Control Interno

EL CONTROL INTERNO
Y LA GESTIN DE RIESGOS:
Seguridad Razonable para Alcanzar Objetivos
Jorge Badillo Ayala

Marzo 2011
CPA, CIA, CCSA, CISA, MBA
El Control Interno y la Gestin de Riesgos
2
1. Metodologas de Control Interno

2. Marcos metodolgicos de gestin de
riesgos
3. Definicin, objetivos y componentes de la
AGENDA
gestin de riesgos
4. Fases y productos de la gestin de riesgos
5. Riesgo y Control
Jorge Badillo Ayala

3
6. Enfoque top - down

7. Gestin de Riesgos en las Industrias.
8. Mapas de riesgo
AGENDA
Jorge Badillo Ayala

1. Metodologas de Control Interno
Jorge Badillo Ayala

4 CPA, CIA, CCSA, CISA, MBA
1.1. COSO
COSO
1.1. Evaluacin del Control Interno Mtodo COSO
COSO
C comitte (comit)
O of (de)
S sponsorig (auspiciantes)
O organizations (organizaciones)
1.2. COSO - Antecedentes
Debido a una serie de problemas identificados en el Gobierno de los

Estados Unidos de Amrica, empezando con el caso Watergate en la
dcada de los 70 y llegando a las dificultades financieras del Sistema de
Ahorro y Crdito en la dcada de los 80, la Comisin del Senado de los
EUA, Treadway Comission gestion la formacin del Commitee of
Sponsoring Organizations (Comit de Organizaciones Patrocinadoras),
conocido por sus siglas en ingls, COSO. Este Comit realiz una
investigacin sobre el conocimiento, aplicacin y mejora de los criterios de
control interno en las grandes corporaciones, las medianas y pequeas
empresas, incluyendo temas relacionados con el mejoramiento tcnico y el
alcance de las funciones de diseo, implantacin y evaluacin de los
controles internos integrados de las organizaciones.
1.3. COSO - Miembros
COSO estuvo y est conformado por organismos de profesionales de los

Estados Unidos de Amrica (EUA); inici la investigacin en 1986, sus
miembros son:
1. American Accounting Association (AAA),

2. American Institute of Certified Public Accountants (AICPA),
3. Financial Executive Institute (FEI),
4. Institute of Internal Auditors (IIA) y el
5. Institute of Management Accountants (IMA).
La misin de COSO es proveer liderazgo de pensamiento a travs del

desarrollo de marcos de trabajo y guas de orientacin sobre gestin de
riesgo corporativo, control interno y disuasin del fraude, diseados para
mejorar el desempeo institucional, el gobierno corporativo y reducir la
presencia de fraude en las organizaciones.
1.4. COSO Fecha de Publicacin
En septiembre de 1992 se public la versin en ingls denominado

Informe COSO. COSO cont con la asistencia tcnica permanente de
la firma Coopers & Lybrand para la investigacin.
La traduccin del Informe COSO fue realizada por la firma Coopers &
Lybrand y el Instituto de Auditores Internos, Captulo Espaa, y fue
publicada en 1997.
1.4. COSO Publicaciones
COSO
En cumplimiento de su misin, COSO ha emitido, entre otros, los siguientes
documentos que son parte fundamental de su valioso aporte al
fortalecimiento del control interno y la gestin de riesgos en muchas
organizaciones alrededor del mundo:
Control Interno Marco Integrado (1992).

Gestin de Riesgos Corporativos Marco Integrado (2004).
Control Interno sobre la Informacin Financiera Gua para pequeas
empresas cotizadas (2006).
Gua para la Supervisin de Sistemas de Control Interno (2009).
1.5. COSO Referente para otras metodologas de
Implementacin y evaluacin de CI.
Otros organismos profesionales de los pases industrializados han definido su

enfoque sobre el control interno, basados en los criterios definidos en el
Informe COSO, como los siguientes:
Criteria of Control (COCO), del Instituto Canadiense de Contadores

Certificados (CICA de las siglas del ingls);
Cadbury del Instituto de Contadores del Reino Unido;
King del Instituto de Contadores de Australia;
Vienot de Francia;
Entre los ms difundidos.
Adicionalmente existen regionalmente estos documentos:

MICIL Marco Integrado de Control Interno para Latinoamrica (sntesis y
adaptacin de COSO I).
CORRE Control de los Recursos y los Riesgos en Ecuador (sntesis de:
COSO I, COSO II (ERM), MICIL).
1.6. COSO MICIL Marco Integrado de Control
Interno para Latinoamrica.
En el ao 2000, el Proyecto ResponDabilidad/Anticorrupcin en las Amricas

(Proyecto AAA), financiado por la Agencia de los Estados Unidos para el
Desarrollo Internacional (USAID) y administrado por Casals & Associates, Inc.
(C&A), reconoci la necesidad de contar con un modelo que sirviera de marco
de control interno para las empresas y los gobiernos de la regin de Amrica
Latina. Luego de diversas consultas con funcionarios gubernamentales
responsables de la administracin financiera en Latinoamrica, lderes
empresariales y funcionarios de USAID en la regin y en Washington, DC, el
Proyecto AAA se comprometi a apoyar el desarrollo de dicho marco.
El Marco Integrado de Control Interno para Latinoamrica (MICIL) -resultado

de dicho esfuerzo- es un modelo basado en estndares de control interno para
las pequeas, medianas y grandes empresas desarrolladas por el Comit de
Organizaciones Patrocinadoras de la Comisin Treadway (Committee of
Sponsoring Organizations of the Treadway Commission-COSO).
1.7. COSO Definicin de Control Interno
El control interno se define como un proceso, efectuado por el consejo de

administracin, la direccin y el resto de personal de una entidad (todos),
diseado con el objeto de proporcionar un grado de seguridad razonable
en cuanto a la consecucin de objetivos dentro de las siguientes categoras:
1. Eficacia y eficiencia en las operaciones (OPERACIONES).

2. Informacin financiera confiable (REPORTES FINANCIEROS).
3. Cumplimiento de las leyes y normas aplicables (CUMPLIMIENTO).
Salvaguarda de los recursos de la entidad.

1.7. COSO Definicin de Control Interno
Definicin segn Informe COSO.

El control interno es un proceso efectuado por el consejo de administracin,
la direccin y el resto del personal de una entidad, diseado con el objeto
de proporcionar un grado de seguridad razonable en cuanto a la
consecucin de objetivos dentro de las siguientes categoras:
Eficacia y
eficiencia de las
operaciones
Cumplimiento de Fiabilidad de la
las leyes y informacin
normas aplicables financiera
COSO Control Interno
PROCESO
Medio no un fin en s mismo.
PERSONAS
No son solamente manuales de polticas y

formas, sino personas en cada nivel de una
organizacin.
SEGURIDAD RAZONABLE
No seguridad absoluta.
OBJETIVOS
El control interno est engranado para la

consecucin de objetivos de la organizacin.
1.8. COSO Componentes del Control Interno
Toda organizacin, independientemente de la actividad o del sector al que

pertenezca, requiere definir y desarrollar los siguientes componentes en el marco
integrado de control interno:
1. Ambiente de Control (y Trabajo),

2. Evaluacin de Riesgos,
3. Actividades de Control,
4. Informacin y Comunicacin (Sistemas de); y,
5. Supervisin (Monitoreo).
Entorno de
Control
Evaluacin de
Supervisin
los Riesgos
Informacin y Actividades
Comunicacin de Control
Monitoreo Informacin y
Informacin y
Comunicacin Comunicacin
Actividades de Control
Evaluacin del Riesgo
Ambiente de Control
COSO Marco Integrado de Control (Framework)
SU N
PE S IO
R VI
SE
GU
Y TO
N
I IE
M
N
IO
E
AC .D L
C
TS RO
N
CO TS
A
IO
N T .D E C T
IC
A N
AC
RO O
N
L C
U
RM
C O M U N IC A C IO N
M
IN F O R M A C IO N
O
FO
C
IN
DE
EV N
AL IO
UA
CI AC OS
RI
ES O LU SG
GO N D
E V A R IE
S E
L
O
AM TR
N
BI
EN CO
TE DE
DE TE
CO EN
NT BI
RO AM
L
COSO Marco Integrado de Control (Framework)
El MICIL incluye los cinco componentes de control interno que constituyen la base para construir
la pirmide con similares contenidos en los cuatro costados, en una demostracin de la solidez
del control interno institucional para el funcionamiento participativo, organizado,
sistematizado, disciplinado y sensibilizado (empoderamiento) del recurso humano para el
logro de los objetivos de la organizacin.
Los cinco componentes incorporados en la pirmide de control interno permiten observar de
manera objetiva la relacin existente entre cada uno de ellos, cuando el segmento asignado a
cada uno se junta con otro u otros componentes y la manera como la debilidad o la ausencia
de uno de ellos, promueve el desarrollo o facilita el deterioro del conjunto.
Los componentes de control interno presentan un esquema que partiendo del ambiente de
control como la parte ms amplia de la pirmide auspicia el funcionamiento efectivo de los
cuatro componentes (evaluacin de riesgo, actividades de control, informacin y comunicacin
y supervisin) que se asientan sobre l, llegando hasta el final y asegurando su
funcionamiento en todos los niveles de la organizacin.
El componente informacin y comunicacin es el ms dinmico y permite su interrelacin
desde la base de la pirmide (ambiente de control) hasta la cspide (supervisin). Mediante
los reportes procesados para los diferentes niveles y en varias instancias; regresa a la base
de la pirmide a travs de la comunicacin que se procesa desde la supervisin hacia los tres
componentes y as completar el proceso al llegar a la base de pirmide.
COSO Cubo COSO I
TO
S
E
N
N
IE
IO
TE
M
R
C
LI
IE
A
A C T IV ID A D 2
O
R
P
P
E
M
N
E
P
U
R
O
C
FI
M O N IT O R E O
A C T IV ID A D 1
IN F O R M A C IO N Y
C O M U N IC A C IO N
U N ID A D B
A C T IV ID A D E S D E
CO NTRO L
U N ID A D A
E V A L U A C IO N D E
R IE S G O S
A M B IE N T E D E
CO NTRO L O B J E T IV O
CO M PO NENTE
COSO - AMBIENTE DE CONTROL
Integridad y Valores ticos.

Estructura Organizativa
Autoridad Asignada y Responsabilidad
Asumida.
Administracin de los Recursos Humanos.
Competencia Profesional y Evaluacin del
Desempeo Individual.
Filosofa y Estilo de la Direccin.
Consejo de Administracin y Comits.
Rendicin de Cuentas y Transparencia.
COSO - EVALUACION DE RIESGOS
Objetivos de las organizaciones.

Riesgos Potenciales para la Organizacin.
Gestiones dirigidas al cambio.
COSO - ACTIVIDADES DE CONTROL
Anlisis de la Direccin.
Proceso de la Informacin.
Indicadores de Rendimiento.
Disposiciones legales puntuales.
Criterios tcnicos de Control Interno.
Estndares especficos.
Informacin generada.
Rendimientos esperados.
Otros criterios de control.
COSO -INFORMACION Y COMUNICACION
Informacin en todos los niveles.

Datos fundamentales en los estados
financieros.
Herramienta para la supervisin.
Informacin adicional y detallada.
Comunicacin de los objetivos de la
organizacin.
La comunicacin interna.
La comunicacin externa.
COSO - SUPERVISION Y SEGUIMIENTO
(MONITOREO)
Supervisin interna continua y externa

peridica.
Monitoreo continuo por la administracin.
Seguimiento interno.
Evaluaciones externas.
COSO
Matriz de Implementacin de Controles por Componente y Sub componente
No Componente Sub componente Controles a Responsable Plazo Indicadores de Observaciones.

. implementarse xito
1. Ambiente de A
Control.
1.1 B
.
1.2 C
.
1.n D
.
2. Evaluacin de A
Riesgos
2.1 B
.
2.2 C
.
2.n D
.
3. Actividades de
Control
4. Informacin y
Comunicacin
5. Monitoreo
COSO Puntos de Inters sobre el Control Interno
Un buen control interno NO garantiza el xito ...

PERO ... Un mal control interno SI garantiza el
fracaso.
Evaluacin de Control Interno.
Evaluacin de
Control Interno
Mtodos de Evaluacin del CI.
Mtodos de Evaluacin del Control Interno:
Cuestionarios.
Listas de Chequeo (check list).
Flujogramas.
Narrativo (descriptivo).
Mixto (combinacin de los metodos anteriores u
otras pruebas) .
Matrices.
Cuestionarios.
Los cuestionarios de control interno permiten evaluar el control
interno a travs de preguntas a las diferentes personas de una
organizacin.
Con relacin a los cuestionarios de control interno debe considerarse

los siguientes aspectos:
Se deben aplicar a personal relacionado con el componente

auditado en todos los niveles administrativos.
Es necesario verificar la veracidad de las respuestas.
Deben incluir preguntas corelacionadas y repreguntas para
establecer la consistencia de las respuestas.
Cuestionarios.
Es necesario evitar realizar preguntas no aplicables, para lo cual en
vez de utilizar cuestionarios estndar, debe elaborarse cuestionarios
que reconozcan las particulares caractersticas de cada empresa.
De ser posible podra ser til que al final del cuestionario firme el
empleado al que se le realizaron las preguntas.
Listas de Chequeo (check list).
Son una variante de los cuestionarios de control interno,

fundamentalmente sirven para listar requisitos, actividades, etapas de
un determinado proceso segn como debera realizarse (criterio) y
confrontarlo con lo que al efectuar la evaluacin se determina que
est sucediendo (condicin).
Flujogramas.
Es un mtodo muy til para evaluar el control interno, el flujograma es la
representacin grfica secuencial del conjunto de operaciones relativas a una
actividad o sistema determinado, su conformacin se la realiza a travs de smbolos
convencionales. Se denominan tambin diagramas de secuencia y constituyen una
herramienta para levantar la informacin y evaluar en forma preliminar las
actividades de control de los sistemas funcionales que operan en una organizacin.
Generalmente, se puede representar a travs de los flujogramas los procesos de:

abastecimientos, que integran compras y bodega; recaudaciones; tesorera;
remuneraciones, que integran sueldos, jornales y beneficios a empleados ,etc.
Flujogramas.
Para la elaboracin de los flujogramas se deben observar los siguientes aspectos:
Los procedimientos deben describirse secuencialmente a travs del sistema.

Describir los documentos que tengan incidencia contable.
Demostrar como se llevan los archivos y como se preparan los informes con
incidencia contable.
Demostrar el flujo de documentos entre las distintas unidades de la organizacin.
Identificar el puesto y quien efecta el procedimiento.
Para identificar los controles principales, el auditor recoger toda la informacin
pertinente relacionada con las transacciones como la documentacin y formatos.
Flujogramas.
Para actualizar los flujogramas se obtendr la informacin

normalmente, entrevistndose con el personal de la organizacin
sobre los procedimientos seguidos y revisando los manuales de
procedimientos en el caso que existieren.
Flujogramas.
Los flujogramas permiten al auditor:
Simplificar la tarea de identificar el proceso.
Orientar la secuencia de las actividades con criterio lgico, pues sigue el curso
normal de las operaciones.
Unificar la exposicin con la utilizacin de smbolos convencionales con las
siguientes ventajas para el usuario.
Visualizar la ausencia o duplicacin de controles, autorizaciones, registros,
archivos, etc.
Facilitar la supervisin a base de las caractersticas de claridad, simplicidad,
ordenamiento lgico de la secuencia.
Demostrar a las autoridades financieras las razones que fundamentan nuestras
observaciones y sugerencias para mejorar los sistemas o procedimientos
financieros.
Para la evaluacin del control interno no hay reglas ni mtodos rgidos a seguirse;
puesto que, el juicio del equipo de auditores desempea un papel muy importante.
Tipos de Flujogramas.
Por su estructura
Vertical Simple.
Vertical Compuesto.
Horizontal Simple.
Horizontal Compuesto.
Por la informacin que presentan

De gestin.
De gestin y control.
Integrales (gestin, riesgos y control).
Vertical Simple: Se grafica de manera vertical lo que sucede en un proceso (condicin)

o sino lo que debera suceder (criterio).
n = Hallazgo
Vertical Compuesto: Se grafica de manera vertical y comparativa tanto lo que sucede

en un proceso (condicin) como lo que debera suceder (criterio).
Condicin Criterio
(lo que sucede) (lo que debera suceder)
n = Hallazgo
Horizontal Simple: Se grafica de manera horizontal lo que sucede en un proceso

