A la hora de realizar una auditoría, existen diferentes riesgos que pueden afectar este proceso de evaluación: riesgo inherente, riesgo de detección y riesgo de control.
Los riesgos inherentes son aquellos que hacen parte de la organización, es decir, tienen que ver con la actividad económica o negocio que esta realiza y a los que no se le han establecido medidas de control para su mitigación. El riesgo de detección tiene que ver con la posibilidad de que el auditor y su equipo no detecten la totalidad de los errores.
Y sobre el riesgo de control, también conocido como riesgo de control interno, podrás aprender más en este artículo: qué es, cómo puede presentarse y cómo puedes gestionarlo.
Antes de definir de qué se trata este riesgo, que como ya mencionamos es uno de los riesgos que se pueden presentar en auditoría, es importante recordar que una de las formas más utilizadas para el tratamiento de riesgos es el diseño e implementación de controles que pueden servir, por un lado, para disminuir la probabilidad de ocurrencia de los riesgos y por otro, para mitigar el impacto que causaría la materialización de estos.
Con esto claro, el riesgo de control tiene que ver con la posibilidad de que los controles internos que han sido diseñados e implementados por la organización no sean realmente efectivos, es decir, que no sean adecuados o suficientes para la prevención y detección de errores importantes o posibles fraudes en los diferentes procesos (operativos, financieros, informáticos, etc.).
En otras palabras, es el riesgo de que los controles no cumplan con el objetivo para el que fueron diseñados, que no sirvan como se esperaba, que fallen. Por eso, cuando los controles son eficaces, hay un menor riesgo de control y el equipo de auditoría puede establecer menos procedimientos, contrario a lo que puede ocurrir cuando el riesgo es alto, pues los procedimientos de auditoría a implementar deben ser mayores.
El riesgo de control puede presentarse por diferentes razones, por ejemplo:
Es una de las situaciones más comunes que pueden favorecer el riesgo de control y no se trata de otra cosa que tener controles mal diseñados, lo que significa que no son los más adecuados o eficaces para la mitigación de los riesgos a los que está expuesta la organización y por ende, hay una mayor probabilidad de que se presenten errores en los procesos e incluso, fraudes.
Puede darse cuando los controles a pesar de estar bien diseñados, no se implementan de la manera correcta, lo que por supuesto va a afectar su efectividad y no van a servir para el objetivo que fueron creados.
Cuando no se realiza un monitoreo permanente y adecuado para revisar qué tan efectivos están siendo los controles que han sido implementados en la organización, es muy probable que las fallas o inconvenientes que estos puedan tener no sean identificadas oportunamente para así poder corregirlos o implementar otros controles nuevos que sean más efectivos.
Aun sabiendo de la necesidad de diseñar e implementar controles para mitigar los riesgos, la organización no los tiene, lo que sin duda afecta la gestión de los riesgos y la exposición frente a estos, pues así es más probable que se materialice uno o más riesgos.
Otro aspecto que favorece el riesgo de control son los constantes cambios que pueden presentarse en el entorno regulatorio, operativo, tecnológico e incluso de personal pues los controles existentes pueden quedarse cortos y ser poco eficaces para hacer frente a los nuevos desafíos y exigencias del entorno. Por eso, la importancia de realizar un monitoreo permanente a los diferentes controles que se implementan en la organización.
La falta de conocimiento y de capacitación periódica del personal , así como la inadecuada supervisión o monitoreo de los procesos y los controles implementados, también contribuye a una baja efectividad de los controles, pues puede ocurrir que estén diseñados e implementados, pero no estén operando como se espera.
En algunas ocasiones puede ocurrir que los controles internos que han sido implementados sean manipulados por personal con malas intenciones, lo que sin duda aumentaría la probabilidad de que se materialice un determinado riesgo en la organización sin que esto pueda ser advertido a tiempo.
Al igual que ocurre con otros riesgos a los que está expuesta la organización, es importante gestionar de manera adecuada el riesgo de control, hacerlo puede contribuir a una mitigación más efectiva de los riesgos.
Para gestionar el riesgo de control es necesario:
En conclusión, el riesgo de control o riesgo de control interno se presenta cuando los controles que han sido diseñados e implementados por la organización no son efectivos y no cumplen con su propósito de mitigación de los riesgos. Para evitar esto, es importante gestionarlo y tomar medidas correctivas a tiempo.
Con Pirani podemos acompañarte a gestionar este y otros riesgos a los que están expuestos en tu organización. Crea tu cuenta gratis y conoce más o también, puedes agendar una reunión con uno de nuestros expertos para resolver tus inquietudes.