n la administración pública mexicana hay dos referentes para la evaluación del control interno y la gestión de riesgos, estos son:
Los dos referentes en forma general se apegan a la metodología del Committee of Sponsoring Organizations of the Treadway (COSO).
Las técnicas que se mencionan por la SFP y la ASF en materia de control interno son guías para los entes públicos que conforman el Gobierno federal con el fin de llevar al cabo la evaluación del control interno y una correcta gestión de riesgos.
Conforme a las disposiciones y el manual administrativo de referencia, los elementos del sistema de control interno son los siguientes:
Fuente: elaboración propia con datos del Acuerdo por el que se emiten las Disposiciones y el Manual Administrativo de Aplicación General en Materia de Control Interno.
Como se ha mencionado, los elementos del sistema de control interno son: el modelo estándar de control interno, la metodología general de administración de riesgos y el funcionamiento del Comité de Control y Desempeño Institucional (Cocodi). En este artículo se describen las técnicas de administración de riesgos y su proceso para identificar y definir, tanto las estrategias como las acciones de control para responder a los riesgos que se presenten en los entes públicos del Gobierno federal.
La técnica en la administración de riesgos es un elemento fundamental del sistema de control interno; define que los riesgos deben ser analizados de acuerdo con su probabilidad de ocurrencia e impacto para determinar cómo deben ser administrados a efecto de reducir o eliminar dichos riesgos dentro de los límites aceptados. Esta técnica consta de las siguientes etapas:
Considera los objetivos estratégicos del ente público, así como sus principales procesos
Identifica y describe los riesgos inherentes en los cuales opera el ente público
Considera la probabilidad de ocurrencia e importancia relativa de los riesgos
Se establecen políticas de control
Se comparan los valores que generan los riesgos contra el valor que generan los controles establecidos
Es el documento en donde se describen los riesgos y políticas de control
Representan todas las actividades de respuesta y su costo de implementación
Fuente: elaboración propia con datos del Acuerdo por el que se emiten las Disposiciones y el Manual Administrativo de Aplicación General en Materia de Control Interno.
El titular del ente público, el responsable de la administración y, en su caso, el órgano de gobierno debe identificar riesgos en todos los procesos institucionales, ya sean sustantivos o administrativos; realizar la evaluación de riesgos y establecer las políticas de control para su administración y mitigación; para su evaluación periódica se puede contratar a un despacho externo para certificar la implementación de un correcto control interno.
Además, se debe tener presente (en todo momento) la identificación, evaluación y análisis del riesgo de fraude y corrupción con el objetivo de establecer las políticas de control y así evitar que sucedan; y, en su caso, contratar seguros y fianzas.
Las acciones que permiten identificar, analizar y responder a los riesgos son las siguientes:
Se deben considerar los tipos de eventos que puedan impactar a la institución
Fuente: elaboración propia con datos del Acuerdo por el que se emiten las Disposiciones y el Manual Administrativo de Aplicación General en Materia de Control Interno.
Para el análisis de riesgos se utiliza la matriz de administración de riesgos, en la cual, cada uno de los riesgos se ubican en los cuadrantes de esta herramienta: el primer cuadrante representa una probabilidad y ocurrencia alta; el segundo, alta probabilidad y baja ocurrencia; el tercero, probabilidad y ocurrencia baja; el cuarto, baja ocurrencia y alta probabilidad.
La matriz refleja el diagnóstico general actual de la institución con respecto de los problemas detectados, lo que permite identificar las estrategias y áreas de oportunidad en la institución; para esto, se consideran las etapas de la metodología de administración de riesgos y se grafica en el mapa uno o más riesgos que permitan vincular la probabilidad de ocurrencia y el impacto de éstos en el ente público.
Fuente: elaboración propia con datos del Acuerdo por el que se emiten las Disposiciones y el Manual Administrativo de Aplicación General en Materia de Control Interno.
Las estrategias que se pueden implementar para aminorar los riesgos a los que está expuesta la institución son:
Eliminar factores que puedan provocar la materialización del riesgo
Establecer acciones para disminuir la probabilidad de ocurrencia e impacto
Cuando hay baja probabilidad de ocurrencia y grado de impacto, o cuando sólo pueden establecerse acciones de contingencia
Trasladar a un externo con servicios tercerizados (que debe tener la experiencia) y pueden ser por protección o cobertura, aseguramiento o diversificación
Distribuir parcialmente o segmentar con las posibles consecuencias y canalizarlo a diferentes unidades administrativas
Fuente: elaboración propia con datos del Acuerdo por el que se emiten las Disposiciones y el Manual Administrativo de Aplicación General en Materia de Control Interno.
En materia de control interno, se establece que el proceso de administración de riesgos debe iniciarse el último trimestre de cada año, con la disposición de un grupo de trabajo en el que participen los titulares de todas las unidades administrativas responsables de los procesos de la institución: el titular del órgano fiscalizador, el coordinador de control interno y el enlace de administración de riesgos. Se debe reflejar, en dicho proceso, la designación de responsables y las actividades a realizar; todo esto, en un cronograma que permita dar seguimiento a las estrategias y acciones, el cual se denomina Programa de Trabajo de Administración de Riesgos (PTAR).
Ante un ambiente cambiante, se debe dar seguimiento a la evaluación de riesgos estableciendo un calendario de evaluación y seguimiento de las políticas de control implementadas. Al final de cada año se va a elaborar un reporte del comportamiento de los riesgos que debe estar directamente relacionado con la matriz de administración de riesgos del año anterior y, en el cual, se especifiquen:
Se ha planteado lo referente a la técnica de administración de riesgos en las instituciones del gobierno mexicano y está integrada por instrumentos y mecanismos administrativos que son adoptados por las dependencias y entidades para prevenir riesgos de operación en el cumplimiento de los objetivos y metas; contribuir al correcto ejercicio de los recursos públicos; y anticipar posibles actos de corrupción.
En materia de control interno, se establecen los elementos de administración de riesgos para la definición, análisis y seguimiento de las estrategias y acciones del ente público como un medio para contribuir al logro de sus metas y objetivos.
Asimismo, se exponen las definiciones del mapa de riesgos, la matriz de administración de riesgos y de las estrategias, así como las acciones de control establecidas en los elementos de control interno que se van a utilizar para responder a los riesgos; se resalta que la matriz de administración de riesgos es la parte fundamental de la herramienta que refleja el diagnóstico general de los riesgos para identificar las estrategias y áreas de oportunidad del ente público.
Se deben realizar las revelaciones suficientes y necesarias para que los usuarios de la información financiera tengan la oportunidad de conocer los cambios contables y la corrección de errores.
Juan Carlos Bojorges PérezLas organizaciones han adoptado el compliance tributario como una herramienta para llevar el control de sus obligaciones fiscales.
Roberto Vázquez ValdezEs importante revisar los productos que se van a importar, así como tener en cuenta los requisitos que se deben cumplir para poder ingresarlos al país.
Rosaura Aguilar PeñaSerá hasta finales de este año cuando esta norma entre en vigor y pueda ser aplicable a los trabajos de auditoría de estados financieros en las empresas.
José Luis Zamora Morales© 2024 Colegio de Contadores Públicos de México, A.C.
Directorio Contacto Aviso legal Acerca de VeritasInicia sesión o suscríbete para continuar leyendo.