imposible cumplir con alguno de sus objetivos. Una

vez establecidas todas las actividades, ya es posible prever los posibles riesgos y los motivos

o factores que intervienen en su manifestación y grado, distinguiéndose en riesgos

intrínsecos, que serían aquellos que provienen directamente de la propia empresa, y

extrínsecos, factores de incertidumbre provocados por eventos externos o macro económicos

que pueden tener un impacto sobre la actividad de nuestra empresa.

2. Evaluar la probabilidad de que se acabe confirmando el riesgo

El siguiente paso consistiría en determinar la probabilidad de que, efectivamente, el riesgo

ocurra, así como un cálculo de los efectos potenciales del mismo. Se trata, por lo tanto, de

una valorización del riesgo, lo cual implica un análisis conjunto e interrelacionado de la

probabilidad de ocurrencia y del efecto en los resultados globales de la empresa.

Los riesgos se pueden valorar en términos cualitativos o cuantitativos, utilizando

normalmente valores numéricos o estadísticos, lo que ayuda a tener una base sólida para que

la dirección o responsables de la empresa o negocio puedan tomar las decisiones pertinentes.

3. Representación de la matriz de riesgos

La verdadera utilidad de la matriz de riesgos radica en que ofrezca la posibilidad de tener una
 6

idea general de los riesgos de una empresa y la posibilidad de que ocurran con tan solo

echarle un vistazo.

Por este motivo, la representación de la matriz debe ser en forma de tablas no

demasiado complejas donde aparezcan los riesgos, probabilidad de ocurrencia, gravedad de

los mismos y, si se desea, acciones para solucionarlos y mitigarlos. Existen aplicaciones

informáticas específicas para facilitar su elaboración.

¿Para qué sirve?

Sirve para analizar el nivel de riesgo presente en los trabajos, para comparar por nivel de

riesgo diferentes tareas, para proponer acciones concretas para disminuir los riesgos y para

estimar el impacto que estas acciones tendrán sobre el nivel de riesgo de los trabajadores.

¿Cuándo se usa?

Se debe utilizar cada vez que se implemente una tarea nueva, cada vez que se cambie un

procedimiento y por lo menos una vez al año como parte de la gestión de seguridad para

asegurar que no ha habido cambios en el nivel de protección de los trabajadores.

¿Cómo se usa?

La Matriz de Riegos se llena de izquierda a derecha completando los campos que indica de la

siguiente forma:

a) Actividad: Se enuncia la actividad o tarea que realizan los trabajadores. Es

conveniente tener un listado de todas las actividades que se ejecutan, sean estas

rutinarias o no para no olvidar analizar ninguna. Es conveniente preparar este listado

de actividades en grupo y con participación de los trabajadores.

b) Actividad R-NR-E: Se especifica si la actividad nombrada es rutinaria (R) esto es,

de todos los días; no rutinaria (NR) si es que se desarrolla con poca frecuencia; o

esporádica (E) si es que se realiza muy pocas veces pero se ha hecho antes y pudiera
 7

volver a hacerse.

c) Peligro: En este campo se listan todos los peligros que implican larealización de esta

actividad. Se pueden listar más de un peligro por actividad.

d) Tipo de Peligro: Este campo sirve para discriminar los peligros por tipo o factor. En

la parte baja de la tabla se dispone de un listado de factoresde riesgo.

e) Riesgo: Es la consecuencia del peligro.

f) Tipo de riesgo: Distingue los tipos de riesgo por seguridad o salud ocupacional, esto

es, si el riesgo puede producir un accidente o una enfermedad.

g) Medidas de control existentes: En este campo se listan todas las medidas de control

que se tienen para la actividad en cuestión. Se debe considerar que las medidas de

control se pueden aplicar a 3 niveles: En la fuente: Eliminando el peligro. En el

medio: interponiendo barreras que lo mitiguen o desvíen. En el receptor: utilizando

equipos de protección personal.

h) Índice de personas expuestas: Según la tabla que está en la parte baja se colocará el

número que corresponda dependiendo de la cantidad de personas expuestas al peligro.

i) Índice de procedimientos: Según la tabla se colocará el número que corresponda

según: Estos procedimientos existan y estén implementados y sean suficiente. Existan

estén parcialmente implementados o no son satisfactorios o son insuficientes. No

existen procedimientos.

j) Índice de capacitación: De manera análoga se llenará revisando la tabla

correspondiente según: El personal está entrenado, conoce el peligro y lo previene.

