HERRAMIENTAS GUÍA RELACIONADA CON LA MATRIZ PARA LA EVALUACION DEL RIESGO La Matriz para la Evaluación del Riesgo se constituye en una herramienta de análisis en la fase de planificación del proceso de fiscalización operativa y evaluativa. Dicha herramienta, junto con el conocimiento adquirido por el equipo de fiscalizadores sobre la entidad y su entorno, orienta y facilita la identificación de las posibles áreas críticas a evaluar en la etapa de examen. 1. Objetivo de la Matriz. Proveer los insumos necesarios para la elaboración de la Matriz de Decisión Estratégica (MADE), que se utiliza en la priorización y selección de aquellas áreas que serán objeto de fiscalización en la etapa de examen. 2. Contexto de la herramienta. Esta herramienta se utiliza en la fase de planificación de los procesos de fiscalización, una vez que el equipo de fiscalizadores haya profundizado en el conocimiento de las áreas de indagación y efectuado una comprensión general del control interno de la entidad y como parte de la actividad de evaluación del riesgo total. Se confecciona como paso fundamental previo a la priorización y selección de las áreas críticas. Con el propósito de facilitar el empleo y de uniformar criterios con respecto a la Matriz para la Evaluación del Riesgo, es conveniente considerar que la comprensión general del control interno, insumo para elaborar la citada Matriz, se realiza con el enfoque que provee la Ley General de Control Interno No. 8292. Asimismo, es importante la comprensión de los siguientes términos1: a. Control interno: El control interno comprende la serie de acciones diseñadas y ejecutadas por la administración activa para proporcionar una seguridad razonable en torno a la consecución de los objetivos de la organización, fundamentalmente en las siguientes categorías: a) Proteger y conservar el patrimonio público contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal; b) Confiabilidad y oportunidad de la información; c) Eficiencia y eficacia de las operaciones; y d) Cumplir con el ordenamiento jurídico y técnico. b. Sistema de Control Interno: Sistema de control de la organización, cuyos componentes están relacionados entre sí por una finalidad común: alcanzar los objetivos establecidos por el nivel superior de la entidad. Los componentes funcionales de ese sistema son: el ambiente de control, la valoración del riesgo, las actividades de control, los sistemas de información y el seguimiento. c. Ambiente de control: Conjunto de factores del ambiente organizacional que deben establecer y mantener el jerarca, los titulares subordinados y demás funcionarios, para permitir el desarrollo de una actitud positiva y de apoyo al control interno y para una administración escrupulosa. Las definiciones fueron tomadas de la Ley Nro. 7428 del 7 de setiembre de 1994, del Manual de normas generales de control interno para la Contraloría General de la República y las entidades y órganos sujetos a su fiscalización, y del Informe COSO. 1 DFOE-ST Actualizado al: 30/06/2004 Versión: 1.1 3220-NIH-P-03 HERRAMIENTAS d. Valoración del riesgo: Identificación y análisis de los riesgos que enfrenta la institución, tanto de fuentes internas como externas relevantes para la consecución de los objetivos. El jerarca y los titulares subordinados deben emprender las medidas pertinentes para administrar dichos riesgos. e. Actividades de control: Políticas y procedimientos que permiten obtener la seguridad de que se llevan a cabo las disposiciones emitidas por la Contraloría General de la República, por los jerarcas y por los titulares subordinados para la consecución de los objetivos del sistema de control interno. f. Sistemas de Información: Conjunto de mecanismos y de sistemas para obtener, procesar, generar y comunicar de manera eficaz, eficiente y económica, la información financiera, administrativa, de gestión y de otro tipo requerida en el desarrollo de sus procesos, transacciones y actividades, así como en la operación de sus sistemas de control con miras al logro de los objetivos institucionales. g. Seguimiento: Las actividades que se efectúan en la organización deben estar sujetas a un proceso de monitoreo constante que permita conocer oportunamente si la institución marcha hacia la consecución de sus objetivos, encauza las labores hacia tales objetivos y toma las acciones correctivas pertinentes. Según el “Manual de normas generales de control interno para la Contraloría General de la República y las entidades y órganos sujetos a su fiscalización” el seguimiento constante del entorno se define de la siguiente forma: “El jerarca, en primera instancia, y por extensión, los titulares subordinados de todos los niveles de la organización, deben efectuar un monitoreo constante del ambiente interno y externo que les permita estar al tanto y tomar medidas oportunas sobre factores y condiciones real o potencialmente incidentes en el desarrollo de las funciones institucionales, la ejecución de los planes y el cumplimiento de los objetivos previstos.”. h. Riesgo inherente: Representa la posibilidad de que ocurran errores importantes en las áreas u operaciones que están siendo examinadas, en función de las características o particularidades de dichas áreas u operaciones. Algunos factores que pueden ser considerados en la evaluación del riesgo inherente son: Hechos o transacciones individualmente significativos. Naturaleza de la entidad y de los productos o servicios, incluyendo las facilidades de operación, la susceptibilidad a los desfalcos, las circunstancias económicas, las prácticas financieras y la estructura operativa. Naturaleza de los componentes, actividades y transacciones, la relevancia de los montos o saldos contables, las transacciones no registradas y otras irregularidades. DFOE-ST Actualizado al: 30/06/2004 Versión: 1.1 3220-NIH-P-03 HERRAMIENTAS Naturaleza de los sistemas contables y de información computadorizados en cuanto a su diseño y efectividad, dependencia de los sistemas para el manejo de la entidad, su alcance y complejidad. Existencia de incertidumbre o contingencias