(condicin) o sino lo que debera suceder (criterio).
Actividad / Unidad Unidad A Unidad B Unidad C
n = Hallazgo
Horizontal Compuesto: Se grafica de manera horizontal y

comparativa tanto lo que sucede en un proceso (condicin) como lo
que debera suceder (criterio).
De gestin: Se grafica la gestin de un determinado proceso a travs de sus actividades

/ tareas.
n = Hallazgo
De gestin y control: Se grafica la gestin de un determinado proceso a travs de sus

actividades / tareas, y complementariamente se indica de manera grfica los controles
existentes.
C1
2
C2
Cn = Control
n = Hallazgo
Integral (gestin, riesgo y control): Se grafica la gestin de un determinado proceso a

travs de sus actividades / tareas, y complementariamente se indica de manera grfica
los riesgos y los controles existentes.
R1 C1
R2 1
C2
Rn 2
= Riesgo
Cn = Control
n = Hallazgo
Narrativo (Descriptivo).
Este mtodo consiste en elaborar un papel de trabajo en el cual se
resuma (describa, narre) por escrito el control interno del
componente auditado. Ser importante al final de la narracin,
resaltar analticamente las fortalezas y debilidades encontradas,
sealando la efectividad de los controles existentes.
Matrices.
El control interno tambin puede ser evaluado a travs de matrices,
que contengan los siguientes aspectos: 1) Listado de los controles
clave (importantes), 2) Asignacin de una ponderacin a cada
control, y 3) En base a los resultados obtenidos en la evaluacin de
cada control, asignar una calificacin.
El mtodo de matrices debera ser respaldado por los mtodos de

cuestionarios, flujogramas, narrativos u otros.
No. CONTROLES BSICOS Ponde racin Calificacin
o COMPONENTES DEL CONTROL INTERNO
1 Presentacin de Informes de fin de crianza con in- 10 7
formacin til, confiable y oportuna.
2 Niveles de aprobacin y Autorizacin para las adqui- 10 9

siciones.
3 Elaboracin de contratos para establecer la respon- 10 2

sabilidad de los proveedores e incluir clusulas que
salvaguarden los interses de la Institucin.
4 Evaluacin y control presupuestarios de los egresos 10 5
realizados para el proyecto.
5 Supervisin Tcnica del Proyecto. 10 1
6 Registros tcnicos del desarrollo de cada crianza 10 7

de aves, con firmas de supervisin y aprobacin.
7 Definicin de funciones y responsabilidades del Tc- 10 1

nico, entregadas por escrito.
8 Existe periodicidad en el reporte de informacin del 10 5

avance del proyecto, a fin de que sirva como herra-
mienta para la toma de desiciones gerenciales.
9 Existe un Registro de Proveedores Calificados para 10 1

las adquisiciones del Proyecto
10 Existe planificacin aprobado para el inicio de cada 10 9

crianza.
11 Se posee y cumple calendarios de adquisiciones de 10 5

los insumos requeridos para el Proyecto.
12 Ingreso a bodega de los insumos adquiridos. 10 7
Total 120 59
Resultado de la Evaluacin de Control Interno.
Calificacin del Riesgo:

CR = Calificacin del Riesgo. CR = CT x 100
CT = Calificacin Total. PT
PT = Ponderacin Total.
Proyecto Avcola: CR = 59 x 100

120
CR = 49,17 %
Nivel de Riesgo
Riesgo Confianza
Rojo 15% - 50% 49,17% Alto Bajo
Naranja 51% - 59% Mo. Alto Mo. Baja
Amarillo 60% - 66% Mo. Moderado Mo. Moderada
Verde 67% - 75% Mo. Bajo Mo. Alta
Azul 76% - 95% Bajo Alta
Proyecto Avcola:
Nivel de Riesgo = ALTO
Nivel de Confianza = BAJO

Mixto.
Este tipo de evaluacin es la aplicacin combinada de los mtodos:
cuestionarios, listas de chequeo, narrativo, matrices u otros que se
estime necesarios segn las circunstancias.
Aspectos a evaluar en un control.
Al evaluar un control se debe considerar los

siguientes aspectos (dimensiones de un control -
3D):
1. Diseo.
2. Implementacin.
3. Funcionamiento.
Control Self Assessment (CSA).
La Auto Evaluacin de Control (CSA) es una

importante herramienta que puede ayudar a los
auditores, gerentes y dems personal de una
organizacin para examinar y evaluar los
procesos de los negocios, la efectividad del
control y los riesgos existentes. CSA es una
herramienta participativa, interactiva y de
colaboracin para evaluar el control interno.
Alerta: excesivo nfasis

Alerta: excesivo nfasis
en la gestin (eficiencia
en el control descuidando
y efectividad) descuidando
a Gestin incrementa el
Controles incrementa el
riesgo de ineficiencia
riesgo de errores e
e inefectividad
irregularidades
GESTIN CONTROL
(eficiencia y efectividad) (Riesgo y Control)
--------------------------------------------------------
Eficiencia = Buen Uso de Recursos

Efectividad = Nivel en que se alcanza los resultados
Riesgo = Evento que podra impedir el logro de un objetivo
Control = Polticas y procedimientos para (enfoques):

(+) Alcanzar lo que SI se quiere
( - ) Evitar lo que NO se quiere
La Gerencia: Corrige La Gerencia: Planifica
errores y/o reitera y la gestin y el control
replica aciertos de la organizacin
Actuar Planificar
(Act) (Plan)
Evaluaciones
Complementarias Verificar Hacer
(Check) (Do)
La Gerencia: Evaluacin de la La Gerencia: Ejecuta la
gestin y el control; permanente,
por parte de quien hace el gestin y el control de
proceso, con menor independencia la organizacin
y objetividad (Self Assessment).
Auditora: Evaluacin de la
gestin y el control; peridica, por
parte de quien conoce el proceso,
con mayor independencia y
objetividad.
Certificacin CCSA.
La certificacin en Auto Evaluacin de
Control (CCSA) es un programa de
certificacin especial que ofrece el Instituto
de Auditores Internos a todos aquellos
profesionales relacionados con el control
interno y la administracin de riesgos de las
organizaciones.
Temas del Examen CCSA.

El examen CCSA mide el entendimiento que tiene el candidato
sobre los principios fundamentales de CSA, sus procesos y
temas relacionados como el riesgo, controles y objetivos del
negocio.
El examen comprende los siguientes temas:
I Fundamentos de CSA.
II Programa de integracin CSA.
III Elementos en los procesos de CSA.
IV Objetivos del negocio y desempeo organizacional.
V Identificacin del riesgo y evaluacin.
VI Teora del control y aplicacin.
2. Marcos metodolgicos de gestin de riesgos
Jorge Badillo Ayala

2.1. Marcos metodolgicos de Gestin de Riesgos
A continuacin se lista los principales marcos metodolgicos sobre gestin de riesgos:
Gestin de riesgos corporativos.

Estndar AS NZS 4360:1999 de Gestin de Riesgos (Australiano Neozelands 1999)
Estndar AS NZS 4360:2004 de Gestin de Riesgos (Australiano Neozelands 2004)
COSO ERM /Enterprise Risk Management (2004)
Basilea II Gestin de Riesgos en Entidades Financieras (2004)
ISO 31000:2009 Gestin de Riesgos Principios y Directrices (2009)
ISO 73:2009, el vocabulario de gestin de riesgos
ISO/IEC 31010:2009 Risk management -- Risk assessment techniques
Gestin de riesgos de Tecnologa de la Informacin TI.

COBIT Control Objectives for Information and related Technology (ISACA)
Risk IT (ISACA)
ISO 27005 Gestin del Riesgo en la Seguridad de la Informacin
MAGERIT - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
(Gobierno de Espaa)
OCTAVE - Operational Critical Threat, Asset and Vulnerability Evaluation - Evaluacin de
Amenazas y Vulnerabilidades de Recursos Crticos Operacionales (Carnegie Mellon
University)
2.2. COSO ERM
COSOERM
Enterprise Risk Management
2.2.1. COSO ERM Fecha de Publicacin
En septiembre de 2004 se public la versin en ingls del COSO ERM

(Enterprise Risk Management Integrated Framework).
La traduccin al espaol del COSO ERM fue realizada por la firma

auditora PricewaterhouseCoopers PWC y la Federacin Latinoamericana
de Auditores Internos FLAI, y fue publicada en diciembre de 2005
2.2.2. COSO ERM Antecedentes
CMO SE INICI ERM?

