Aspectos clave de los controles LA/FT/FPADM

Las empresas obligadas a controlar el Riesgo LA/FT/FPADM requieren crear una Matriz de Riesgo LA/FT/FPADM para identificar los Factores de Riesgo relacionados. Una de las metodologías de control interno más aceptadas para este caso son las del Marco Integrado de Control Interno de COSO. Con la creación de la matriz mencionada, se establecen las líneas de defensa pertinentes, lo que lleva a la asignación de responsabilidades. Los controles creados son calificados según su diseño adecuado, adecuado con observación o inadecuado. Los que sean adecuados, a su vez, pueden ser valorados en su Eficacia Operativa.

Redacción INCP a partir de artículo publicado en Auditool

Para más información consulte el artículo titulado “¿Cómo redactar los controles LA/FT/FPADM?” publicado en Auditool.

¿Cómo redactar los controles LA/FT/FPADM?

Para controlar el Riesgo LA/FT/FPADM, las Empresas Obligadas deben adoptar, entre otras medidas, el establecimiento de metodologías y la creación de una Matriz de Riesgo LA/FT/FPADM para definir los mecanismos de control más adecuados y su aplicación a los Factores de Riesgo LA/FT/FPADM identificados.

Una de las metodologías de control interno más aceptadas son las del Marco Integrado de Control Interno de COSO, en el cual se definen las actividades de control como: “Las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos con impacto potencial en los objetivos».

Según su naturaleza, pueden ser preventivas o de detección y pueden abarcar una amplia gama de actividades manuales y automatizadas, tales como, autorizaciones, verificaciones, conciliaciones y revisiones de desempeño empresarial. La segregación de funciones normalmente está integrada en la definición y funcionamiento de las actividades de control.

Ahora bien, las empresas obligadas deberán tener el inventario de riesgos con la identificación del riesgo inherente. Luego, en la etapa de control establecer el riesgo residual objetivo (el riesgo que la entidad está dispuesta a asumir para el logro de sus objetivos) y el riesgo residual real (entendido como el riesgo remanente después que la gerencia haya tomado medidas para alterar su gravedad).

Ahora bien, el riesgo residual real puede ser mayor o menor que el objetivo, si es mayor deberán identificarse medidas adicionales de control y en el caso contrario se pueden identificar medidas innecesarias. Las respuestas de riesgo redundantes pueden ser eliminadas para permitir una asignación más eficiente de recursos. En la matriz de riesgo se deben identificar todas las actividades de control, que realizan las áreas y las que deberían realizar, nuestra sugerencia es incluir los siguientes ítems para su adecuado entendimiento:

Los aspectos en gris son responsabilidad del dueño del proceso (primera línea de defensa); sin embargo, uno de los errores que hemos observado es la falta de consistencia en la redacción de los controles por lo que algunas veces estos se repiten, por lo que la coordinación del oficial de cumplimiento en esta actividad es muy valiosa.

Las evaluaciones del diseño, implementación y de la operatividad el control debe ser lideradas por el Oficial de cumplimiento del diseño (Segunda línea de defensa). Si el oficial de cumplimiento no cuenta con el recurso disponible para realizar este tipo de evaluaciones deberá solicitar los recursos correspondientes a la Junta Directiva o quien haga sus veces para obtener los recursos necesarios y contratar las evaluaciones correspondientes.

Metodología de calificación de los controles

Como resultado de la evaluación de cada control en su Diseño, se puede clasificar con las siguientes definiciones: 

1. Diseño Adecuado: cuando un control se ha diseñado e implementado de manera tal que este:

  • Cumple con el objetivo.
  • Mitiga el riesgo al cual fue asociado en la matriz.
  • Previene y/o detecta y corrige oportunamente los errores en los estados financieros.
  • El ejecutor del control cuenta con la competencia necesaria para que el control funcione de manera eficaz.

2. Diseño Adecuado con Observación: cuando el control como un todo es apropiado en el diseño e implementación, pero se requiere realizar uno o varios cambios de forma. Estos cambios se definen como Ajustes Menores por:

  • Cambios en la frecuencia del control.
  • Cambios en tipo de control.
  • Responsables, si solo es un cambio de forma en la matriz.
  • Ajustes mínimos de redacción en la actividad de control.
  • Exceso de controles que pueden ser unificados a un control clave.

3. Diseño Inadecuado: cuando se presentan las siguientes premisas:

  • Desalineación entre el riesgo y el control (el control no es apropiado para mitigar los riesgos).
  • El control existente no está bien diseñado.
  • El control opera según se diseñó, pero no cumple el objetivo del control.
  • Existe una deficiencia en la implementación del control.
  •  El control no funciona según su diseño.
  • La persona que ejecuta el control no posee la autoridad o competencia necesaria para ejecutar el control eficazmente.
  •  La evidencia que soporta el control difiere con el propósito de este.
  • El diseño o la operación de un control no permiten que la gerencia o los empleados, en el transcurso normal de sus funciones asignadas prevengan o detecten y corrijan oportunamente los errores.

Los controles que son evaluados en su “Diseño” como: “Diseño Inadecuado” y en su “Implementación” como no implementados, no deben ser objeto de procedimientos para probar su Eficacia Operativa, ya que metodológicamente se considera que son inefectivos o sin población o no probados respectivamente.

La Eficacia Operativa del control se califica teniendo en consideración las siguientes definiciones:

a) Efectivo: cuando se determina que el control opera como fue diseñado y ejecutado por personas que poseen la autoridad o competencia necesaria para desarrollar el control efectivamente, satisfaga los objetivos de control de la Compañía y pueda prevenir o detectar errores o fraudes que pudieran resultar en un error material en los estados financieros.

b) Inefectivo: cuando un control apropiadamente diseñado no opera como fue diseñado, o cuando la persona que desarrolla el control no posee la autoridad necesaria o competencia para ejecutar el control efectivamente.

c) Sin Población: corresponde a controles que no tienen poblaciones en el periodo evaluado, por la frecuencia del control.

d) No probado: Corresponden a los controles que fueron calificados en diseño “Inadecuado” o “no probado”.

Por: Alexander Camargo – Auditool

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *