Conceptos

de Riesgos y Control Interno

Oscar Bize
CISM – CISA - CRISC
 ¿Qué entendemos por Riesgo?

 Corresponde a un evento que de

materializarse afectaría los Objetivos
definidos.

 El riesgo de negocio se refiere a la

amenaza de que un evento o acción afecte
en forma adversa la capacidad de la
organización para lograr los objetivos
empresariales y/o llevar a cabo sus
estrategias en forma exitosa.

 Los riesgos de negocio surgen tanto de la

probabilidad de que algo bueno no
ocurra como de la amenaza de que algo
malo ocurra (interna o externamente).
 ¿Por qué y como se administran los
riesgos del negocio?

El aumento de la complejidad de los negocios, y el incremento de

los riesgos que se asumen, está llevando a las organizaciones a
desarrollar procesos más sofisticados para evaluar y controlar los
riesgos a fin de anticiparlos y actuar con mayor precaución y no por
reacción.

Algunos factores que afectan a las Organizaciones

actuales son:
 Velocidad del cambio
 Incremento de la complejidad de la economía
global
 Mayores expectativas de los clientes
 Intensificación de la competitividad
 Cambios tecnológicos
 Frecuencia en la ocurrencia de actividades
fraudulentas
 Procesos deficientemente definidos
 Personal inadecuadamente preparado
 ¿Por qué y cómo se administran los
riesgos del negocio?

Las técnicas para la Administración de Riesgos son:

 Evitar (a través de la modificación de controles existentes, o la
incorporación de ellos).
 Reducir
 Externalizar y/o Transferir
 Aceptar - Mantener el Riesgo

Si el riesgo es igual a 0  No hay negocio.

Los controles facilitan el logro de los objetivos al reducir, evitar,

transferir los riesgos asociados.

Riesgo Objetivo de Control Actividades de Control

 Relación respuesta al Riesgo y
Actividad de Control
Ejemplo
 Relación respuesta al Riesgo y
Actividad de Control
Ejemplo
Ejemplo de una Evaluación de Riesgos

Impacto

Probabilidad
 ¿Qué entendemos por objetivos de control?

Riesgo Objetivo de Control Actividades de Control

Desde un punto de vista de “Confianza de la información financiera”: “Consiste en
aquellas definiciones u objetivos (en políticas, procedimientos o prácticas) establecidas,
tendientes a verificar, evaluar y establecer la veracidad de la información contable y
extracontable (valida, completa, exacta, oportuna, confiable)”
Los objetivos categorizados de acuerdo a la definición de control interno, es la siguiente:

 Estratégico – relacionado con las metas de alto nivel, alineado y soportando la

misión y visión de la compañía.
 Operación – relacionado a la efectividad y eficiencia de las operaciones de la
compañía, incluyendo metas de rendimiento y utilidades. Estas variarán basados en
las opciones de la administración acerca de la estructura y rendimiento.
 Reportes Financieros – relacionado con la efectivida de los informes de la
compañía. Esto incluye informes de caracter interno y externo y puede involucrar
información financiera y no financiera.
 Cumplimiento – relacionado con el cumplimiento y aplicabilidad de las leyes y
regulaciones de la compañía.
 ¿Qué es un control?

Riesgo Objetivo de Control Actividades de Control

Son políticas, procedimientos y prácticas establecidas para asegurar que los objetivos se
logren.
Otras consideraciones:
 Deben estar incorporadas en las operaciones del negocio.
 Se dividen en: operacionales, información financiera, cumplimiento y
estratégicos.
 Enfocados en la prevención y detección.
 Pudiendo ser manuales o automáticos.