ERM comenz en las empresas de servicios financieros, seguros,
servicios pblicos, petrleo, gas, e industrias manufactureras
qumicas
Por qu ah?
- En estas industrias los riesgos estn bien documentados y
medidos.
- Comnmente se utilizan sofisticados modelos estadsticos.
- Existe entendimiento y supervisin sobre la sensibilidad del
mercado y riesgos
Riesgo y Control
3. Definicin, objetivos y componentes de la gestin de

riesgos
Jorge Badillo Ayala

3.1. COSO ERM Definicin
ERM es un proceso efectuado por el Directorio, la Gerencia y otro personal,

aplicado en el establecimiento de estrategias y a travs de toda la empresa
(en cada nivel o unidad), diseado para identificar eventos potenciales que
puedan afectar a la entidad, y gerenciar los riesgos que se encuentren dentro
de su apetito de riesgos, con el propsito de proveer de una certeza
razonable acerca del logro de los objetivos de la entidad en las categoras:
1. ESTRATEGICO (esta categora no inclua COSO I).

2. Eficiencia y efectividad de las Operaciones (OPERACIONES).
3. Confiabilidad de la Informacin (REPORTES).
4. Cumplimiento (CUMPLIMIENTO).
3.2. COSO ERM Componentes
El COSO - ERM est integrado por ocho componentes:
1. Ambiente Interno.
2. Establecimiento de Objetivos.
3. Identificacin de Eventos.
4. Evaluacin de Riesgos.
5. Respuesta al Riesgo.
6. Actividades de Control.
7. Informacin y Comunicacin.
Ambiente Interno
Establecimiento de Objetivos
Identificacin de Eventos
Evaluacin de Riesgo
Riesgo Inherente y Cualitativo, Cuantitativo y Correlacin

Probabilidad e Impacto
Residual Tcnicas
Antes de acciones Esperado, Peor Cualitativo Secuencia de eventos
gerenciales escenario, distribucion Cuantitativo Categorias
Despus de acciones Horizonte de Tiempo Objective Setting
Bases Inherentes Prueba de Stress sobre
gerenciales Unidad de medida y residuales eventos extremos
Esperadas e Datos observables Escenarios
Inesperadas
Respuesta al riesgo
Actividades de Control
Informacin y Comunicacin
Monitoreo
COSO ERM Comparacin cubos
Internal Environment
Objective Setting
Event Identification
Risk Assessment
Risk Response
Control Activities
Information and Communication
Monitoring
3.2. COSO - COSO ERM
Control Interno COSO Administracin de Riesgos

Empresariales ERM
Control Interno es un proceso, La administracin de riesgos
ejecutado por el consejo directivo, la empresariales es un proceso, ejecutado
administracin y otro personal de una por el consejo directivo, la administracin
entidad, designado para proporcionar y otro personal de una entidad, aplicado
seguridad razonable referente al logro en el
de objetivos en las siguientes categoras:establecimiento de estrategias en toda
la empresa, designado para identificar
1. Efectividad y eficacia de operaciones eventos potenciales que pudieran
2. Confiabilidad en reportes financieros afectar a la entidad, y administrar los
3.Cumplimiento con las leyes y riesgos para mantenerlos dentro de su
reglamentos aplicables apetito de riesgo, proporcionar
seguridad razonable referente al logro
de objetivos .
3.2. COSO ERM - Componentes
1. Ambiente Interno.
2. Establecimiento de Objetivos.
3. Identificacin de Eventos.
4. Evaluacin del Riesgo.
5. Respuestas al Riesgo.
6. Actividades de Control.
7. Informacin y Comunicacin.
COSO ERM
1) Ambiente Interno
Es el punto central de todos los otros componentes

del ERM, provee disciplina y estructura.
COSO ERM
2) Establecimiento de Objetivos
Los objetivos pueden ser visualizados en cuatro categoras:
1. Estratgicos.
2. Operacionales.
3. De confiabilidad de la Informacin.
4. De cumplimiento.
COSO ERM
3) Identificacin de Eventos
Un evento es un incidente u ocurrencia, de fuentes internas o externas a una

entidad, que puede afectar la implementacin de la estrategia o el logro
del objetivo.
Los eventos se clasifican en positivos y negativos. Los negativos son riesgos

y los positivos son oportunidades.
COSO ERM
4) Evaluacin del Riesgo
La empresa debe evaluar los eventos que pueden afectar el logro

de objetivos desde dos perspectivas:
Probabilidad.
Impacto.
COSO ERM
5) Respuesta al Riesgo
Las respuestas al riesgo caen en cuatro categoras:
1. Evitarlo
2. Reducirlo.
3. Compartirlo.
4. Aceptarlo.
COSO ERM
Las respuestas al riesgo caen en cuatro categoras:
1. Evitarlo: Implica dejar las actividades que generan el riesgo (dejar de

elaborar un producto o servicio, dejar un mercado, o vender una
divisin de la empresa.
2. Reducirlo: Consiste en implementar acciones para disminuir la
probabilidad y /o el impacto del riesgo.
3. Compartirlo: Trasladar parte de la probabilidad y/o el impacto del
riesgo a otros (seguros, tercerizacin, franquicias)
4. Aceptarlo: Implica no realizar ninguna accin para afectar la
probabilidad y/o el impacto del riesgo.
COSO ERM
6) Actividades de Control
Polticas y procedimientos que ayudan a asegurar que las

respuestas al riesgo son apropiadamente ejecutada.
Ocurre a travs de todos los niveles de la organizacin.

COSO ERM
7) Informacin y Comunicacin
Informacin pertinente (interna y externa) debe ser identificada,

capturada y comunicada en una forma y marco de tiempo que permita al
personal llevar a cabo sus responsabilidades.
La comunicacin efectiva puede ocurrir en un sentido amplio, de arriba

hacia abajo y viceversa, y a todo nivel de toda la entidad.
COSO ERM
8) Supervisin (Monitoreo).
Todo el proceso debe ser supervisado y las modificaciones deben ser

realizadas segn se necesiten.
De esta manera el sistema puede reaccionar dinmicamente,

cambiando segn las condiciones lo requieran.
COSO ERM - Beneficios
BENEFICIOS DE ERM
Alinea el apetito de riesgo y la estrategia.
Relaciona crecimiento, riesgo y retorno.
Ampla las decisiones de respuesta al riesgo.
Minimiza sorpresas y prdidas operacionales.
Identifica y administra riesgos a lo largo de toda la organizacin.
Proporciona respuestas integradas a los mltiples riesgos.
Toma ventaja de las oportunidades.
Mejora la distribucin de capital.
COSO ERM Limitaciones
Algunas limitaciones del control son:

Criterio. Tomar malas decisiones (errores de juicio en la toma de
decisiones).
Fracasos. La gente que tiene la responsabilidad de la gestin de

riesgos puede equivocarse.
Disfunciones del Sistema.- Errores por mala interpretacin,

negligencia, distraccin, dejadez, fatiga.

Transgregacin Gerencial.- Un gerente puede eludir
intencionalmente las prcticas establecidas debido a fines
inadecuados (inobservancia gerencial a las polticas o
procedimientos prescritos).
Colusin. Dos o ms personas pueden colaborar para quebrar

controles (confabulacin).
Costo - Beneficio. Los recursos son limitados (los gerentes aceptan

correctamente un grado de riesgo cuando el costo del control de ese
riesgo excede el beneficio).
4. Fases y productos de la gestin de riesgos
Jorge Badillo Ayala

4. Fases y Productos de la Gestin de Riesgos
Fases de la Gestin de Riegos

Productos clave de cada fase
1) Establecimiento de Objetivos
Plan estratgico
Mapa de procesos
Cadena de valor
Matriz de objetivos procesos de negocio
2) Identificacin de Eventos
Inventario de Riesgos
83 Jorge Badillo Ayala

4. Fases y Productos de la Gestin de Riesgos
3) Evaluacin de Riesgos
Matrices de evaluacin de riesgos
Mapas de Riesgos (Inherentes y Residuales)
Matriz de Respuesta al Riesgo

5. Riesgo y Control
Jorge Badillo Ayala

5.1. Riesgo
Cualquier asunto que podra evitar

alcanzar los objetivos
5.1. Riesgo (cont.)
En el sentido ms amplio significa:
Exposicin a la adversidad
frente a un resultado esperado o deseado.

