Evaluación del control interno por parte de los auditores

Evaluación del control interno

A mediados del año 2000, el precio de la acción de una empresa estadounidense de energía con sede en Houston, Texas, pasó de 90 US$ a menos de 1 US$. Finalmente, esta empresa se declaró en bancarrota y muchos de sus ejecutivos fueron sentenciados con penas de cárcel. Efectivamente, estamos hablando de Enron y, por ende, del que era su auditor, Arthur Andersen. Este escándalo financiero motivó la promulgación de nuevas regulaciones y leyes en la meca del capitalismo. Entre ellas, la Sarbanes-Oxley Act, en conmemoración al senador Paul Sarbanes y al representante Michael G. Oxley. Dicha ley abarca temas respecto la independencia del auditor, el gobierno corporativo y la evaluación del control interno. Y en este último punto nos vamos a centrar, en la evaluación del control interno por parte de los auditores.

Al momento de la planificación de nuestra auditoría, hemos de evaluar cómo vamos a llevar a cabo la misma. En este sentido, como auditores, realizaremos una evaluación del control interno sobre la información financiera implementado por parte de la entidad auditada a fin de concluir la mejor manera de abordar la auditoría de los Estados Financieros (en adelante EEFF). Si depositamos confianza en dicho control interno, procederemos a testear los controles establecidos, esto es, evaluando si existen suficientes controles, si éstos se ejecutan y, por último, evaluando la efectividad de los mismos.

Pero, ¿cómo llevamos a cabo la auditoría de control interno? Es importante, en este momento, hablar del COSO ERM 2017, que es la metodología más utilizada para este cometido. Se trata de un Marco Integrado para la Administración de Riesgos Empresariales (en adelante, ERM), alineado con la estrategia de la empresa. La citada metodología está basada en cinco pilares que, a su vez, soportan veinte principios, los cuales procedemos a detallar:

Pilar de Gobierno y cultura:

1. Ejerce la función de supervisar los riesgos del consejo
2. Establece estructuras operativas
3. Define la cultura deseada
4. Demuestra compromiso con los valores básicos
5. Atrae, desarrolla y retiene al personal capacitado

Como podemos apreciar, este primer pilar establece que el Gobierno fija el tono de la organización, reforzando la importancia y estableciendo responsabilidades de supervisión del ERM. La cultura se refiere a los valores éticos, conductas deseadas y el entendimiento del riesgo en la organización. En este punto revisaremos el Código de Ética, las reuniones y/comités de supervisión respecto los riesgos, el organigrama, y las políticas del área de Gestión de Personas, entre otros temas.

Pilar de Estrategia y Definición de objetivos:

6. Analiza el contexto de negocios
7. Determina el apetito de riesgo
8. Evalúa estrategias alternativas
9. Formula objetivos de negocio

En este pilar vamos a revisar cómo se analiza el contexto de los negocios y cómo se evalúan estrategias alternativas. ¿La empresa tiene un Planeamiento Estratégico? Es importante asegurarnos que la empresa establezca el apetito al riesgo, esto es, cuánto está dispuesta a arriesgar para la consecución de sus objetivos. Cabe recordar que dicho apetito al riesgo ha de estar alineado con la estrategia. Asimismo, el establecimiento de los objetivos de negocio servirá como base para identificar, evaluar y responder al riesgo. Recordemos que el riesgo se define como la incertidumbre sobre la consecución de los objetivos.

Pilar de Desempeño:

10. Identifica riesgos
11. Evalúa la severidad de los riesgos
12. Prioriza los riesgos
13. Implementa la respuesta ante los riesgos
14. Desarrolla la visión de la cartera

Como se ha mencionado anteriormente, una vez la empresa ha establecido sus objetivos, procedemos a identificar los riesgos inherentes, los cuales, en caso materializarse, podrían derivar en la imposibilidad de conseguir dichos objetivos. Posteriormente, evaluamos los riesgos identificados en términos de probabilidad e impacto, lo que nos llevará a tener un mapa de riesgos de la compañía. De este modo, dado que tenemos los riesgos evaluados, podemos realizar la priorización de los mismos. Es, en este momento, en el que revisamos la implementación de los controles a fin de asegurar que éstos mitigan los riesgos hasta un nivel aceptable, esto es, que se encuentren dentro del apetito al riesgo.

Análisis y revisión:

15. Evalúa cambios importantes
16. Revisa los riesgos y el desempeño
17. Busca mejorar la administración de riesgos empresariales

La administración y gestión de los riesgos empresariales se ha de realizar de forma periódica, esto es, los riesgos identificados y evaluados en el año anterior han de ser actualizados en la fecha actual. ¿Ha habido cambios importantes en la empresa? Todo ello tiene que ser debidamente actualizado.

Información, comunicación y presentación de informes:

18. Aprovecha la información y la tecnología
19. Comunica información sobre los riesgos
20. Elabora reportes de riesgos, cultura y desempeño

COSO ERM 2017 exige compartir la información a lo largo de la organización. Para ello, revisaremos si existen reportes de riesgos, cultura y desempeño. En definitiva, si toda la organización conoce sus riesgos y, por lo tanto, ejecuta los pertinentes controles mitigantes. 

Como conclusión, deberemos asegurarnos que la totalidad de los riesgos residuales se encuentran dentro del apetito al riesgo establecido por la Organización y, de ser el caso, existen planes de acción para reducir los riesgos hasta un nivel aceptable.