Personal parcialmente entrenado, conoce el peligro, pero no toma acciones. Personal

no entrenado, no conoce el peligro y no tomaacciones.

k) Índice de exposición al riesgo: Dependiendo de con qué frecuencia el trabajador está

 8

expuesto al riesgo se colocará el número apropiado.

l) Índice de probabilidad: Este valor se obtiene sumando los 5 índices anteriores.

m) Índice de severidad: Dependiendo de las posibles consecuencias del peligro se

colocará el valor apropiado según tabla.

n) Probabilidad por severidad: se obtiene multiplicando el índice de probabilidad por

el de severidad.

o) Grado de riesgo: Dependiendo del valor obtenido se determina según tabla si el

riesgo es trivial, tolerable, moderado, importante o intolerable. Si el resultado es

importante o intolerable se recomienda proponer acciones de control adicionales.

p) Medidas de control propuestas: Si en el campo anterior se obtuvo riesgo

significativo entonces es necesario proponer medidas de control adicionales a las ya

implementadas. Se deberá intentar implantar las medidas de control primero en la

fuente, luego en el medio y si no se puede recién se deberá pensar en implementar

medidas de control en elreceptor (equipos de protección personal).

Finalmente, de manera análoga, se deberán llenar los siguientes campos estimando en

impacto de estas últimas medidas de control propuestas y se debe esperar a que los riesgos

finalmente salgan como no significativos.

Elementos deben considerarse en el diseño de una matriz de riesgo

A partir de los objetivos estratégicos y plan de negocios, la administración de riesgos debe

desarrollar un proceso para la (identificación” de las actividades principales y los

riesgos a los cuales están expuestas; entendiéndose como riesgo la eventualidad de

que una determinada entidad no pueda cumplir con uno o más de los objetivos.
 9

Consecuentemente, una vez establecidas todas las actividades, se deben identificar las fuentes

o factores que intervienen en su manifestación y severidad, es decir los llamados factores de

riesgo o riesgos inherentes. El riesgo inherente es intrínseco a toda actividad, surge de la

exposición y la incertidumbre de probables eventos o cambios en las condiciones del

negocio o de la economía que puedan impactar una actividad. Los factores o riesgos

inherentes pueden no tener el mismo impacto sobre el riesgo agregado, siendo algunos más

relevantes que otros, por lo que surge la necesidad de ponderar y priorizar los riesgos

primarios. Los riesgos inherentes al negocio de las entidades financieras pueden ser

clasificados en riesgos crediticios, de mercado y liquidez, operacionales, legales y

normativos estratégicos2.

El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra y un

cálculo de los efectos potenciales sobre el capital o las utilidades de la entidad. La

valorización del riesgo implica un análisis conjunto de la probabilidad de ocurrencia y el

efecto en los resultados; puede efectuarse en términos cualitativos o cuantitativos,

dependiendo de la importancia o disponibilidad de información; en términos de costo y

complejidad la evaluacióncualitativa es la más sencilla y económica.

 10

La valorización cualitativa no involucra la cuantificación de parámetros, utiliza escalas

descriptivas para evaluar la probabilidad de ocurrencia de cada evento. En general este tipo de

evaluación se utiliza cuando el riesgo percibido no justifica el tiempo y esfuerzo que

requiera un análisis más profundo o cuando no existe información suficiente para la

cuantificación de los parámetros. En el caso de riesgos que podrían afectar significativamente

los resultados, la valorización cualitativa se utiliza como una evaluación inicial para

identificar situaciones que ameriten un estudio más profundo.

La evaluación cuantitativa utiliza valores numéricos o datos estadísticos, en vez de escalas

cualitativas, para estimar la probabilidad de ocurrencia de cada evento, procedimiento que

definitivamente podría brindar una base más sólida para la toma de decisiones, esto

dependiendo de la calidad de información quese utilice.

Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el proceso del

trabajo de estimar la probabilidad de riesgo. Al respecto, debe notarse que, si bien la

valoración de riesgo contenida en una matriz de riesgo es mayormente de tipo cualitativo,

también se utiliza un soporte cuantitativo basado en una estimación de eventos ocurridos en

el pasado, con lo cual se obtiene una mejor aproximación a la probabilidad de ocurrencia del

evento.

La valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que podría

ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta (5),

dependiendo de la combinación entre impacto y probabilidad. En la siguiente gráfica se

puede observar un ejemplo de esquema de valorización de riesgo en función de la

probabilidad e impacto de tiponumérico con escala:

 11

Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de la gestión”, a

fin de determinar cuán eficaces son los controles establecidos por la empresa para mitigar los

riesgos identificados. En la medida que los controles sean más eficientes y la gestión de

riesgos pro-activa, el indicador de riesgo inherente neto tiende a disminuir. Por ejemplo, una

escala de valoración de efectividad de los controles podría ajustarse a un rango similar al

siguiente:

Finalmente, se calcula el “riesgo neto o residual”, que resulta de la relación entre el grado

de manifestación de los riesgos inherentes y la gestión de mitigación de riesgos

establecida por la administración. A partir del análisis y determinación del riesgo residual los

administradores pueden tomar decisiones como la de continuar o abandonar la actividad

dependiendo del nivel de riesgos; fortalecer controles o implantar nuevos controles; o

finalmente, podrían tomar posiciones de cobertura, contratando por ejemplo pólizas de

 12

seguro. Esta decisión está delimitada a un análisis de costo beneficio y riesgo.

En el siguiente cuadro se muestra un ejemplo para calcular el riesgo neto o residual utilizando

escalas numéricas de posición de riesgo:

El cuadro anterior muestra en forma consolidada, los riesgos inherentes a una actividad o

línea de negocio, el nivel o grado de riesgo ordenado de mayor a menor nivel de riesgo

(priorización); las medidas de control ejecutadas con su categorización promedio y

finalmente, se expone el valor del riesgo residual para cada riesgo y un promedio total que

muestra el perfil global de riesgo de lalínea de negocio.

Como se habrá podido observar la matriz de riesgo tiene un enfoque principalmente

cualitativo, para lo cual es preciso que quienes la construyan tengan experiencia,

conocimiento profundo del negocio y su entorno y un buen juicio de valor, pero además es

requisito indispensable la participación activade todas las áreas de la entidad.

 13

Matriz de riesgo y el nuevo enfoque de Supervisión

La matriz de riesgos constituye una herramienta clave en el proceso de supervisión basada en

riesgos, debido a que la misma les permite efectuar una evaluación cualitativa y cuantitativa

de los riesgos inherentes de cada unidad de negocios o actividad significativa y la

determinación del perfilde riesgo de la institución.

Los beneficios de esta metodología de supervisión, entre otros, son los siguientes:

a) Identificación de instituciones que requieren mayor atención y áreas críticas de

riesgo.

b) Uso eficiente de recursos aplicados a la supervisión, basado en perfiles de riesgos

de las entidades.

c) Permite la intervención inmediata y la acción oportuna.

d) Evaluación metódica de los riesgos.

e) Promueve una sólida gestión de riesgos en las instituciones financieras.

f) Monitoreo continuo.

De esta manera la matriz de riesgo permite establecer de un modo uniforme y consistente el

perfil de riesgo de cada una de las entidades y permite profundizar en el proceso de

establecimiento de planes de supervisión a fin de que se ajusten a las características

específicas de cada entidad.

 14

CONTROL INTERNO

Definición del control interno

Es el proceso diseñado y efectuado por los encargados del gobierno corporativo, la

administración y otro personal para proporcionar seguridad razonable sobre el logro de los

objetivos de la entidad respecto de la confiabilidad de la información financiera, efectividad y

eficiencia de las operaciones y cumplimientos de las leyes y reglamentaciones aplicables.

El control interno constituye una de las fases primordiales de la administración, en virtud que

su estructuración parte desde la planeación y organización de las entidades. Así mismo,

constituyen una serie de acciones que se llevan a cabo antes, durante y después de realizar

una actividad en la Institución.

Importancia del control interno

Cada vez existe un mayor reconocimiento sobre la importancia del control interno en una

entidad, ya que no va en búsqueda de la exactitud de las operaciones, sino de la transmisión

de una seguridad razonable y crea expectativas de mejoras continuas para llevar a cabo sus

metas. Éste nace y crece dentro del ámbito de la organización, por lo tanto su implementación

y supervisión es responsabilidad de la administración.

Por medio de un adecuado sistema de control interno, la organización puede medir la eficacia

operacional y el grado de cumplimiento de sus objetivos, además constituye la base

fundamental en la cual descansa la confiabilidad del sistema contable.

La seguridad que proporciona el sistema de control Interno incide directamente en el

 15

porcentaje de seguridad que el auditor puede asignar a los procedimientos establecidos, ya

que dependiendo de esto, el auditor definirá el alcance de la muestra en su evaluación o bien

disminuirá las pruebas o procedimientos que necesita aplicar para verificar si los

procedimientos internos son o no confiables.

Características del control interno

El control interno es un factor crítico en el logro de los objetivos generales de una

organización y su efectividad depende de la información recibida. Los sistemas de control

interno diseñados para lograr un uso óptimo deben poseer las siguientes características:

 Forma parte integral de los sistemas contables, financieros, de planeación, de

información y operacionales de la entidad.

 Corresponde a la máxima autoridad la responsabilidad de establecer, mantener y

perfeccionar el sistema de control interno, el cual debe ser adecuado a la naturaleza,

estructura y misión de la entidad.

 En cada área de la entidad, el funcionario encargado de dirigirla es responsable por el

control interno ante su jefe inmediato de acuerdo con los niveles de autoridad

establecidos.

 El auditor externo, es el encargado de evaluar en forma independiente el sistema de

control interno y de proponer a la junta directiva las recomendaciones para mejorarlo.

 Todas las transacciones deberán registrarse en forma exacta, veraz y oportuna de

forma tal que permita preparar informes, administrativos y financieros, necesarios

para la toma de decisiones gerenciales.

 16

Componentes del control interno

El Control Interno se conforma de los siguientes componentes:

 Ambiente de control

 Proceso de evaluación de riesgo por la entidad

 Sistema de información, que incluya los procesos relacionados a la información

financiera y su comunicación.

 Actividades de control

 Monitoreo de controles

1. Ambiente de control

El ambiente de control incluye las actitudes, conciencia y acciones de la administración y de

los encargados del gobierno corporativo respecto del control interno de la entidad y su

importancia en la entidad. El ambiente de control también incluye las funciones del gobierno

corporativo y administración y marca el tono de una organización, influyendo en la

conciencia de control de su gente. Es el fundamento para un control interno efectivo,

brindando disciplina y estructura.

Al evaluar el diseño del ambiente de control, el auditor considera los siguientes elementos y

de qué forma es incorporado en los procesos de la entidad:

a) Comunicación y ejecución de la integridad y valores éticos: Integridad y valores

éticos, son elementos esenciales del ambiente de control que influyen en la

efectividad del diseño, administración y monitoreo de otros componentes del control

interno. La integridad y la conducta ética son producto de las normas éticas y de

conducta de la entidad, de la forma de comunicación y refuerzo en la práctica.

 17

b) Compromiso con la competencia: Competencia es el conocimiento y habilidades

necesarios para lograr tareas que definen el puesto de las personas que colaboran para

la entidad. El compromiso con la competencia incluye la consideración de la

administración de los niveles de competencia para puestos particulares y cómo se

traducen esos niveles en las habilidades y conocimientos requeridos.

c) Participación de los encargados del gobierno corporativo: Los atributos de los

encargados del gobierno corporativo incluyen independencia de la administración, su

experiencia y estatura, la extensión de su implicación y escrutinio de las actividades,

lo apropiado de sus acciones, la información que reciben, el grado en que plantean y

dan seguimiento a cuestiones difíciles ante la administración y su interacción con los

auditores internos y externos.

Otras de las responsabilidades de los encargados del gobierno corporativo incluyen

supervisión del diseño y operación efectiva de los procedimientos y revisión de la

efectividad del Control Interno.

d) Filosofía y estilo operativo de la administración: La filosofía y estilo operativo de

la administración abarcan una amplia gama de características, las cuales incluyen los

siguientes aspectos: el enfoque de la administración al tomar y monitorear riesgos de

negocio; actitudes y acciones de la administración hacia la información financiera y

actitudes de la administración hacia las funciones de procesamiento de información y

contabilización.

e) Estructura organizacional: Proporciona el marco de referencia dentro del cual se

planean, ejecutan, controlan y revisan actividades para lograr objetivos a nivel de

 18

entidad. Establecer una estructura organizacional relevante, incluye considerar áreas

clave de autoridad y responsabilidad, así como líneas apropiadas de información.

f) Asignación de autoridad y responsabilidad: Por medio de este factor se asigna la

autoridad y responsabilidad para actividades de operación y se definen las relaciones

de información y jerarquías de autorización. También incluye políticas relativas a las

prácticas apropiadas del negocio, conocimiento y experiencia del personal clave, y

recursos proporcionados para llevar a cabo los deberes. Además, incluye políticas y

comunicaciones dirigidas a asegurar que todo el personal entienda los objetivos de la

entidad, conozca la interrelación de sus acciones individuales y contribuya a dichos

objetivos, además de reconocer la forma en que se le exigirán cuentas.

g) Políticas y prácticas de recursos humanos: Se relacionan con reclutamiento,

orientación, entrenamiento, evaluación, asesoría, promoción, compensación y

acciones correctivas.

2. Proceso de evaluación de riesgo

El proceso de evaluación de riesgos por una entidad es su proceso para identificar y responder

al riesgo de negocio y los resultados consecuentes. Para fines de información financiera, el

proceso de evaluación del riesgo por la entidad incluye cómo identifica la administración los

riesgos relevantes para la preparación de estados financieros que den un punto de vista

verdadero y razonable (o que se presenten razonablemente, respecto de todo lo de

importancia relativa) de acuerdo con el marco de referencia de información financiera

aplicable, cómo estima su importancia, evalúa la probabilidad de su ocurrencia y decide las

acciones para manejarlos.

 19

Los riesgos relevantes para la información financiera incluyen hechos y circunstancias

externos e internos que pueden ocurrir y afectar de manera adversa la capacidad de una

entidad para iniciar, registrar, procesar e informar datos financieros consistentes con las

aseveraciones de la administración de los estados financieros.

Los riesgos pueden surgir o cambiar debido a circunstancias como las siguientes:

a) Cambios en el entorno de operaciones: Cambios en el entorno de regulación o de

operación pueden dar como resultado cambios en presiones competitivas y riesgos

significativamente diferentes.

b) Personal nuevo: El nuevo personal puede tener un diferente enfoque o entendimiento

del control interno.

c) Sistemas de información nuevos o renovados: Los cambios importantes y rápidos

en los sistemas de información pueden cambiar el riesgo relativo al control interno.

d) Crecimiento rápido: La expansión importante y rápida de las operaciones puede

forzar los controles y aumentar el riesgo de una falla en los controles.

e) Nueva tecnología: Incorporar nuevas tecnologías en los procesos de producción o

sistemas de información puede cambiar el riesgo asociado con el control interno.

f) Nuevos modelos, productos o actividades del negocio: Introducirse a áreas o

transacciones de negocios con las que tiene poca experiencia la entidad puede traer

nuevos riesgos asociados con el control interno.

g) Reestructuraciones corporativas: Las reestructuraciones pueden ir acompañadas de

reducciones de personal y cambios en supervisión y segregación de deberes que puede

cambiar el riesgo asociado con el control interno.

 20

h) Operaciones extranjeras en expansión: La expansión o adquisición de operaciones

extranjeras acarrea riesgos nuevos y a menudo únicos, que pueden afectar al control

interno, por ejemplo, riesgos adicionales o cambiados por transacciones en moneda

extranjera.

i) Nuevos pronunciamientos contables: La adopción de nuevos pronunciamientos

contables o principios de contabilidad cambiantes puede afectar a los riesgos en la

preparación de los Estados Financieros.

3. Sistema de información, y comunicación.

a) Sistema de información: Consiste de infraestructura (física y componentes de

hardware), software, persona, procedimientos y datos. La infraestructura y el software

estarán ausentes, o tendrán menos importancia, en sistemas que sean exclusivamente

o principalmente manuales. Muchos sistemas de información hacen uso extenso de

tecnología de la información (TI).

Un sistema de información abarca métodos y registros que:

 Identifican y registran todas las transacciones válidas.

 Describen oportunamentelas transacciones con suficiente detalle.

 Miden el valor de las transacciones.

 Determinan el período de tiempo.

 Presentan de manera apropiada las transacciones y revelaciones relacionadas en los

estados financieros.

b) Comunicación: Implica proporcionar un entendimiento de los papeles individuales y

responsabilidades correspondientes al control interno sobre la información financiera.

Incluye el grado al que el personal entiende cómo se relacionan sus actividades en el

 21

sistema de información financiera con el trabajo de otros y los medios de informar

excepciones a un nivel más alto apropiado dentro de la entidad. Los canales de

comunicación abiertos ayudan a asegurar que se informen las excepciones y se actúe

sobre ellas.

La comunicación adopta formas como manuales de políticas, manuales de

contabilidad y de información financiera y memorándums. La comunicación puede

hacerse también de manera electrónica, oral y a través de las acciones de la

administración.

4. Actividades de control

Actividades de control son las políticas y procedimientos que ayudan a asegurar que las

directivas de la administración se llevan a cabo, por ejemplo, que se toman las acciones

necesarias para atender a los riesgos que amenazan el logro de los objetivos de la entidad.

Generalmente, las actividades de control que pueden ser relevantes para una auditoría pueden

categorizarse como políticas y procedimientos correspondientes a lo siguiente:

a) Revisiones de desempeño: Estas actividades de control incluyen revisiones y análisis

de desempeño real versus presupuesto, pronósticos y desempeño del período anterior;

relacionar diferentes conjuntos de datos operativos y financieros entre sí, junto con

análisis de las relaciones y acciones de investigación y correctivas; comparar datos

internos con fuentes externas de información; y revisión de desempeño funcional o de

actividad.

b) Procesamiento de información: Se realiza una variedad de controles para verificar la

exactitud, integridad y autorización de las transacciones. Los dos grandes

agrupamientos de actividades de control de los sistemas de información son los

controles de aplicación y los controles generales de tecnología de información (IT),

 22

los controles de aplicación sirven para el procesamiento de aplicaciones individuales.

Estos controles ayudan asegurar que ocurrieron las transacciones, que están

autorizadas, y que son registradas y procesadas de manera completa y exacta. Los

controles generales de tecnología de la información son políticas y procedimientos

que se relacionan con muchas aplicaciones y soportan el funcionamiento efectivo de

los controles de aplicación ayudan a asegurar la operación apropiada continua de los

sistemas de información. Los controles generales de tecnología de información

comúnmente incluyen controles sobre centros de datos y operaciones de red,

adquisición, cambio y mantenimiento de software del sistema; seguridad de acceso, y

adquisición, desarrollo y mantenimiento del sistema de aplicación.

c) Controles físicos: Estas actividades abarcan la seguridad física de los activos,

incluyen salvaguardas adecuadas como instalaciones aseguradas sobre el acceso a

activos y registros; autorización para acceso a programas de computadora y archivo

de datos; y conteo periódico y comparación con cantidades mostradas en los registros

de control.

El grado en que los controles físicos que se proponen prevenir robo de activos son

relevantes para la confiabilidad de la preparación de los estados financieros y, por lo

tanto, para la auditoría, depende de circunstancias como cuando los activos son

altamente susceptibles a malversación.

d) Segregación de deberes: Asignar a personas diferentes las responsabilidades de

autorizar transacciones, registrarlas y mantener custodia de los activos, tiene la

intención de reducir las oportunidades de permitir a alguna persona estar en posición

tanto de perpetrar como de ocultar errores o fraude en el curso normal de los deberes

de la persona.
 23

5. Monitoreo de controles

El monitoreo de los controles por la administración incluye considerar si están operando

como se planeó y que éstos se modifican según sea apropiado por cambios en las

condiciones.