5.1. Riesgo (cont.)
Segn Glosario.
Riesgo. Es la posibilidad de que ocurra un
acontecimiento que tenga un impacto en el alcance de
los objetivos. El riesgo se mide en trminos de
consecuencias y probabilidad.
Riesgo Residual Son los riesgos que permanecen
despus de que la Direccin haya realizado sus
acciones para reducir el impacto y la probabilidad de
un acontecimiento adverso, incluyendo las actividades
de control en respuesta de un riesgo.
Interpretacin acadmica
Es una medida de incertidumbre que involucra el
logro de los objetivos institucionales, lo que incluye las
consecuencias y probabilidad de que un evento
negativo ocurra.
5.1. Riesgo (cont.)
Segn diccionario.
Es la posibilidad o proximidad de un peligro o
contratiempo // cada uno de los hechos
desafortunados que puede cubrir un seguro //
conjunto de circunstancias que pueden
disminuir el beneficio empresarial// estar
expuesto a que se frustre el resultado
deseado o a padecer alguna desgracia.
El riesgo es por si mismo una condicin de la

existencia, es inherente a cualquier recurso o
actividad; por ello el riesgo no se crea ni se
destruye; solo se transforma.
5.1. Riesgo (cont.)
El problema como contingencia del riesgo
La gama de riesgos que se enfrentan en una entidad depende, entre

otros, de los siguientes factores:
El volumen de los recursos.
La complejidad de las actividades.
Estructura organizativa.
Magnitud de recursos y productos.
Giro de la empresa.
Nivel de tecnificacin alcanzado.
Lapso y momento evolutivo de la entidad.
Marco competitivo nacional e internacional.
La velocidad con que se desenvuelve la
entidad.
5.1. Riesgo (cont.)
DIFERENCIAS ENTRE PROBLEMAS Y RIESGOS

Caractersticas Problema Riesgos
Controles insuficientemente Detectivos y correctivos Preventivos
aplicados
Latencia en el tiempo Temporal Permanente
Posibilidad de medicin Ms cuantificable Menos cuantificable
Existencia Real Posible
Elemento generador Agentes externos e internos Por naturaleza
Asignacin de prioridad a su De acuerdo a emergencia Segn experiencia e intuicin
estudio y tratamiento
Posibilidad de anlisis para identificacin Mayor Menor
de causas y repercusiones
Evidencia Existente Inexistente

Momento de aparicin Presente Futuro
5.1. Riesgo (cont.)
RIESGOS AGRUPADOS POR NIVEL JERRQUICO

Hechos/causas Riesgos/efectos
Directivo
Indecisin Estancamiento de la entidad
Desconocimiento del entorno Sanciones legales
Desconocimiento de la entidad Inaplicabilidad de directrices
Imprecisin organizativa Conflicto interfuncional
Gerencial
Descoordinacin Ineficiencia
Desvaloracin Desmotivacin
Irresponsabilidad Fuga de recursos
Desinformacin econmica Incosteabilidad
Especialista
Desactualizacin Inaplicabilidad
Desestandarizacin Discontinuidad
Descalificacin Inoperabilidad
Desorientacin Incompatibilidad
Incompetencia Incosteabilidad
Operativo
Desacato Conflicto operativo
Desconocimiento Errores
Deshonestidad Fraude
Desinters Merma
Desobligacin Accidentes
5.2. Riesgo - Elementos
Los elementos del riesgo son:
1. Indeterminacin.- Existen por lo menos dos sucesos.
2. Prdida.- Uno de los sucesos es indeseable.

5.3. Riesgo - Tipos
Los tipos de riesgo son:

1. Riesgo Inherente.- Riesgo para la entidad en ausencia de cualquier
accin realizada por la administracin para alterar la probabilidad
o el impacto.
2. Riesgo Residual.- Riesgo remanente despus de la accin realizada
por la administracin para alterar su probabilidad o impacto.
Riesgo Inherente
Respuesta al riesgo
(Control Interno)
Riesgo
Residual
5.4. Control
CONTROL
es cualquier cosa que se haga para manejar riesgos de fracaso en

la obtencin de los objetivos corporativos.
CONTROL RIESGOS
5.5. Riesgo y Control Visin del Riesgo
PASADO PRESENTE Y FUTURO
El monitoreo de riesgo es una funcin El monitoreo de riesgo es

exclusiva de los auditores internos. responsabilidad de todos.
El riesgo es un factor negativo a ser Elriesgo puede considerarse tambin
controlado. como una oportunidad.
Los riesgos son administrados en forma Los riesgos son administrados a travs
aislada. de un proceso integrado.
La medicin de riesgos es subjetiva. El riesgo es casi siempre cuantificado
Las funciones de administracin de La administracin de riesgos es
riesgos no estn estructuradas y son implementada dentro de una estructura
divergentes. integrada.
La revisin de riesgos se realiza La revisin de riesgos acontece a
peridicamente por la auditora interna. travs de auto evaluacin constante.
5.6. Riesgo y Control Metodologa de Gestin de Riesgos
ESTRUCTURAR EVALUAR CONTROLAR

IDENTIFICAR
LA GESTION DE LOS RIESGOS LOS RIESGOS
LOS RIESGOS
RIESGOS
Consecuencia Identificar, evaluar y
Qu puede
Estrategias Probabilidad seleccionar controles
suceder?
Organizacin Nivel de riesgos Manual de Control de
Cmo?
Polticas Priorizacin Riesgos
Por qu?
Criterios Anlisis de brechas Implementar controles
CAPTURAR INFORMACION Y REPORTAR
MONITOREAR PERFORMANCE Y CUMPLIMIENTO
METODOLOGIA DE GESTION DE RIESGOS

5.7. Productos del Proceso de Administracin de Riesgos
1. Mapa de Procesos (vinculado con los objetivos corporativos)

2. Inventario de Riesgos (general y detallado por procesos).
3. Anlisis sobre Impacto Probabilidad (votacin).
4. Mapa de Riesgos.
5. Matriz de Administracin de Riesgos (controles a implementarse
para: evitar, reducir, compartir o aceptar el riesgo)
5.8. Mapa de Procesos Ejemplo de una empresa de
microfinanzas
ADAPTACION DEL ESQUEMA DE CLASIFICACION DE PROCESOS
Desarrollado por American Productivity & Quality Center y Arthur
Andersen
ENTENDER LOS MERCADOS Y CLIENTES
Procesos Operativos
DESARROLLAR LA VISIN Y ESTRATEGIAS
DISEAR
MARKETING Y
PRODUCTOS DEPSITOS CRDITOS
VENTAS
O SERVICIOS
ATENCIN AL
FONDEO INVERSIONES SERVICIOS
CLIENTE
Procesos de Gestin y
GESTIN DE RECURSOS FINANCIEROS Y FSICOS
GESTIN DE TECNOLOGA DE INFORMACIN

Soporte
GESTIN DE RELACIONES EXTERNAS
GESTIN DE RECURSOS HUMANOS
GESTIN AMBIENTAL
GESTIN DEL CAMBIO Y MEJORAR

5.9. Ejemplo de una empresa de microfinanzas Proceso :
Crdito
C6
Procesamiento
de pagos
C7
Refinanciaci
Refinanciacin y
Reprogramaci
Reprogramacin
C11
C2 C3 C10
C1 C4 C5 C8 Cancelaci
Cancelacin y
Evaluaci
Evaluacin y Formalizaci
Formalizacin Castigos
Promoci
Promocin Desembolso Seguimiento Cobranzas Levantamiento
Aprobaci
Aprobacin de Garant
Garantas
de Garant
Garantas
C9
Ejecuci
Ejecucin de
Garant
Garantas
C12 Control de documentos