Preventivo Detectivo

 Eliminan problemas en el origen.  Detectar errores que son

 Generan calidad en los procesos.
 Las excepciones pueden
predecirse.
 Las excepciones podrían
impactar significativamente.
difíciles de predecir.
 Identificar riesgos que ocurren
esporádicamente.
 Se utilizan como complemento
de los controles preventivos
 Actividades de Control

Cuentas por Procesamiento Ventas Controles de Aplicaciones

Cobrar de Ordenes Sub-proceso Manuales y/o Automáticos

Integridad
Presentación Completitud
Datos

Orden & Validación Corte Registro

Control control Control
de proveed de
Factur ores Clientes
as

Entrada de
SAP, Oracle, Otras Aplicaciones
Ordenes de
Clientes

Controles Generales
Base de Datos Soporte Software Mantención &
Infraestructura TI Implementación
Seguridad Sistema Operativo
Seguridad Operaciones Soporte de Red
Networks
Continuidad Proveedores
Operacional Externos Soporte de Base
de Datos
 ¿Qué es el control interno?

 Es un proceso – es un medio para un fin, y no un fin en sí mismo.

 Es efectuado por personas – No son sólo políticas, cuestionarios y
formas, involucra a la gente a nivel de todos los niveles dentro de la
organización.
 Es aplicado en conjunto con la estratégia.
 Es aplicada cruzando toda la empresa, a cada nivel y unidad.
 Es diseñado para identificar potenciales eventos que afectan la entidad y
la administración del riesgo dentro del nivel de riesgo que la empresa
desee administrar.
 Provee seguridad razonable para el administración y el directorio de la
compañía.
 Es adaptado para alcanzar los objetivos de un o más de uno, ya sea en
forma individual o traslapados.
 ¿De qué forma podemos obtener un adecuado
conocimiento del control interno?

 Entendimiento y análisis del negocio.

 Análisis de riesgos (políticas y procedimientos de gestión del riesgo).
 Entender la estrategía, objetivos y entorno.
 Entender los principales procesos del negocio.
 Entender los principales riesgos y controles.

Técnicas asociadas al conocimiento:

 Entrevistas con los líderes y responsables.
 Obtención de información relacionada (estrategías, políticas,
procedimientos, organigramas, otros).
 Diagramas y flujos de procesos.
 ¿Qué implica entender el negocio?

Entender y
Analizar el
Negocio

Análisis de los Riesgos del Negocio

Entender los
Entender la principales Entender los Entender los
estrategia, indicadores de principales principales
los negocio tanto procesos del Riesgos y
objetivos y financieros negocio Controles
el entorno como
operacionales
 ¿Qué implica entender el negocio?

Entender y
Analizar el
Negocio

Análisis de los Riesgos del Negocio

Entender los
Entender la principales Entender los Entender los
estrategia, indicadores de principales principales
los negocio tanto procesos del Riesgos y
objetivos y financieros negocio Controles
el entorno como
operacionales
 ¿Qué entendemos por objetivos?

“Allí donde no hay visión, las personas perecen…”

Proverbio oriental

Todas las organizaciones enfrentan una variedad de riesgos que pueden

provenir de diferentes fuentes tanto internas como externas y que pueden
afectar el cumplimiento de los objetivos.

Una condición previa para una efectiva identificación,

evaluación y tratamiento de los riesgos es el establecimiento
de objetivos
internamente relacionados (a diferentes niveles: Gerencias,
Departamentos, etc.) y consistentes.
 ¿Qué entendemos por objetivos?

Inversionistas
Misión
Mercado,
Directorio Visión
Valores

Políticas
Objetivos a nivel de
Alta Gerencia Entidad
(Gerente General y Objetivos
Gerentes de Estratégicos
División)

Gerencias de Objetivos Específicos de las

Área y Gerencias y Departamentos
Departamentos
 Objetivos
Operacionales
 Objetivos de Objetivos del Proceso Objetivos a nivel de
Reporte Actividad
 Objetivos de
Procesos Cumplimiento

Objetivos de Control del Proceso

 Conceptos

• La Misión determina la razón de ser de la misma.

• La Visión determina de forma amplia que quiere alcanzar la organización.

 Conceptos

• La Misión determina la razón de ser de la misma.

• La Visión determina de forma amplia que quiere alcanzar la organización.