El monitoreo de los controles es un proceso para evaluar la calidad del desempeño del

Control Interno después de un tiempo. Implica evaluar el diseño y operación de los controles

de manera puntual y tomar las acciones correctivas necesarias. El monitoreo se hace para

asegurar que los controles puedan operar de manera efectiva.

Elementos del Control Interno Según COSO II

Debido al aumento de preocupación por la administración de riesgos, el comité de

organizaciones (Committee of Sponsoring Organizations of the Treadway Commission,

COSO), determinó la necesidad de la existencia de un marco reconocido de administración

integral de riesgos. Este proyecto se inició en enero 2001 con el objeto de desarrollar un

marco global para evaluar y mejorar el proceso de administración de riesgo, reconoce que

muchas organizaciones están comprometidas en algunos aspectos de la administración de

riesgos.

En septiembre 2004, se publica el informe denominado Gestión de Riesgos Corporativos –

Marco Integrado (Enterprise Risk Management ERM – Integrated Framework), el cual

incluye el marco global para la administración integral de riesgos.

La comisión define la Gestión de Riesgos Corporativos (ERM) como un proceso efectuado

por el consejo de administración de una entidad, administración y todo el personal de la

 24

organización, aplicado desde la definición estratégica hasta las actividades del día a día,

diseñado para identificar eventos potenciales que pueden afectar a la organización y

administrar los riesgos dentro de un nivel de aceptación con el objetivo de proporcionar una

seguridad razonable respecto al logro de objetivos de la organización.

En el marco de gestión integral de riesgos desarrollado por COSO II, existe un relación

directa entre los objetivos (aquellos que la organización trata de alcanzar), los componentes o

elementos de gestión del riesgo de la organización (representan las herramientas necesarias

para el logro de dichos objetivos), así como con cada uno de los niveles de la organización.

Los objetivos de la organización se pueden clasificar en cuatro categorías:

a) Estratégicos: Referidos a metas de alto nivel, alineadas y que permitan dar soporte a

la misión y visión de la organización.

b) Operativos: La eficiencia y eficacia de las actividades de la organización, incluye los

objetivos de rentabilidad y desempeño.

c) Información: La fiabilidad de la información suministrada por la organización, que

incluye datos internos y externos, así como información financiera y no financiera.

d) Cumplimiento: Cumplimiento de las leyes y normas aplicables.

Matriz del Informe Coso ERM

Las cuatro categorías de objetivos (estrategia, operaciones, información y cumplimiento)

están representadas por las columnas verticales; los ocho componentes están representados

por las filas horizontales; y por último consideran las actividades de todas las unidades de la

entidad, mismas que están representadas por la tercera dimensión del cubo.
 25

El modelo de gestión de riesgos corporativos consta de ocho componentes o elementos

interrelacionados entre sí, que se derivan de la manera en que la dirección conduce la

organización y como están integrados en el proceso de gestión.

Estos componentes son:

 Ambiente interno

 Definición de objetivos

 Identificación de eventos
 26

 Definición de riesgos

 Respuestas posibles ante riesgos

 Actividades de control

 Información y comunicación

 Monitoreo y supervisión

Ambiente Interno

El ambiente interno abarca el talante de una organización, que influye en la conciencia de sus

empleados sobre el riesgo y forma la base de los otros componentes de la gestión de riesgos

corporativos, proporcionando disciplina y estructura. Los factores del ambiente interno

incluyen la filosofía de gestión de riesgos de una entidad, su riesgo aceptado, la supervisión

ejercida por el consejo de administración, la integridad, valores éticos y competencia de su

personal y la forma en que la dirección asigna la autoridad y responsabilidad y organiza y

desarrolla a sus empleados.

Establecimientos de objetivos

Los objetivos se fijan a escala estratégica, se debe establecer con ellos una base para los

objetivos operativos, de información y de cumplimiento. Cada entidad se enfrenta a una gama

de riesgos procedentes de fuentes externas e internas y una condición previa para la

identificación eficaz de eventos, la evaluación de sus riesgos y la respuesta a ellos es fijar los

objetivos, que tiene que estar alineados con el riesgo aceptado por la entidad, que orienta a su

vez los niveles de tolerancia al riesgo de la misma.