importantes. Existencia de grupos significativos de transacciones o deudores. i. Riesgo de control: Representa la posibilidad de que el sistema de control interno diseñado por la administración de la entidad u órgano fiscalizado, no detecte o prevenga los errores relacionados con la naturaleza de las operaciones. Entre los posibles factores generales por considerar en la evaluación del riesgo de control, a nivel de componente, se incluyen: Métodos utilizados por la administración para comparar los resultados reales con los planes y presupuestos, y el grado en que las diferencias son investigadas. Frecuencia en la preparación de la información operativa, administrativa y contable-financiera, para uso y revisión del nivel directivo. Contenido de los informes preparados para el nivel directivo y su utilización relacionados con: j. Niveles de producción de bienes y servicios Operaciones importantes pendientes de legalizar Valores por cobrar clasificados por antigüedad o detalle de cuentas significativas vencidas Cobros o pagos significativos Estadísticas de rotación de existencias Riesgo de detección: Representa el riesgo de que los procedimientos de auditoría aplicados por el equipo de fiscalización no detecten los errores importantes que hayan escapado al sistema de control interno diseñado o establecido por el ente u órgano fiscalizado. El nivel del riesgo de detección aumenta en la medida que disminuye la efectividad de los procedimientos de auditoría aplicados. El riesgo de detección se puede originar en los siguientes factores: No se evalúa toda la información disponible Posible ineficacia del procedimiento aplicado Posibles deficiencias en la aplicación de los procedimientos o en la evaluación de los hallazgos de auditoría El muestreo es uno de los aspectos que deben considerarse al determinar el riesgo de detección, por cuanto una muestra seleccionada y examinada puede no ser representativa para obtener conclusiones sobre el universo del cual fue extraída, obteniéndose como resultado una conclusión incorrecta sobre el universo. DFOE-ST Actualizado al: 30/06/2004 Versión: 1.1 3220-NIH-P-03 HERRAMIENTAS Las causas del riesgo de detección nunca pueden ser eliminadas del todo. Con el debido cuidado y el ejercicio de la destreza profesional, pueden ser reducidas a un nivel aceptable, mediante una buena planificación, supervisión y revisión. Los riesgos inherentes y los riesgos de control están fuera del manejo del equipo de fiscalización, pero no así el riesgo de detección. Variando la naturaleza, oportunidad y alcance de los procedimientos de auditoría se puede disminuir el riesgo de detección. 3. Empleo de la herramienta. Al completar la Matriz para la Evaluación del Riesgo (se adjunta modelo) debe aplicarse el siguiente procedimiento: a. En la columna (1) se detallan las potenciales debilidades de control interno que han sido visualizadas por el equipo de fiscalización, como producto de la comprensión general del control y el conocimiento del sujeto de auditoría y su entorno alcanzado a ese momento, según los cinco componentes de control interno, a saber: el ambiente de control, la valoración del riesgo, las actividades de control, los sistemas de información y el seguimiento. b. Para cada una de las potenciales debilidades indicadas en la columna (1) de la matriz, se debe establecer su relación con los objetivos del ente u órgano fiscalizado columna (2) de la matriz según éstos sean: de efectividad de las operaciones, de fiabilidad de los sistemas de información y de cumplimiento de la normativa. Dicha relación se establece al señalar con una X, el tipo de objetivo(s) que está(n) siendo afectado(s) con cada una de las potenciales debilidades determinadas. c. En la columna (3) se debe evaluar el riesgo de control según el diseño del sistema de control interno del ente u órgano fiscalizado, en relación con las potenciales debilidades determinadas por el equipo de fiscalización. Se clasifica el nivel de riesgo de control en alto, medio o bajo, colocando una X donde corresponda. d. Relacionar las potenciales debilidades de control interno con las unidades, sistemas, programas, actividades, productos o resultados esperados de la entidad u órgano fiscalizado, que están siendo afectados con esas potenciales debilidades; para ello, se deberá citar el nombre correspondiente en la columna (4). e. Para cada una de las unidades, sistemas, programas, actividades, productos o resultados esperados que se señalan en la columna 4 de la Matriz en comentario, establecer el nivel de riesgo inherente presente. Para clasificar el nivel de riesgo correspondiente, se utiliza una marca según la escala de alto, medio o bajo que se presenta en la columna (5). f. A continuación se debe establecer el nivel de riesgo de detección de la fiscalización; lo anterior, como derivación de los niveles de riesgo de control e inherente indicados, en ese orden, en las columnas (3) y (5). En tal sentido, se debe utilizar la “Tabla para la determinación del Riesgo de Detección Permitido”, la cual forma parte de la matriz para la evaluación del riesgo. DFOE-ST Actualizado al: 30/06/2004 Versión: 1.1 3220-NIH-P-03 HERRAMIENTAS En esta herramienta para cuantificar el riesgo de detección se debe relacionar el nivel de riesgo inherente establecido en el paso 5 del procedimiento (columna 5), con el riesgo de control (columna 3), y en donde se intersecan ambos niveles se obtiene el posible valor del riesgo de detección permitido, el cual se anota en la columna 6. g. Finalmente en la columna (7) se deberán realizar las anotaciones correspondientes sobre las posibles áreas críticas que, junto a un análisis de la información que posee el equipo sobre el conocimiento del sujeto de auditoría y su entorno, serán el insumo requerido para la elaboración de la Matriz de Decisiones Estratégicas (MADE) que se utilizará como herramienta para la priorización y selección de las áreas críticas que se evaluarán en la etapa de examen de los procesos de fiscalización. DFOE-ST Actualizado al: 30/06/2004 Versión: 1.1 3220-NIH-P-03