EL RIESGO Y EL CONTROL INTERNO: AMIGOS Y ENEMIGOS INSEPARABLES

MCA. ACG. Mónica Armijos Santos

Docente tiempo completo de Universidad Laica
Vicente Rocafuerte de Guayaquil
marmijoss@ulvr.edu.ec
moniquiux44@hotmail.com

Resumen
En el cambiante ambiente en el cual se desenvuelven las organizaciones, actualmente existen
contingencias que están en la naturaleza propia de las actividades y procesos, riesgos cuyos
controles implantados no surjan el efecto deseado y que no se detecte dicho riesgo.

Ante situaciones como las mencionadas, existe el control interno que es una herramienta creada
para disminuir o mitigar estos riesgos. Cabe indicar, que se hace énfasis en el hecho de que el
control interno no desaparece el riesgo, pero si promueve la simplificación, dando como resultado
una mínima expresión, generando que las actividades que se interrelacionan fluyan con mayor
facilidad para que las decisiones que se tomen en adelante no adolezcan de incertidumbre
respecto a escenarios de error o fraude.

Como parte del control interno se ha creado el Informe COSO, cuyos componentes abarcan todos
los aspectos organizacionales importantes, es decir, desde el factor humano pasando por el
análisis del riesgo, la información, actividades de control y el seguimiento a ese control posterior.

Es importante analizar que sin riesgo no existe el control, el mismo que se origina en la naturaleza
propia de la actividad y que por lo tanto siempre existirán mecanismos que permitan eliminarlo por
completo.

Palabras claves: riesgo, control interno, riesgo inherente, COSO, seguimiento.

Abstract

In the changing environment in which organizations operate today , there are risks that are in the
nature of the activities and processes , risk controls in place that do not arise desired effect and that
the risk is detected.

In situations like these, there is the internal control is a tool designed to reduce or mitigate these
risks. It should be noted that the emphasis is on the fact that internal control risk does not go away ,
but if it promotes simplified to its simplest expression and activities that are interrelated flow more
easily, and that the decisions made onwards are not affected by uncertainty scenarios of error or
fraud .

As part of internal control has created the COSO Report, whose components include all important
organizational aspects , that is, from the human factor through risk analysis , information , control
activities and monitoring subsequent to that control.

It is important to consider that without risk there is no control, the same that originates in the nature
of the activity and therefore always exist mechanisms to remove it completely.

1
Keywords: risk, internal control, inherent risk, COSO, tracing.

1. DEFINICIONES IMPORTANTES

1.1 El Riesgo
Riesgo es la vulnerabilidad ante un potencial perjuicio o daño para las unidades, personas,
organizaciones o entidades. Cuanto mayor es la vulnerabilidad mayor es el riesgo, pero cuanto
más factible es el perjuicio o daño, mayor es el peligro. Por tanto, el riesgo se refiere sólo a la
teórica "posibilidad de daño" bajo determinadas circunstancias, mientras que el peligro se refiere
sólo a la teórica "probabilidad de daño" bajo esas circunstancias. Por ejemplo, desde el punto de
vista del riesgo de daños a la integridad física de las personas, cuanto mayor es la velocidad de
circulación de un vehículo en carretera mayor es el "riesgo de daño" para sus ocupantes, mientras
que cuanto mayor es la imprudencia al conducir mayor es el "peligro de accidente" (y también es
mayor el riesgo del daño consecuente)1.

1.2 Riesgo en Auditoría

Según Araceli Mora Enguídanos2, el riesgo en auditoría es la posibilidad de que el auditor emita
una opinión incorrecta por no haber detectado alguna irregularidad significativa. El hecho de que la
opinión del auditor se base en la aplicación de pruebas selectivas, en lugar de llevar a cabo la
comprobación de todas las operaciones, conlleva un riesgo, es el conocido como riesgo de
auditoría. El denominado modelo de riesgo de auditoría descansa sobre los pilares fundamentales:
el riesgo general o probable de auditoría y la importancia relativa.

1.3 Componentes del Riesgo en Auditoria

De acuerdo con De la Peña3 el riesgo global de Auditoria cabe descomponerlo en: Riesgo
inherente, Riesgo de control y Riesgo de No detección.
El Riesgo Inherente, es el riesgo de que ocurran errores significativos en la información contable,
independientemente de la existencia de los sistemas de control. Este tipo de riesgo depende de:

- Del tipo de negocio

- De su medio ambiente
- Del tipo de transacción

El riesgo inherente, afecta a la extensión del trabajo de auditoria, por ello a mayor riesgo
inherente deberá existir una mayor cantidad de pruebas de satisfacerse de determinadas
afirmaciones, transacciones o acontecimientos afectados por el riesgo. A menor nivel de riesgo
inherente, la cantidad de evidencia será menor. Por el contrario, si el riesgo inherente es elevado,
el auditor deberá obtener mayor evidencia sobre la que soportar su opinión.