 27

Identificación de eventos

La dirección identifica los eventos potenciales que, de ocurrir afectarán a la entidad y

determina si representan oportunidades o si pueden afectar negativamente a la capacidad de la

organización para implantar la estrategia y lograr los objetivos con éxito. Los eventos con

impacto negativo representan riesgos, que exigen la evaluación y respuesta de la dirección.

Los eventos con impacto positivo representan oportunidades, que la dirección reconduce

hacia la estrategia y el proceso de fijación de objetivos. Cuando identifica los eventos la

dirección contempla una serie de factores internos y externos que pueden dar lugar a riesgos y

oportunidades en el contexto del ámbito global de la organización.

Evaluación de riesgos

La evaluación de riesgos permite a una entidad considerar la amplitud con que los eventos

potenciales impactan en la consecución de objetivos. La dirección evalúa estos

acontecimientos desde una doble perspectiva probabilidad e impacto y normalmente usa una

combinación de métodos cualitativos y cuantitativos. Los impactos positivos y negativos de

los eventos potenciales deben examinarse, individualmente o por categoría, en toda la

entidad.

Los riesgos se evalúan con un doble enfoque:

Riesgo inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de la

dirección para modificar su probabilidad o impacto.

Riesgo residual: Es aquel que permanece después que la dirección desarrolle sus respuestas

a los riesgos.

Respuesta a los riesgos

Una vez evaluados los riesgos relevantes, la dirección determina como responder a ellos. Las

respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su

respuesta, la dirección evalúa su efecto sobre la probabilidad e impacto del riesgo. Así como
 28

los costes y beneficios, y selecciona aquella que sitúe el riesgo residual dentro de las

tolerancias al riesgo establecidos.

Actividades de control

Las actividades de control son las políticas y procedimientos que ayudan a asegurar que se

llevan a cabo las respuestas de la dirección a los riesgos. Las actividades de control tienen

lugar a través de la organización, a todos los niveles y en todas las funciones. Incluyen una

gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones,

conciliaciones, revisiones del funcionamiento operativo, seguridad de los activos y

segregación de funciones.

Información y comunicación

La información relevante se identifica, capta y comunica de una forma y en un marco de

tiempo que permiten a las personas llevar a cabo sus responsabilidades. Una comunicación

efectiva debe producirse en un sentido amplio, fluyendo hacia abajo, a través, y hacia arriba

de la entidad.

Supervisión

La totalidad de la administración de riesgos corporativos es monitoreada y se efectúan las

modificaciones necesarias. Este monitoreo se lleva a cabo mediante actividades permanentes

de la dirección, evaluaciones independientes o ambas actuaciones a la vez. La administración

de riesgos corporativos no constituye estrictamente un proceso en serie, donde cada

componente afecta solo al siguiente, sino un proceso multidireccional e interactivo en el cual

casi cualquier componente puede e influye en otro.

 29

CONCLUSIONES

Una matriz de riesgo constituye una herramienta de control y de gestión muy interesante para

identificar actividades empresariales, asociándolas a riesgos diferenciados por tipo y nivel y a

los factores exógenos y endógenos relacionados con estos riesgos. Todo ello permite

la organización de un Sistema Integral de Gestión de Riesgo.

Como se puede observar la relación de componentes de control entre lo que menciona NIA

315 del control interno y el marco de gestión de riesgos son los siguientes: Ambiente interno,

evaluación de riesgos, actividades de control, información y comunicación y monitoreo.

Adicionalmente el marco de gestión de riesgos incluye tres componentes tales como

establecimiento de objetivos, identificación de riesgos y respuesta al riego mientras que esta

norma no lo considera.
 30

REFERENCIAS BIBLIOGRÁFICAS

1. Información sobre metodología de evaluación del control interno.

http://gestiopolis.com/recursos6/Docs/Fin/finanzas-control-interno.htm

2. Evaluación de riesgos bajo el informe modelo COSO ERM por la auditoría interna de

una empresa. http://biblioteca.usac.edu.gt/tesis/03/03_4227.pdf

3. Matriz de riesgos. https://www.studocu.com/gt/document/universidad-mariano-

galvez-de-guatemala/auditoria/matriz-de-riesgos/8051209