• En función de la Misión es importante que la Alta Gerencia establezca sus

objetivos estratégicos y los objetivos específicos.

• Mientras que la Misión de la organización y los objetivos estratégicos son

generalmente estables en el tiempo, los objetivos específicos son dinámicos y
deben ser ajustados a los cambios en las condiciones internas y externas.

• Los objetivos estratégicos son metas de alto nivel alineadas y soportando la

Misión / Visión de la organización.

• Un factor crítico de éxito es el establecimiento de unos objetivos específicos

que estén alineados y soporten los objetivos estratégicos de la organización.
 ¿Qué implica entender el negocio?

Entender y
Analizar el
Negocio

Análisis de los Riesgos del Negocio

Entender los
Entender la principales Entender los Entender los
estratégia, indicadores de principales principales
los negocio tanto procesos del Riesgos y
objetivos y financieros negocio Controles
el entorno como
operacionales
 ¿Qué entendemos por procesos y/o subprocesos?

PROCESO
“…… Conjunto de actividades realizadas por las
personas y soportadas por herramientas y
tecnología que son diseñadas para alcanzar uno o
más objetivos institucionales ……”

SUBPROCESO
“….. Actividad o conjunto de actividades dentro de un
proceso…..”
 Definiciones

CARACTERÍSTICAS DE LOS PROCESOS

 Corresponden a un conjunto de actividades o tareas

 Tienen un punto de inicio
 Tienen un punto final (producto, reporte, otros)

 Existen validaciones entre las actividades o tareas

 Existen actividades de registros

 Existen actividades de control y autorización

 El soporte del proceso puede estar acompañado de
herramientas de software

 Las tareas pueden cruzar hacia otras áreas

 Las tareas pueden provenir de otras áreas
 Definiciones

CONCEPTO DE PROCESOS DE NEGOCIO

 Las transacciones ecónomicas pueden dividirse

lógicamente en grupos.

 A esos grupos se los denomina ciclos o procesos de

negocio.

 Los ciclos de negocio son artificiales en el sentido de que

no necesariamente se encuentran en todas las
organizaciones de la misma manera.

 Un ciclo o proceso es un conjunto de transacciones

similares
 ¿Que Procesos Conocemos?

TESORERIA INGRESOS

Procesos operacionales,
financieros y de gestión GENERACIÓN DE
EGRESOS PRODUCTO
COMPRAS O SERVICIOS

EGRESOS
NOMINA
 Definiciones

EGRESOS Incluye las funciones requeridas para

NOMINA contratar, retener, evaluar y
compensar a los empleados.

Actividades Típicas

Selección de personal.
Relaciones laborales.
Tratamiento de conflictos de intereses.
Informes de asistencia.
Procesamiento y contabilización de la
nómina.
Pago de la nómina.
 Definiciones

Incluye las funciones requeridas para

EGRESOS
adquirir propiedades, bienes y
COMPRAS
servicios de terceras partes.

Actividades Típicas

Selección de proveedores.
Requisición y compra.
Recepción ( incluyendo control de calidad).
Cuentas por pagar.
Pago.
 Definiciones

GENERACIÓN
DE PRODUCTO
/ SERVICIO

Actividades

Obtención de la información/datos
Validación de la información/datos
Procesamiento de la información/datos
Validación del resultado del procesamiento
Diseño de reportes
Emisión y/o publicación
 ¿Qué es un flujo?, ¿Para que sirve?

¿Que es un diagrama de flujo?

Es una representación gráfica relativa a un proceso, y muestra la secuencia cronológica de

todas las operaciones de un proceso.

¿Cual es el objetivo?

El objetivo es identificar que operaciones pueden simplificarse, eliminando las actividades

innecesarias, determinar la existencias de controles y si estos los realizan niveles adecuados
dentro de la organización.

¿Para qué más puedo utilizarlos?

Para la descripción de los procesos y poder visualizar, funciones, responsabilidad de los

distintos puestos, controles así como para definir las relaciones entre personal y
departamentos.