El Riesgo de Control, es el riesgo de que el sistema de control interno del cliente no prevenga,
detecte o corrija dichos errores. Este tipo de riesgo se evalúa mediante el conocimiento y
comprobación, a través de pruebas de cumplimiento, del sistema de control interno. A mayor
grado de confianza en los controles internos instalados, menor es el riesgo de control. Por el
contrario, a medida que disminuye ese grado de confianza, se incrementa esta clase de riesgo.

2
El Riesgo de no detección, es el riesgo de que un error u omisión significativo existente no sea
detectado, por último, por el propio proceso de auditoría. El nivel de riesgo de no detección está
directamente relacionado con los procedimientos de auditoría debido a:

- La ineficacia de los procedimientos de auditoría aplicados.

- La inadecuada aplicación de dichos procedimientos.
- Al deficiente alcance y oportunidad de los procedimientos seleccionados.
- A la inapropiada interpretación del resultado de los procedimientos.

1.4 La Importancia Relativa

Así también De la Peña4 manifiesta que la importancia relativa es la magnitud o naturaleza de un

error u omisión en la información financiera, que, bien individualmente o en su conjunto, y a la luz
de las circunstancias que le rodean, hacen probable que el juicio de una persona razonable que
confía en dicha información, se hubiera visto influido en su decisión como consecuencia de dicho
error u omisión. Es decir un error u omisión son importantes, o deben considerarse significativos si
es probable que su divulgación hubiera influido en la opinión de un lector de las cuentas anuales.
El concepto de importancia relativa tiene su origen en un error o en una omisión. Se concreta si
dichos errores u omisiones influyen individualmente o en su conjunto, sobre un lector de cuentas
anuales y tiene como consecuencia un cambio en su opinión sobre el contenido de la cuentas
anuales.
En las etapas de la Auditoría afecta sus etapas de la siguiente manera:

Planificación.- Fijar la importancia relativa o el nivel de precisión en función de diversos

parámetros.
Ejecución del trabajo.- Fijar el error tolerable, tomando como referencia la cifra de importancia
relativa fijada en la planificación.
Emisión del informe.- Evaluar la significancia de las limitaciones al alcance, los errores, los
incumplimientos o cambios de los PCGA y las incertidumbres.

1. 5 El control interno

El control interno o de gestión es un conjunto de áreas funcionales en una empresa y

de acciones especializadas en la comunicación y control al interior de la empresa. El sistema de
gestión por intermedio de las actividades, afecta a todas las partes de la empresa a través del flujo
de efectivo. La efectividad de una empresa se establece en la relación entre la salida de los
productos o servicios y la entrada de los recursos necesarios para su producción. Entre las
responsabilidades de la gerencia están:
- Controlar la efectividad de las funciones administrativas.
- Regular el equilibrio entre la eficacia y la eficiencia en la empresa.
- Otros aspectos del desarrollo de la empresa, como crecimiento, rentabilidad y liquidez5.

2. MARCO TEORICO

De acuerdo con Miguel Barquero6, parte del control interno está en el hecho de que la dirección
analice cuales son los riesgos que pueden afectar a la entidad, los documentos, los evalúe y
establezca estrategias para afrontarlos.

3
En la identificación de riesgos debe considerarse la probabilidad de que se produzcan conductas
fraudulentas dentro de la organización, en sus dos vertientes: la apropiación indebida de activos y
la preparación de información maquillada.
Una vez identificada, se debe analizar y clasificar los riesgos en función de variables como las
siguientes:
- Su probabilidad de ocurrencia.
- La magnitud del impacto.
- El tiempo que transcurre entre que se materializa el riesgo y el impacto para la entidad.
- La persistencia del impacto para el negocio una vez que se ha producido el riesgo.

Una vez analizados los riesgos, se debe tomar una decisión sobre cómo gestionar cada uno de
ellos, decisión que puede entrar dentro de las siguientes opciones:

- Aceptar el riesgo y no emprender acciones para mitigarlo

- Evitar el riesgo dejando de hacer las actividades que lo generan
- Reducir el riesgo con las herramientas disponibles
- Compartir el riesgo: contratando seguros, buscando socios, etc.

