Documente Academic
Documente Profesional
Documente Cultură
Oscar Bize
CISM – CISA - CRISC
¿Qué entendemos por Riesgo?
Impacto
Probabilidad
¿Qué entendemos por objetivos de control?
Son políticas, procedimientos y prácticas establecidas para asegurar que los objetivos se
logren.
Otras consideraciones:
Deben estar incorporadas en las operaciones del negocio.
Se dividen en: operacionales, información financiera, cumplimiento y
estratégicos.
Enfocados en la prevención y detección.
Pudiendo ser manuales o automáticos.
Preventivo Detectivo
Integridad
Presentación Completitud
Datos
Entrada de
SAP, Oracle, Otras Aplicaciones
Ordenes de
Clientes
Controles Generales
Base de Datos Soporte Software Mantención &
Infraestructura TI Implementación
Seguridad Sistema Operativo
Seguridad Operaciones Soporte de Red
Networks
Continuidad Proveedores
Operacional Externos Soporte de Base
de Datos
¿Qué es el control interno?
Entender y
Analizar el
Negocio
Entender los
Entender la principales Entender los Entender los
estrategia, indicadores de principales principales
los negocio tanto procesos del Riesgos y
objetivos y financieros negocio Controles
el entorno como
operacionales
¿Qué implica entender el negocio?
Entender y
Analizar el
Negocio
Entender los
Entender la principales Entender los Entender los
estrategia, indicadores de principales principales
los negocio tanto procesos del Riesgos y
objetivos y financieros negocio Controles
el entorno como
operacionales
¿Qué entendemos por objetivos?
Proverbio oriental
Inversionistas
Misión
Mercado,
Directorio Visión
Valores
Políticas
Objetivos a nivel de
Alta Gerencia Entidad
(Gerente General y Objetivos
Gerentes de Estratégicos
División)
Entender y
Analizar el
Negocio
Entender los
Entender la principales Entender los Entender los
estratégia, indicadores de principales principales
los negocio tanto procesos del Riesgos y
objetivos y financieros negocio Controles
el entorno como
operacionales
¿Qué entendemos por procesos y/o subprocesos?
PROCESO
“…… Conjunto de actividades realizadas por las
personas y soportadas por herramientas y
tecnología que son diseñadas para alcanzar uno o
más objetivos institucionales ……”
SUBPROCESO
“….. Actividad o conjunto de actividades dentro de un
proceso…..”
Definiciones
TESORERIA INGRESOS
Procesos operacionales,
financieros y de gestión GENERACIÓN DE
EGRESOS PRODUCTO
COMPRAS O SERVICIOS
EGRESOS
NOMINA
Definiciones
Actividades Típicas
Selección de personal.
Relaciones laborales.
Tratamiento de conflictos de intereses.
Informes de asistencia.
Procesamiento y contabilización de la
nómina.
Pago de la nómina.
Definiciones
Actividades Típicas
Selección de proveedores.
Requisición y compra.
Recepción ( incluyendo control de calidad).
Cuentas por pagar.
Pago.
Definiciones
GENERACIÓN
DE PRODUCTO
/ SERVICIO
Actividades
Obtención de la información/datos
Validación de la información/datos
Procesamiento de la información/datos
Validación del resultado del procesamiento
Diseño de reportes
Emisión y/o publicación
¿Qué es un flujo?, ¿Para que sirve?
¿Cual es el objetivo?
Ejemplo
Algunas consideraciones
Documento
Consultas /
excepciones
Matrices de Controles
Ejemplo
Modelos de Control Interno
Control Interno
Controles de
Controles Tecnología
Financieros/ Informática
Operacionales
- COSO - - COBIT -
II I
IV III
SPCC01 SPCC02
Cobranza Otorgamiento de
Crédito
Riesgos
Evaluación de
Eventos de Riesgos Riesgos Factores de Riesgos Sub Proceso
P I G
FRCC22: Falta de evaluación de clientes considerando antecedentes comerciales y
financieros.
FRCC23: Falta de revisiones periódicas de los valores de los límites de crédito.
FRCC24: Error en registros de crédito otorgado en Maestro Clientes.
RICC06: Definición y/o mantención errónea de límites de FRCC25: Error en el cálculo de la fórmula que determina el monto de la línea de crédito a SPCC02
crédito superiores a la capacidad de pago de los clientes. otorgar.
FRCC26: Escritura pública solicitada a los clientes no ha sido revisada por el área Legal.
FRCC27: Otorgamiento de crédito por personal no autorizado.
FRCC28: Cobranza contabilizada en período distinto del cual fue recibido.
FRCC29: Falta en la oportunidad de recepción de documentos protestados desde el banco.
FRCC30: Falta de acciones de cobranza (tales como protesto en notaría y negociación por
RICC07: Registro contable erróneo, inoportuno u omisión de medio de garantía de pagaré) de clientes morosos.
FRCC31: Error u omisión en el ingreso de datos a sistema SAP. SPCC01
protestos, renegociaciones, aplicaciones de pago, y otros.
FRCC32: Registro de pagos por personal no autorizado.
FRCC33: Falta de conciliación entre el valor recibido y contabilizado como pago.
FRCC34: Registros de documentos de cobro en período posterior al de su emisión.
Un ejemplo: COSO y SOX
Controles de revelación y
procesos
Actividades/ Unidades
Ej. Sección 302 SOA:
Monitoreo Requerimiento para la gerencia de certificar
cada trimestre y anualmente la efectividad
de los controles de revelación.
Información &
Comunicación
Actividades de Controles internos de reportes
control financieros
n
Gestión de riesgo Ej. Sección 404 SOA:
2 Requerimiento para la gerencia de
Entorno de 1 anualmente efectuar un análisis de
control efectividad de sus controles internos
relacionados con los reportes financieros.
Componentes
Cobit y SOX
Requerimientos de
negocio
Controles Generales de
Tecnología Informática (GCC):
Infraestructura
Información.
Dominios
Personas
• Operaciones de los Sistemas de
Información
Procesos de TI
Información.
Aplicaciones