• Permite una rápida comprensión de los ciclos de negocios.

• Permite visualizar a todas las áreas involucradas en el ciclo y la interrelación
entre si.
• Permite identificar claramente los controles establecidos.
• Permite identificar concentración de actividades.
 Flujogramación

Ejemplo
Algunas consideraciones

Controles Como viajan

los
documentos Sistemas
Entradas /
Salidas

Documento

Consultas /
excepciones
 Matrices de Controles

Ejemplo
 Modelos de Control Interno

Control Interno

Controles de
Controles Tecnología
Financieros/ Informática
Operacionales
- COSO - - COBIT -

Flujo grama Narrativa

Mapa de Riesgos

II I
IV III

Matriz de riesgo y controles Planes de mejora

Gerencia Responsable Usuario Clave
Gerencia Comercial Gerencia Comercial Comercio Exterior
Nombre:Italo Ozzano
Cargo: Gerente Comercial Nombre: XXXXXXXXX XXXXXXXXXXXXX XXXXXXXXXX
Cargo: Jefe Subprocesos
Crédito y Cobranza
Involucrados Tesorero Encargado de Crédito y Cobranzas

SPCC01 SPCC02
Cobranza Otorgamiento de
Crédito

Evaluación de
Eventos de Riesgos Riesgos
P I
RICC06: Definición y/o mantención errónea de límites de
crédito superiores a la capacidad de pago de los clientes.
RICC07: Registro contable erróneo, inoportuno u omisión de
protestos, renegociaciones, aplicaciones de pago, y otros.
Riesgos
Factores de Riesgos Sub Proceso
G
FRCC22: Falta de evaluación de clientes considerando antecedentes comerciales y
financieros.
FRCC23: Falta de revisiones periódicas de los valores de los límites de crédito.
FRCC24: Error en registros de crédito otorgado en Maestro Clientes.
FRCC25: Error en el cálculo de la fórmula que determina el monto de la línea de crédito a SPCC02
otorgar.
FRCC26: Escritura pública solicitada a los clientes no ha sido revisada por el área Legal.
FRCC27: Otorgamiento de crédito por personal no autorizado.
FRCC28: Cobranza contabilizada en período distinto del cual fue recibido.
FRCC29: Falta en la oportunidad de recepción de documentos protestados desde el banco.
FRCC30: Falta de acciones de cobranza (tales como protesto en notaría y negociación por
medio de garantía de pagaré) de clientes morosos.
FRCC31: Error u omisión en el ingreso de datos a sistema SAP. SPCC01
FRCC32: Registro de pagos por personal no autorizado.
FRCC33: Falta de conciliación entre el valor recibido y contabilizado como pago.
FRCC34: Registros de documentos de cobro en período posterior al de su emisión.
 Un ejemplo: COSO y SOX

Controles de revelación y
procesos

Actividades/ Unidades
Ej. Sección 302 SOA:
Monitoreo Requerimiento para la gerencia de certificar
cada trimestre y anualmente la efectividad
de los controles de revelación.
Información &
Comunicación
Actividades de Controles internos de reportes
control financieros
n
Gestión de riesgo Ej. Sección 404 SOA:
2 Requerimiento para la gerencia de
Entorno de 1 anualmente efectuar un análisis de
control efectividad de sus controles internos
relacionados con los reportes financieros.
Componentes
 Cobit y SOX

Requerimientos de
negocio
Controles Generales de
Tecnología Informática (GCC):

• Estrategia y Planeación de los Recursos de

Infraestructura
Información.
Dominios

Personas
• Operaciones de los Sistemas de
Información
Procesos de TI

Información.
Aplicaciones

• Relaciones con proveedores externos.

Procesos
• Seguridad en la información.
• Planeación de la continuidad del negocio.
• Soporte a la Base de Datos, la Red,
Actividades Software de Sistemas y Hardware.

Fuente: COBIT - Control Objectives for Information and related Technology

 Preguntas
?

Curso de Riesgo y Control Interno