Una herramienta organizacional, creada para mitigar el riesgo y evaluar el control interno, es el
COSO (Committee of Sponsoring Organizations of the Treadway Commission), cuyo objetivo es
mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las
normas éticas y el control interno.
El COSO está conformado por 5 componentes, los cuales son explicados por Mantilla7:

Ambiente de Control.- La esencia de cualquier negocio es su gente – sus atributos individuales,

incluyendo integridad, los valores éticos y la competencia – y el ambiente en que ella opera. La
gente es el motor que dirige la entidad y el fundamento sobre el cual todas las cosas descansan.

Valoración de riesgos.- La entidad debe ser consciente de los riesgos y enfrentarlos. Debe
señalar objetivos, integrados con ventas, producción, mercadeo, finanzas y otras actividades de
manera que opere concertadamente. También debe establecer mecanismos para identificar,
analizar y administrar los riesgos relacionados.

Actividades de control.- Se deben establecer y ejecutar políticas y procedimientos para ayudar a

asegurar que se están aplicando efectivamente las acciones identificadas por la administración
como necesarias para manejar los riesgos en la consecución de los objetivos de la entidad.

Información y comunicación.- Los sistemas de información y comunicación se interrelacionan.

Ayudan al personal de la entidad a capturar e intercambiar la información necesaria para conducir,
administrar y controlar sus operaciones.

Monitoreo.- Debe monitorearse el proceso total, y considerarse como necesario hacer

modificaciones. De esta manera el sistema puede reaccionar dinámicamente, cambiando a
medida que las condiciones lo justifiquen.

4
3. CONCLUSIONES

En vista del inminente crecimiento de las organizaciones, cada día se han visto en la tarea de
implementar controles a aquellas áreas de riesgo o procesos más susceptibles al error y al fraude.

El riesgo está presente en todos los procesos institucionales. Cuando el riesgo se origina o es
parte de la naturaleza de ésta actividad se denomina “riesgo inherente”. Este tipo de riesgo
dependerá de factores como el tamaño del negocio y el ambiente de control, factores que el
Auditor de verá evaluar al momento de realizar la primera y segunda fase de la Auditoria, como el
conocimiento del negocio y planeación preliminar.

También pueden existir controles que al implementarse no surjan el efecto preventivo, correctivo y
de un control posterior, a éste riesgo se lo denomina “riesgo de control”.
Así también, existe la incertidumbre que al implementarse los controles, no se detecte los errores
en los procesos, inclusive en el de Auditoria, a éste riesgo se lo conoce como “riesgo de no
detección”.

Una herramienta que se ha creado para mitigar estos riesgos, en cada una de sus etapas, es el
informe COSO. Este instrumento está conformado de 5 componentes importantes: ambiente de
control, valoración del riesgo, actividades de control, información y comunicación y monitoreo.

Estos componentes evalúan y analizan desde el capital humano hasta el seguimiento a los
controles instaurados.
Determina si cada una de las actividades presentan factores de riesgo que pueden ir desde la mala
distribución del trabajo en las áreas, hasta la falta de compromiso de la alta dirección de una
cultura de control estructurada, imprevista y sin organización.

Estos últimos factores, son fundamentales para que el personal que ejerce y realiza el control
implementen los mismos, ya que no existe el incentivo y la motivación para que éste nivel
jerárquico tome decisiones que afecten positivamente el resultado organizacional.

______________________________
BIBLIOGRAFÌA:
1 http://es.wikipedia.org/wiki/Riesgo

2 Mora Enguídanos Araceli (2008): Diccionario de contabilidad, auditoría y control de gestión.

Página 201. España: Editorial Ecobook.

3 De la Peña Gutiérrez Alberto (2011): Auditoria: Un enfoque práctico. Capítulo 2 El riesgo y la

evidencia en auditoria página 49. España: Editorial Paraninfo.

4 De la Peña Gutiérrez Alberto (2011): Auditoria: Un enfoque práctico. Capítulo 2 El riesgo y la

evidencia en auditoria página 52. España: Editorial Paraninfo.

5 http://es.wikipedia.org/wiki/Control_interno

6 Barquero Miguel (2013): Manual práctico de control interno: teoría y aplicación práctica. Capítulo

3 Control Interno. España: Profit Editorial.

7 Mantilla Samuel Alberto (2005): Control Interno Informe Coso. Capítulo 3 Framework. España.

ECOE Ediciones.