5.10. Inventario de Riesgos Ejemplo de una empresa de
microfinanzas
5.11. Modelo de Riesgos de Protiviti.
5.12. Categoras de Riesgos del IIA.
Riesgo de reputacin
Riesgo
Imagen
Estratgico
Prdida de oportunidad
Riesgo de operacin Riesgo financiero

Fallas en los sistemas Riesgo de crdito
Errores humanos Riesgo de crdito directo
Procedimientos inadecuados Riesgo de colocacin
Controles inadecuados Riesgo de liquidez
Fraude Liquidez de mercado
Riesgo de desastres Liquidez individual
Riesgo legal Riesgo de mercado
Riesgos regulatorios Riesgo de tasa
Cambios regulatorios Riesgo de precio
Lavado de dinero . Riesgo de tipo de cambio

5.13. Procesos de Votacin
IMPACTO
PROBABILIDAD
5.14. Mapa de Riesgos
Estimacin de Probabilidad e Impacto
Impacto Alto Impacto Alto Impacto

Baja Probabilidad Alta Probabilidad
Bajo Impacto Bajo Impacto

Baja Probabilidad Alta Probabilidad
Probabilidad
5.15. Matriz de Riesgos
6. Enfoque top - down
Jorge Badillo Ayala

6.1. Enfoque top down para la comprensin de los
objetivos, riesgos y controles clave del negocio
Enfoques de comprensin de modelo de negocio: objetivos procesos.

Enfoque Descripcin
Top down Se inicia al nivel de entidad considerando los objetivos de la organizacin, luego se identifican los
procesos clave fundamentales para el cumplimiento exitoso de los objetivos (un proceso se considera
clave para un objetivo si de manera directa el funcionamiento inadecuado del procedimiento se
refleja en el incumplimiento parcial total del objetivo). Posteriormente se debe realizar un anlisis
detallado de los procesos clave considerando sus subprocesos y actividades.
Este enfoque permite identificar un grupo manejable de procesos crticos. Generalmente este enfoque
es aplicado por un equipo de personas que tienen un amplio conocimiento y perspectiva de la
organizacin, aunque no posean un conocimiento detallado de las actividades de cada rea.
Bottom up Este enfoque inicia con la observacin y anlisis de los procesos a nivel de actividad, se requiere que
cada rea identifique y documente los proceso en que interviene, y posteriormente se analiza y
enlaza cada procedimiento hacia los objetivos de la organizacin.
Este enfoque requiere la participacin de personas con un conocimiento detallado de las actividades
de los diferentes procesos aunque no tengan un conocimiento global de la organizacin (que si lo
deber tener quien integre finalmente los procesos con los objetivos), es aplicable en organizaciones
pequeas con un nmero limitado de procesos, pero resulta poco efectivo y aplicable en
organizaciones grandes y complejas con un gran nmero de procesos, en estas circunstancias resulta
complicada la priorizacin de los procesos ms relevantes.
6.2. Comprensin de Objetivos y procesos de negocio
relacionados
Procesos de negocio
Las empresas estructuran las actividades en (1) procesos de negocio o (2) proyectos. Si bien existen
algunos procesos comunes entre las empresas, la combinacin exacta y la estructura sern exclusivas
de cada una. Incluso dentro de la empresa, puede existir una considerable variabilidad en los
procesos entre cmo las empresas estructuran sus actividades para implementar sus estrategias y
lograr sus objetivos de negocio (organizacionales).
Existen tres tipos de procesos de negocio: procesos operativos, procesos de gestin y respaldo y
proyectos.
Para la mayora de las empresas, los procesos operativos incluyen los principales procesos a travs
de los cuales la empresa logra sus objetivos ms importantes. Para una empresa manufacturera, los
procesos operativos seran los procesos a travs de los cuales fabrica y vende sus productos. Para
los proveedores de servicios, como una firma de consultora o una institucin financiera, los procesos
operativos seran los procesos a travs de los cuales comercializa y entrega sus servicios. Las
entidades gubernamentales, como el cuerpo de bomberos de la ciudad u organizaciones sin fines
de lucro (por ejemplo, los Boy Scouts), tambin tienen procesos operativos a travs de los cuales
entregan sus servicios. Una vez que se disea el producto o servicio (), estos procesos () se
consideran esencialmente continuos y se repiten muchas veces en un ciclo comercial. A travs de
estos procesos, las empresas crean valor y lo entregan directamente a sus clientes..
109 Jorge Badillo Ayala Fuente: IIA - RF
relacionados
Comprensin de los procesos de negocio

Para que los auditores internos puedan agregar valor y mejorar el desempeo de
la empresa, primero deben comprender su modelo de negocio. El modelo de
negocio incluye los objetivos de la empresa y la forma en que los procesos de
negocio se estructuran para lograr estos objetivos. Abarca la visin, la misin y los
valores, as como tambin el conjunto de lmites de la empresa, es decir, qu
productos o servicios entregar, a qu clientes o mercados apuntar y qu canales
de suministro y entrega utilizar. Si bien el modelo incluye las estrategias y la
direccin tctica sobre cmo la empresa realizar su implementacin, tambin en l
se incluyen las metas anuales que establecen los pasos especficos que la empresa
adoptar al ao siguiente y las medidas correspondientes al logro esperado.

relacionados
Comprensin de los procesos de negocio (cont.)

Si bien todos los miembros de la empresa, incluidos los auditores internos, deben
contar con informacin bsica acerca de los objetivos de la empresa, existen
muchas fuentes con informacin ms detallada acerca de la estrategia de la
empresa. Estas son:
Las declaraciones de visin y misin.
Los objetivos organizativos (estratgicos, operativos, de elaboracin de
informes y de cumplimiento).
Las declaraciones de valor.
Las metas anuales de la empresa.
Las metas anuales de los principales ejecutivos.
Las presentaciones de planificaciones estratgicas y los documentos
relacionados.

relacionados
Comprensin de los procesos de negocio (cont.)

Para las compaas que cotizan en bolsa, se requieren fuentes
adicionales como presentaciones reglamentarias (por ejemplo, para las
compaas que cotizan en bolsa en Estados Unidos, la presentacin del
formulario 10-K ante la Comisin del Mercado de Valores (SEC]) e
informes de analistas, que contienen una perspectiva externa sobre las
estrategias de la compaa. Si bien la visin, la misin, los valores y los
objetivos de una empresa son relativamente estables de ao a ao, la
funcin de la auditora interna debe actualizar peridicamente la
informacin acerca de la estrategia de la empresa. Por lo general, esto
se debera hacer una vez por ao al revisar las metas anuales de la
empresa y de la direccin ejecutiva..

relacionados
Existen dos enfoques que se pueden adoptar para comprender los procesos de
negocio y su rol en el modelo de negocio: un enfoque de arriba hacia abajo y un
enfoque de abajo hacia arriba. En el enfoque de arriba hacia abajo, se
comienza en el nivel de la entidad, con los objetivos de la empresa, y luego se
identifican los procesos clave que son fundamentales para el xito de cada uno
de esos objetivos. Un proceso es considerado clave en relacin a un objetivo
especfico si la imposibilidad del proceso para funcionar correctamente produce
como consecuencia directa la incapacidad de la empresa para lograr ese
objetivo. Por ejemplo, si un objetivo especfico fuera incrementar el valor de los
accionistas al provocar un constante crecimiento en las ganancias operativas
(histricamente, 12% al ao), (). Algunos procesos pueden no ser clave para un
objetivo especfico pero podran serlo para otro objetivo.

relacionados
Adems, en el ejemplo anterior, si bien el proceso de cierre de cuentas mensual podra no ser un
proceso clave para el objetivo de crecimiento de ganancias, sera un proceso clave para un
objetivo organizativo y tal como "proporcionar informacin contable que sea confiable y
oportuna". Una vez identificados los procesos clave, se analizan con mayor detalle, dividiendo el
proceso en niveles de subprocesos y llegando finalmente al nivel de actividad. Este enfoque
resulta eficaz porque produce un conjunto manejable de procesos crticos. No obstante, existe la
posibilidad de pasar por alto los procesos que son crticos y, sin embargo, se omiten. Por lo
general, este enfoque es adoptado por un equipo de personas que tiene una amplia perspectiva
de la empresa pero no cuenta con un conocimiento detallado de cada rea.
El enfoque de abajo hacia arriba comienza observando todos los procesos directamente en el
nivel de la actividad. Este enfoque requiere que cada rea de la empresa identifique y
documente los procesos de negocio en los que participa. Esto debe estar a cargo de las personas
del rea que participan en las actividades reales. Luego los procesos identificados se integran en
toda la empresa. Si bien este enfoque funciona perfectamente para las empresas pequeas que
tienen una cantidad de procesos relativamente limitada, resulta menos eficaz en las empresas
grandes y complejas ya que es engorroso priorizar la importancia de cada proceso en relacin
con los otros.
6.2. Comprensin de Objetivos y procesos
de negocio relacionados
Una vez identificado el proceso, el prximo paso en el enfoque de arriba hacia abajo o de
abajo hacia arriba es determinar los objetivos clave del proceso. Fundamentalmente, para
determinar los objetivos clave, se deben responder las siguientes preguntas:
Por qu existe el proceso?
Cmo el proceso respalda la estrategia de la empresa y contribuye a su xito?
Cmo se espera que acten las personas?
Qu otro aporte del proceso resulta importante para la direccin?
Para un auditor interno, o para una persona que no participa directamente en el proceso, la
primera fuente de informacin es la persona a cargo del proceso y la documentacin existente
sobre polticas y procedimientos relacionados con el proceso. En una situacin ideal, la persona a
cargo del proceso debe establecer los objetivos formales del proceso que proporcionen las
respuestas a las cuatro preguntas ante. De lo contrario, el auditor deber trabajar con las
principales personas que participaron en el proceso para obtener la informacin.
Una vez identificados los objetivos del proceso, el prximo paso es observar los aportes del
proceso y las actividades especficas que fueron necesarios para lograr los objetivos (resultados
del proceso)..
6.2. Comprensin de Objetivos y procesos
de negocio relacionados (cont.)
Para comprender cmo los aportes y las actividades se combinan para generar el producto,
comience con una revisin de los documentos existentes. Estos deben incluir:
Manuales de procedimiento para procesos.
Polticas relacionadas con el proceso.
Descripciones de los trabajos de las personas que participaron en el proceso.
Mapas del proceso que describen el flujo del proceso.
Si bien los documentos son el comienzo, es necesario, por lo general, analizar los aspectos del
proceso con las personas que realizaron las principales actividades.
Para lograr una comprensin del proceso es necesario, adems de identificar los objetivos clave,
comprender cmo la direccin y la persona encargada del proceso saben que el proceso se est
realizando como se pretende. La persona encargada del proceso debe establecer los indicadores
clave de desempeo (KPI, en ingls) que se utilizan para supervisar el desempeo del proceso.
Estos indicadores deben ser perceptibles (se pueden medir objetivamente), deben ser relevantes
para el objetivo (no se deben utilizar slo porque se pueden cuantificar), deben estar disponibles
de manera oportuna y se deben comunicar a las perdonas que participaron en el proceso.

relacionados
Los objetivos pueden ser considerados en las siguientes categoras:

Estratgicos
Operaciones (eficientes y efectivas)
Reportes confiables
Cumplimiento (normas internas y externas)

relacionados
Los procesos de negocio deben ser identificados considerando la

cadena de valor de la organizacin. A nivel de macro procesos puede
considerarse los siguientes niveles:
Procesos gobernadores
Procesos ejecutivos
Procesos operativos
Procesos de soporte

relacionados
Ejemplo de cadena de valor con macro procesos de negocio.
Fuente: Ernst & Young

4.2. Identificacin de objetivos y riesgos
Descripcin
Una vez que se tiene identificados los objetivos de negocio y los procesos clave
correspondientes se procede a la identificacin de los riesgos que podran impedir
el logro de los objetivos.
La capacidad de comprensin de los riesgos de negocio de parte del auditor
interno es fundamental y determinar el grado en que se podr agregar valor a la
organizacin a travs de los trabajos de auditora interna.
Para cumplir con esta actividad se debe establecer una matriz de Objetivos y
Riesgos.
4.3. Evaluacin del riesgo
Utilizando el modelo de evaluacin de riesgos (), se pueden colocar en la matriz los

distintos riesgos del modelo bsico de riesgos del negocio (). Comnmente, esto se
lleva a cabo en una sesin de grupo de la alta direccin o, si esta no se encuentra
disponible, se lleva a cabo en una sesin de grupo de la direccin y del personal ms
experimentado de la funcin de auditora interna. Es preferible trabajar con la alta
direccin y con los gerentes de operaciones ya que son los que comprenden mejor los
riesgos en sus reas de responsabilidad. En esta reunin, se analizan los riesgos y se
llega a un consenso respecto del impacto, la probabilidad y la posicin del riesgo en la
matriz. La combinacin del impacto y la probabilidad determina la importancia de los
riesgos. (). Estos riesgos presentan el desafo ms importante para cumplir con los
objetivos organizativos.

4.3. Evaluacin del riesgo (cont.)
Esquema de mapa de riesgos

MODELO DE EVALUACIN DE RIESGOS
Extremo 15 19 22 24 25
Alto 10 14 18 21 23
I
M
P
A Medio 6 9 13 17 20
C
T
O Bajo 3 5 8 12 16
Insignificante 1 2 4 7 11
Remota Improbable Posible Probable Inevitable

(0-10%) (10-25%) (25-50%) (50-90%) (90-100%)
Probabilidad
Riesgos crticos
Impacto
Extremo: >$80m - Amenaza la existencia continua. Riesgos altos
Alto: $15-$80m - Difcil para lograr los objetivos de negocio.
Medio: $2-$15m - Presenta desafos para el logro de Riesgos moderados
algunos objetivos de negocio.
Bajo: $0,5-$2m - Algunos resultados no deseados. Riesgos bajos
Insignificante: <$0,5m - Sin impacto notable sobre los objetivos.
Fuente: IIA - RF
7. Gestin de Riesgos en las Industrias.
Jorge Badillo Ayala

7. Gestin de riesgos en las industrias
Business Risk Report 2010 (Ernst & Young)


Top 10 risks (2009 rankings in brackets)
1. Regulation and compliance - regulaciones y
cumplimiento (2)
2. Access to credit acceso al crdito (1)
3. Slow recovery or double-dip recession (No
change) lenta recuperacin o doble
profundizacin en la crisis (no cambio)
4. Managing talent - gestin del talento (7)
5. Emerging markets mercados emergentes (12)
6. Cost cutting reduccin de costos (6)
7. Non-traditional entrants entrantes no
tradicionales (5)
8. Radical greening ecologismo radical (4)
9. Social acceptance risk and corporate social
responsibility (new) riesgo de aceptacin social
y responsabilidad social corporativa (nuevo)
10. Executing alliances and transactions - Ejecucin
de alianzas y transacciones (7)






Top 10 risks (2009 rankings in brackets)
1. Regulation and compliance - regulaciones y
cumplimiento (2)
2. Access to credit acceso al crdito (1)
3. Slow recovery or double-dip recession (No
change) lenta recuperacin o doble
profundizacin en la crisis (no cambio)
4. Managing talent - gestin del talento (7)
5. Emerging markets mercados emergentes (12)
6. Cost cutting reduccin de costos (6)
7. Non-traditional entrants entrantes no
tradicionales (5)
8. Radical greening ecologismo radical (4)
9. Social acceptance risk and corporate social
responsibility (new) riesgo de aceptacin social
y responsabilidad social corporativa (nuevo)
10. Executing alliances and transactions - Ejecucin
de alianzas y transacciones (7)

7. Gestin de Riesgos en la Industria
Universidad de California (USA)
Modelo de Madurez Gestin de Riesgos

Excelente Avanzadas capacidades para identificar , medir, administrar todas las exposiciones a riesgos dentro
de lo tolerado
Avanzada implementacin, desarrollo y ejecucin de parmetros de ERM
Consistentemente optimiza la rentabilidad ajustada al riesgo a travs de la organizacin
Fuerte Clara visin de la tolerancia al riesgo y perfil de riesgo global
Control de Riesgos excede lo adecuada para la mayora de los principales riesgos
Tiene procesos slidos para identificar y prepararse para los riesgos emergentes
Incorpora la gestin de riesgos y toma de decisiones para optimizar la rentabilidad ajustada al
riesgo
Adecuado Estn en pleno funcionamiento los sistemas de control establecidos para la totalidad de sus
principales riesgos
Puede faltar un proceso slido para la identificacin y preparacin para los riesgos emergentes
Realiza una buena gestin de riesgos clsica "silo
No completamente desarrollada proceso para optimizar la rentabilidad ajustada al riesgo
Dbil Proceso de control incompleto para uno o ms riesgos importantes
Inconsistente o limitada capacidad para identificar, medir o controlar las exposiciones de riesgo
importantes CPA, CIA, CCSA, CISA, MBA
Fuente: www.ucop.edu
7. Gestin de riesgos en la industria:

ADMINISTRACIONES TRIBUTARIAS
Jorge Badillo Ayala

1.6. Gestin de riesgos en la industria:
ADMINISTRACIONES TRIBUTARIAS

ADMINISTRACIONES TRIBUTARIAS (Fuente: CIAT)





8. Mapas de riesgo.
Jorge Badillo Ayala

8. Mapas de riesgo Perfil de Riesgo Inherente
142 Jorge Badillo Ayala Fuente : IIA Research Foundation

8. Mapas de riesgo Perfil de Riesgo Inherente
Prioridad Riesgo Inherente
Nivel1 (en otro mapa
nivel 2)
Significativo > $XXM 5 5 2 1
L
1

Alto $XXM 4 9 7 4 3 2
A
Severidad del Impacto
3
Moderado $XXM 3 10 8 6
4
Bajo $XXM 2
5
Limitado $XXM 1 6
1 2 3 4 5
7
Impacto financiero medido en una

base anual < 10% 30% 60% 90% > 90% 8
No Altamente
Ligera Probable Esperado
probable Probable 9
Probabilidad de Ocurrencia
10

Fuente : Ernst & Young
8. Mapas de riesgo Perfil de Riesgo Residual
Alta 25.0
Riesgo Riesgo Residual
Residual Nivel 1 (en otro mapa nivel 2)
4
20.0 Monitorear 1
Mejorar 2
6 Controles 2
(Impacto x Probabilidad)
3
Exposicin al Riesgo
1 12
15.0 3
8 9
4
10
10.0 7
5
5
11 6
Monitorear Aceptar 7
5.0
Riesgos
8
9
0.0
Baja
1.0 2.0 3.0 4.0 5.0 10
Bajo Administracin/Nivel de Control Alto 11
Nivel 1 = Riesgo residual de 6.0 o ms Nivel 2 = Riesgo residual entre 4.0 y 6.0 12
Riesgo Residual= ((Impact ox Probabilidad) x (1-(Administracin y Nivel de Control /5)) + (0.2 x (Impact ox Probabilidad)))

8. Mapas de riesgo

8. Mapas de riesgo
5. Extremo
ALTO 4 4 4 4 4
4. Severo
3 3
4 4 4
3. Moderado
IMPACTO 2 2
3 3
4
2. Reducido
1 1 2 3 3
1. No Significativo
BAJO 1 1 1 2 3
1. Escasa 2. Poco 3. Posible 4. Probable 5. Extrema

Probable
PROBABILIDAD
BAJA ALTA

8. Mapas de riesgo
NIVEL DESCRIPCIN
Requiere accin inmediata. Moviliza a toda la

Riesgo
4 Extremo
organizacin.
Riesgo inaceptable.
Requiere la intervencin de la Alta Gerencia.

Riesgo Alto
3 Riesgo generalmente inaceptable.
Requiere la asignacin de responsabilidades a la

Riesgo
2 gerencia respectiva.
Moderado
Riesgo generalmente aceptable.
Se maneja con procedimientos rutinarios.

1 Riesgo Bajo
Riesgo aceptable.

8. Mapas de riesgo

Fuente : IMA
8. Mapas de riesgo

Fuente : IMA
Impacto vs. Probabilidad
Alto
Riesgo Medio Riesgo Alto
I
M
P Compartir Mitigar & Controlar
A
C
T Riesgo Bajo Riesgo Medio
0
Aceptar Controlar
Bajo PROBABILIDAD Alto
www.theiia.org
Ejemplo: Evaluacin de
Riesgos de un Call Center
Alto
Riesgo Medio Riesgo Alto
Riesgo de crdito
Prdida de telfonos Cliente tiene largo tiempo esperando
I Prdida de computadores Cliente no puede conseguir a travs
M de
Cliente no puede conseguir
P respuestas
A
C
T Riesgo Bajo Riesgo Medio
O Ingreso de errores
Fraude
Prdida de transacciones Obsolescencia del equipo

Moral de los empleados Lamadas repetidas por el
mismo problema
Bajo PROBABILIDAD Alto
www.theiia.org
GRACIAS
jgbadillo@espe.edu.ec
jgba1975@hotmail.com

Control Interno

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Control Interno

Transféré par

Droits d'auteur :

Formats disponibles

EL CONTROL INTERNO

Jorge Badillo Ayala

1. Metodologas de Control Interno

Jorge Badillo Ayala

6. Enfoque top - down

Jorge Badillo Ayala

1. Metodologas de Control Interno

Jorge Badillo Ayala

Debido a una serie de problemas identificados en el Gobierno de los

COSO estuvo y est conformado por organismos de profesionales de los

1. American Accounting Association (AAA),

La misin de COSO es proveer liderazgo de pensamiento a travs del

En septiembre de 1992 se public la versin en ingls denominado

Control Interno Marco Integrado (1992).

Otros organismos profesionales de los pases industrializados han definido su

Criteria of Control (COCO), del Instituto Canadiense de Contadores

Adicionalmente existen regionalmente estos documentos:

En el ao 2000, el Proyecto ResponDabilidad/Anticorrupcin en las Amricas

El Marco Integrado de Control Interno para Latinoamrica (MICIL) -resultado

El control interno se define como un proceso, efectuado por el consejo de

1. Eficacia y eficiencia en las operaciones (OPERACIONES).

Salvaguarda de los recursos de la entidad.

Definicin segn Informe COSO.

No son solamente manuales de polticas y

El control interno est engranado para la

Toda organizacin, independientemente de la actividad o del sector al que

1. Ambiente de Control (y Trabajo),

Evaluacin del Riesgo

Integridad y Valores ticos.

Objetivos de las organizaciones.

Informacin en todos los niveles.

Supervisin interna continua y externa

Matriz de Implementacin de Controles por Componente y Sub componente

No Componente Sub componente Controles a Responsable Plazo Indicadores de Observaciones.

Un buen control interno NO garantiza el xito ...

Mtodos de Evaluacin del Control Interno:

Con relacin a los cuestionarios de control interno debe considerarse

Se deben aplicar a personal relacionado con el componente

Listas de Chequeo (check list).

Son una variante de los cuestionarios de control interno,

Generalmente, se puede representar a travs de los flujogramas los procesos de:

Los procedimientos deben describirse secuencialmente a travs del sistema.

Para actualizar los flujogramas se obtendr la informacin

Por la informacin que presentan

Vertical Simple: Se grafica de manera vertical lo que sucede en un proceso (condicin)

Vertical Compuesto: Se grafica de manera vertical y comparativa tanto lo que sucede

Horizontal Simple: Se grafica de manera horizontal lo que sucede en un proceso

Actividad / Unidad Unidad A Unidad B Unidad C

Horizontal Compuesto: Se grafica de manera horizontal y

De gestin: Se grafica la gestin de un determinado proceso a travs de sus actividades

De gestin y control: Se grafica la gestin de un determinado proceso a travs de sus

Integral (gestin, riesgo y control): Se grafica la gestin de un determinado proceso a

El mtodo de matrices debera ser respaldado por los mtodos de

2 Niveles de aprobacin y Autorizacin para las adqui- 10 9

3 Elaboracin de contratos para establecer la respon- 10 2

5 Supervisin Tcnica del Proyecto. 10 1

6 Registros tcnicos del desarrollo de cada crianza 10 7

7 Definicin de funciones y responsabilidades del Tc- 10 1

8 Existe periodicidad en el reporte de informacin del 10 5

9 Existe un Registro de Proveedores Calificados para 10 1

10 Existe planificacin aprobado para el inicio de cada 10 9

11 Se posee y cumple calendarios de adquisiciones de 10 5

12 Ingreso a bodega de los insumos adquiridos. 10 7

Calificacin del Riesgo: