SEMANA 4 – Auditoría y Control Interno

Auditoría y control interno

SEMANA 4
Tipo de controles y análisis de
riesgos al interior de las
organizaciones

Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposición del público ni
utilizar los contenidos para fines comerciales de ninguna clase.
IACC-2018
1
SEMANA 4 – Auditoría y Control Interno

OBJETIVOS ESPECÍFICOS
 Analizar riesgos en los procesos de la
organización, considerando la
identificación, la medición y la
evaluación de estos.

IACC-2018
2
SEMANA 4 – Auditoría y Control Interno

OBJETIVOS ESPECÍFICOS ...................................................................................................................... 2

INTRODUCCIÓN ................................................................................................................................... 4
1. CONTEXTO GENERAL DE LA ORGANIZACIÓN .............................................................................. 5
1.1. CONTROL INTERNO EN EL ÁREA DE CAJA Y BANCOS ...................................................... 8
1.2. CONTROL INTERNO EN EL ÁREA DE EXISTENCIAS ......................................................... 12
1.3. CONTROL INTERNO DEL INMOVILIZADO MATERIAL E INMATERIAL ............................. 14
1.4. CONTROL INTERNO EN EL ÁREA DE PROVEEDORES Y OTRAS CUENTAS POR PAGAR ... 16
1.5. CONTROL INTERNO DE INGRESOS/VENTAS .................................................................. 19
1.6. CONTROL INTERNO DE COMPRAS................................................................................. 24
1.7. CONTROL DE SISTEMAS INFORMÁTICOS ...................................................................... 27
2. ANÁLISIS DE RIESGOS EN LOS PROCESOS DE LA ORGANIZACIÓN ............................................. 31
2.1. DEFINICIÓN DE RIESGOS ............................................................................................... 31
2.2. IDENTIFICACIÓN DE RIESGOS ........................................................................................ 32
2.3. MEDICIÓN Y EVALUACIÓN DE RIESGOS ........................................................................ 33
2.3.1. MATRIZ DE RIESGOS .................................................................................................. 34
2.3.2. FORMAS DE MITIGAR LOS RIESGOS .......................................................................... 35
COMENTARIO FINAL.......................................................................................................................... 36

IACC-2018
3
SEMANA 4 – Auditoría y Control Interno
INTRODUCCIÓN
Si bien la contabilidad es una disciplina
absolutamente estructurada, cuyos procesos
están sometidos al escrutinio de las prácticas
generalmente aceptadas, y donde los
controles internos -tanto administrativos
como contables-, tienen los mismos
principios generales entre sí, no es posible
realizar una estandarización completa a
estos últimos. Ello, pues las estructuras
organizacionales suelen tener bastantes
diferencias entre una empresa y otra.
Es por ese motivo que el contenido de la
semana está orientado a presentar los ciclos
de información contable más comunes,
IACC-2018
generalizando respecto a los tipos de
controles internos necesarios para la
ejecución exitosa de cada uno de los
procesos administrativo-contables
involucrados.
Por otra parte, se completa la visión
entregada hasta el momento acerca del
control interno, proporcionando una visión
respecto al tratamiento del riesgo, factor
que, en la práctica, constituye una de las
razones de la existencia de los controles.
Son estos dos puntos, los temas que aborda
esta unidad.
4
SEMANA 4 – Auditoría y Control Interno

1. CONTEXTO GENERAL DE LA ORGANIZACIÓN

En este apartado, se desea conocer cómo se aplican los controles internos en el contexto general
de la organización. Gran parte de los distintos elementos ya han sido revisados, por cuanto ahora
corresponde integrarlos.

Al interior de la organización se desarrollan procesos que utilizan capital, tecnología y recursos

humanos (materiales y financieros), para alcanzar uno o varios objetivos relacionados con su
actividad principal. Sea esta un proceso productivo o la generación de servicios.

Para desarrollar esos procesos de manera eficiente, la empresa adopta alguna forma de
organización basada en el principio de la división del trabajo. Principio, según el cual, es
productivo dividir una tarea compleja en varias actividades menores, desarrolladas por grupos
diferentes de personas.

El organigrama es la mejor forma de representar gráficamente la organización del ente, ya que

permite identificar las relaciones entre procesos y las unidades funcionales que los desarrollan.
Muestra, además, la estructura jerárquica en líneas de mando (o supervisión) existentes.

Por su parte, el control interno corresponde a un grupo de procesos impulsados por la

administración superior, que pretenden aportar un nivel razonable de seguridad en la gestión
empresarial al prevenir errores y fraudes, proteger los activos de la entidad y dar lugar a una
mayor confiabilidad de los registros contables e información económico-financiera, además de
comprobar que se están cumpliendo las normas, reglamentos y procedimientos establecidos.

Para que el control interno pueda operar correctamente, requiere de la existencia de una
estructura organizacional bien definida. A partir de esa estructura se elaboran los procedimientos
administrativos que permiten la captura de datos en su fuente de origen, así como las etapas de
preparación, autorización, registro, archivo y seguimiento de toda la documentación (física o
electrónica) asociada a una transacción económico-financiera. Estos procedimientos se desarrollan
en todas las áreas donde se realice alguna transacción y se ven reflejados en los respectivos ciclos
de información. En la figura 1 se puede ver una representación esquemática de estas ideas.

Cada organización tiene características propias, pero este marco general del control interno es
aplicable en cualquier empresa. Los objetivos generales se pueden subdividir en objetivos más
específicos y asociarles procedimientos y controles administrativo-contables como se muestra en
la tabla 1.

Las variaciones que se pueden experimentar entre diferentes empresas corresponden a las
referidas a sus estructuras organizacionales y procedurales. No obstante, dado que la contabilidad

IACC-2018
5
SEMANA 4 – Auditoría y Control Interno

se guía por las reglas “generalmente aceptadas”, y estas constituyen -en último término- un
protocolo, los procedimientos contables y sus controles no sufren mucha variación.

Finalmente, es preciso indicar que la mejor forma de representar los procedimientos

administrativo-contables se encuentra en los ciclos o circuitos de información, los que permiten
mostrar gráficamente las secuencias de actividades o procesos involucrados. Existe un conjunto de
ciclos de información contable que son comunes a la mayoría de las organizaciones y que aplican,
en mayor o menor medida, los mismos controles específicos contables. En los siguientes puntos se
revisan varios de esos ciclos.

IACC-2018
6
SEMANA 4 – Auditoría y Control Interno

IACC-2018
7
SEMANA 4 – Auditoría y Control Interno

1.1. CONTROL INTERNO EN EL ÁREA DE CAJA Y BANCOS

El área de caja y bancos es una de las más volátiles del área empresarial, debido a que se encarga
de las entradas y salidas de efectivo. El término efectivo o caja se refiere a todo el dinero, ya sea
en caja o en cuentas bancarias, que posee la organización. Dinero que es generado o recibido
durante un período determinado y que se distingue por no producir ningún rendimiento, lo que
posibilita su utilización de forma inmediata en las operaciones de la empresa. Por otra parte,
cuando se incorpora la gestión de fondos menos líquidos, como inversiones de largo plazo en el
mercado financiero, acciones emitidas, pago de dividendos, etc., se habla del área de Tesorería,
por su sentido más amplio.

Debido a sus distintas características operacionales, caja y banco se consideran por separado en
términos del control interno. La caja puede constituir, además, un denominador común al cual se
reduce el resto de los activos líquidos, como son las cuentas por cobrar y los inventarios. Las
empresas poseen diferentes motivos para mantener existencias de efectivo, tales como:

 Transaccional: Posibilita que la empresa realice sus operaciones ordinarias.

 Precautorio: Prevé los flujos de entrada y salida que registrará la empresa en un período
determinado.

En general, las entradas se producen como ingresos por ventas o cobros de operaciones ya
efectuadas, mientras que las salidas corresponden al pago de compromisos de corto plazo
(proveedores, adelanto de remuneraciones y otros). En la figura 3, se representa un ciclo genérico
de información del área tesorería, que incluye a caja y bancos.

IACC-2018
8
SEMANA 4 – Auditoría y Control Interno

IACC-2018
9
SEMANA 4 – Auditoría y Control Interno

Debido a las características enunciadas para el área caja y bancos, es necesario incorporar una
batería de controles internos. Como se indicó anteriormente, el conjunto específico de los
controles dependerá de cada organización, pero tendrán, con toda seguridad, los siguientes
objetivos generales para los controles del área caja y bancos:

1. Custodia y salvaguardia de los fondos depositados y recibidos (evitar robos, fraudes o

malversación de fondos).
2. Exactitud de los registros, es decir, que todos los movimientos de cuentas de caja y bancos
estén correctamente registrados en cuanto a valoración, naturaleza y período.
3. Segregación adecuada de funciones.
4. Operatoria conforme a las políticas y criterios establecidos.

Sin pretender entregar una lista exhaustiva de procedimientos y controles específicos, que el
alumno puede buscar en el libro guía del curso o en fuentes abiertas de la red, la figura 4 indica
algunos en relación a cada objetivo general:

IACC-2018
10
SEMANA 4 – Auditoría y Control Interno

IACC-2018
11
SEMANA 4 – Auditoría y Control Interno

1.2. CONTROL INTERNO EN EL ÁREA DE EXISTENCIAS

Las existencias o stocks son bienes cuya característica principal es servir de regulador para otro
proceso. Están directamente asociados con el ciclo de bodega e inventarios. Puede tratarse de
materias primas, productos en proceso, productos terminados o subproductos y residuos, pero en
cualquier caso, su tratamiento contable deberá pasar -en algún momento- por una verificación
física mediante inventario.

El tipo de control interno que se les aplique dependerá principalmente de las características de la
empresa. Sin embargo, se les pueden asignar los objetivos de los controles generales más propios
del área, y enunciar alguno de los controles contables específicos, que suelen ser implementados
para ayudar a alcanzar esos objetivos.

Objetivos generales de los controles del área existencias.

1. Controlar las existencias mediante un registro de existencias de materiales, producción en

curso y productos terminados, que -a su vez- esté circunscrito a procedimientos que
aseguren un adecuado control contable.
2. Definir procedimientos que confirmen la presencia física de las existencias (verificación
física mediante inventarios), así como su correspondiente inclusión en los registros
contables.
3. Valorizar las existencias de una manera adecuada, incorporando todos los costos que
corresponda y empleando políticas contables correctas.
4. Verificar que el ciclo de bodega (entrada-stock-salida) funcione y actúe, según los
procedimientos definidos por la organización.
5. Identificar, proteger y custodiar todas las existencias con las que se cuente.
6. Segregar apropiadamente las funciones para el cumplimiento de los objetivos del control.
7. Operar de acuerdo con las políticas y criterios definidos por la organización.

En la figura 5, se indican algunos de los procedimientos y controles específicos que suelen ser
utilizados para ayudar a alcanzar los objetivos generales antes enunciados.

Se debe destacar que en esta área, más que en ninguna otra, los controles internos aplicados
dependerán del tipo de empresa y volumen de operaciones. Es por ello que no se han asociado
controles específicos en relación al objetivo 7 (“Operar de acuerdo con las políticas y criterios
definidos por la organización”). A modo de guía orientadora, se puede comentar que aquí es
preciso incluir la confección de manuales de operación que contengan las normas, políticas,
criterios y procedimientos a utilizar en la gestión del área. Particularmente, en lo referente a la
toma de inventarios, contabilización de movimientos, criterios de valorización de existencias, etc.

IACC-2018
12
SEMANA 4 – Auditoría y Control Interno

IACC-2018
13
SEMANA 4 – Auditoría y Control Interno

1.3. CONTROL INTERNO DEL INMOVILIZADO MATERIAL E

INMATERIAL
Se utilizará la nomenclatura de activo fijo e intangible para referirse al inmovilizado material e
inmaterial, respectivamente. Para este tipo de activos, se deben considerar los siguientes
objetivos generales:

1. Mantener todas las adquisiciones de activos fijos -así como las bajas, traspasos y
depreciaciones-, debidamente autorizadas, correctamente valorizadas, registradas e
imputadas en el período y cuentas correspondientes.
2. Especificar los elementos del activo fijo en un auxiliar denominado, habitualmente,
registro del activo fijo, donde se refleje el costo original, la depreciación acumulada y el
valor libro actual, entre otros datos.
3. Establecer la existencia de un control físico y una actualización de los activos fijos.
4. Salvaguardar y custodiar los bienes y equipos capitalizados.
5. Segregar apropiadamente las funciones que eviten o disminuyan la posibilidad de errores
o irregularidades.
6. Operar de acuerdo con las políticas y criterios definidos por la organización.

Para ayudar a alcanzar estos objetivos, cada empresa implementará los procedimientos y
controles específicos que considere más adecuados para su situación. Algunos de ellos, los más
comunes, se muestran en la figura 6.

Siempre resulta interesante ver el desarrollo de un mismo

tema bajo distintos puntos de vista. Para el análisis del área
activo inmovilizado, se recomienda consultar el siguiente
link:
http://www.5campus.com/leccion/auditInmov

IACC-2018
14
SEMANA 4 – Auditoría y Control Interno

IACC-2018
15
SEMANA 4 – Auditoría y Control Interno

1.4. CONTROL INTERNO EN EL ÁREA DE PROVEEDORES Y

OTRAS CUENTAS POR PAGAR
Esta área contable se refiere a los pagos que debe hacer la organización por las compras
efectuadas a sus proveedores habituales, además de las obligaciones contraídas a favor de
terceros por conceptos diferentes al abastecimiento habitual, como cuentas corrientes
comerciales, servicios contratados, órdenes de compra especiales, costos y gastos por pagar, etc.
El ciclo contable principal con el que se relaciona es el de compras y adquisiciones, que debido a su
importancia se analiza en forma independiente.

Una de las prácticas habituales en esta área es operar con proveedores establecidos y generar una
relación de continuidad con ellos. Con este propósito, se crea el registro de proveedores donde se
obtiene la información en detalle del tipo de productos que ofrece cada uno, su capacidad técnica,
su solvencia financiera, sus datos de contacto, etc. Por otra parte, dependiendo del nivel y
volumen de operaciones de la organización, podrá contar con una unidad administrativa que
centralice el proceso de compras y contrataciones, con el objetivo de obtener y negociar las
mejores condiciones económicas.

Lo que se desea destacar con estas observaciones es que el tipo de control interno específico para
esta área contable depende mucho de las características de la organización. Sin embargo, al igual
que en los casos anteriores, se puede indicar algunos objetivos generales deseados para el área
proveedores y otras cuentas por pagar:

1.- Registrar, clasificar y valorar oportuna y correctamente las cuentas por pagar, verificando
además que se traten de transacciones autorizadas y reales.

2.- Imputar en las cuentas apropiadas y en el período que corresponda, todas las cuentas por
pagar a proveedores y acreedores en general.

3.- Establecer que los saldos de cuentas a pagar estén sujetas a control de identificación, fechas de
vencimientos y saldos por pagar.

4.-Disponer que los pagos efectuados a proveedores cuenten con soporte de pasivo contabilizado,
reconocido y justificado.

5.- Salvaguardar y custodiar las cuentas por pagar.

6.- Segregar apropiadamente las responsabilidades para la ejecución de procedimientos y

controles definidos.

7.- Operar de acuerdo con las políticas y criterios definidos por la organización.

IACC-2018
16
SEMANA 4 – Auditoría y Control Interno

Se debe notar que al separar esta área del ciclo de compras/adquisiciones, existen una serie de
procedimientos y controles que en la práctica se deben implantar junto con el proceso de
compras, pero se colocan aquí para efectos explicativos. En la figura 7 se presenta un esquema de
los procesos y controles que deben operar antes del registro contable de una cuenta por pagar
relacionada con proveedores o acreedores.

IACC-2018
17
SEMANA 4 – Auditoría y Control Interno

IACC-2018
18
SEMANA 4 – Auditoría y Control Interno

1.5. CONTROL INTERNO DE INGRESOS/VENTAS

En este ciclo se incorporan todas las funciones relacionadas con las ventas de los bienes o servicios
que constituyan el giro del negocio, recibiendo indistintamente el nombre de Ciclo de Ingresos y
Comercialización. Asimismo, se consideran las cuentas por cobrar de clientes. Al igual que en
todos los casos vistos antes, no es posible plantear un esquema de control interno específico que
sea estándar para todas las empresas, ya que finalmente todo depende de la estructura
organizacional, el tipo de negocio y su escala de operación. Se plantea entonces un esquema
genérico.

Se debe tener en cuenta que este ciclo es quizás el más importante en la empresa. Si vende poco y
no genera ingresos suficientes, la empresa irá a la quiebra. Si vende mucho y genera mucho
ingreso, conteniendo los costos, será una empresa exitosa que posiblemente buscará crecer y
diversificarse, adoptando esquemas de operación más complejos, y aumentando, por lo tanto, su
necesidad de control interno. La cantidad de actividades comerciales y la cantidad de controles en
una empresa mediana ya es bastante grande y necesariamente el alumno interesado en el tema
deberá documentarse de otras fuentes. Aquí se entregará solamente una visión general.

La figura 9 muestra varios conceptos generales. Dependiendo del tamaño de la empresa y de su

volumen de operación, desarrollará algunas o todas las tareas de comercialización que ahí se
indican. Esas tareas terminan en actividades específicas, tales como “Emisión de Pedidos”, que
corresponde a la etapa en que se revisa un pedido u orden de compra de un cliente, y se analiza si
es factible operar con él; o sea, que es un cliente confiable. Si el departamento de ventas procesa
y autoriza la operación, procede a emitir el pedido (que puede ser la misma orden de compra
emitida por el cliente). Si el volumen de operaciones es alto, posiblemente se alimentará algún
“registro de pedidos pendientes a suministrar”, que permitirá hacer el control correspondiente.
Ocurre lo mismo en las cuatro actividades mostradas en el diagrama, donde se muestra la
actividad y el registro asociado, que permite hacer algún control. Es importante tener en cuenta
que, tal como ocurre en varios casos, existen controles que pertenecen a otros ciclos, pero deben
estar operando efectivamente para no afectar algún control que se desarrolla en el ciclo bajo
análisis.

El diagrama muestra, además, los ciclos con los cuales se interrelaciona el ciclo de ingresos y
ventas. Se puede apreciar que, si se trata de una empresa de mediana a grande, el ciclo de
ingresos y comercialización deberá asegurarse de que los respectivos controles funcionen bien.

Los objetivos generales más importantes del ciclo de ingresos / ventas son los siguientes:

1. Asignar responsabilidades y autoridad a personas apropiadas, de acuerdo con las políticas

establecidas por la organización.
2. Segregar funciones en las diferentes actividades de registro de pedidos y créditos.

IACC-2018
19
SEMANA 4 – Auditoría y Control Interno

3. Formalizar y preparar los pedidos de clientes, solo cuando exista la oportuna aprobación
de los mismos.
4. Realizar una prestación de servicios o suministros de mercancías de manera correcta y
siempre con las autorizaciones que correspondan.
5. Facturar todas las entregas efectuadas, previa comprobación y aprobación de la
documentación de las mismas.
6. Efectuar las transferencias de las transacciones de ventas a los registros contables, con la
adecuada clasificación y valorización en el período.
7. Hacer un seguimiento, control y verificación de las cuentas a cobrar.
8. Salvaguardar y custodiar los registros de ventas.

A esos objetivos generales se le asocian diversos procedimientos y controles específicos. En las

figuras 10-a y 10-b se muestran solamente algunos de ellos, ya que debido a su gran cantidad es
imposible detallarlos todos. Queda bajo la responsabilidad de cada alumno leer el detalle en el
libro guía de la asignatura o en cualquier otra fuente disponible.

IACC-2018
20
SEMANA 4 – Auditoría y Control Interno

IACC-2018
21
SEMANA 4 – Auditoría y Control Interno

IACC-2018
22
SEMANA 4 – Auditoría y Control Interno

IACC-2018
23
SEMANA 4 – Auditoría y Control Interno

1.6. CONTROL INTERNO DE COMPRAS

Este ciclo abarca todo lo referente a compras de mercaderías, bienes y/o servicios requeridos por
las actividades que constituyan el giro del negocio, recibiendo indistintamente el nombre de “Ciclo
de Adquisición/Aprovisionamiento”. Además, se anexan a este ciclo todos los pasivos y cuentas
por pagar que se derivan de esas adquisiciones.

El desarrollo genérico de este ciclo supone la existencia de algunas funciones o actividades que
son típicas del área de compras, así como de algunos registros también de uso común en el área.
Por otra parte, este ciclo tiene interacciones con otros. Todo lo recién expresado se muestra
esquemáticamente en la figura 11.

Finalmente, en la figura 12 se muestra un resumen de objetivos generales de control interno en el

ciclo de compras, junto con los controles específicos más comunes.

IACC-2018
24
SEMANA 4 – Auditoría y Control Interno

IACC-2018
25
SEMANA 4 – Auditoría y Control Interno

IACC-2018
26
SEMANA 4 – Auditoría y Control Interno

1.7. CONTROL DE SISTEMAS INFORMÁTICOS

La rápida evolución que han experimentado las Tecnologías de Información y Comunicación (TIC)
ha producido un impacto muy grande en las organizaciones. No es necesario ser un especialista
para comprender que el manejo de información sustentado en las TIC se ha convertido en un
campo altamente complejo. En términos de gestión, resulta paradójico comprobar que uno de los
activos más valiosos de cualquier empresa, como es la información, se obtenga de manera mucho
más fácil y rápida en la actualidad, pero que al mismo tiempo los sistemas de información se

IACC-2018
27
SEMANA 4 – Auditoría y Control Interno

conviertan en verdaderas “cajas negras”, cuyos desarrollos y modificaciones deban ser realizados
por especialistas, muchas veces externos a la organización.

Desde el punto de vista de control interno, es claro que los principios fundamentales de control no
varían frente al mayor desarrollo tecnológico, pero también es claro que se deben emplear otras
herramientas para ejercerlo. Para los efectos de estos apuntes, se tomará en consideración una
empresa genérica, con un alto nivel de empleo de TIC, en la cual se reconocerán y describirán sus
sistemas de control informático, entendiendo que esos controles corresponden a ese nivel
superlativo y, por lo tanto, se deben ajustar a la realidad de otra empresa con menor desarrollo
informático.

En la práctica, una empresa con alto nivel de desarrollo informático debiera tener una gerencia de
informática totalmente consolidada, situada en un nivel organizacional tal que no lo haga
depender jerárquicamente de alguna unidad usuaria. Asimismo, la tendencia muestra que una
empresa de este tipo ya debiera haber llegado al punto de incorporar el control interno
informático y la auditoría informática en sus procesos de control. Dicho control interno es
habitualmente ejercido por alguna unidad especializada de la propia gerencia de informática.

Las funciones del control interno informático, de acuerdo con Piattini (2001, p. 28), son las
siguientes:

1.- Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas
fijados, evaluar su bondad, y asegurarse del cumplimiento de las normas legales.

2.- Asesorar sobre el cumplimiento de las normas.

3.- Colaborar y apoyar el trabajo de auditoría informática, así como de las auditorías externas al
grupo.

4.- Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados
adecuados del servicio informático. En términos concretos esto se traduce en los siguientes
controles:

 El cumplimiento de procedimientos, normas y controles dictados, destacando la vigilancia

sobre el control de cambios y versiones del software.
 Controles sobre producción diaria.
 Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del
servicio informático.
 Controles en las redes de comunicación
 Controles sobre el software de base
 Controles en los sistemas microinformáticos
 La seguridad informática

IACC-2018
28
SEMANA 4 – Auditoría y Control Interno

 Licencias y relaciones contractuales con terceros

 Asesorar y transmitir cultura sobre el riesgo informático

La implantación de un sistema de controles internos informáticos se realiza a distintos niveles, ya

que las TIC se componen de distintos elementos interdependientes (entorno de red, configuración
del computador base, entorno de aplicaciones, productos y herramientas, tales como software
para desarrollar programas, seguridad del computador base).

En la figura 13 se presenta un resumen genérico de los principales controles informáticos

existentes. Obviamente, la lista es muy extensa y está en continuo desarrollo, por lo que se
recomienda considerarlos solamente como una referencia. Dichos controles se muestran
agrupados por secciones funcionales.

IACC-2018
29
SEMANA 4 – Auditoría y Control Interno

IACC-2018
30
SEMANA 4 – Auditoría y Control Interno

2. ANÁLISIS DE RIESGOS EN LOS PROCESOS DE LA

ORGANIZACIÓN
2.1. DEFINICIÓN DE RIESGOS
El riesgo, el peligro y la ocurrencia de incidentes, son condiciones que están presentes en
cualquier actividad humana, por lo tanto, tampoco pueden faltar al interior de una organización.

La tendencia actual del control interno se está orientando a aplicar la disciplina denominada
“administración de riesgos” (o “gerencia de riesgos”), que es:

Una función de muy alto nivel dentro de la organización para definir un conjunto de estrategias

que a partir de los recursos (físicos, humanos y financieros) busca, en el corto plazo mantener la

estabilidad financiera de la empresa, protegiendo los activos e ingresos y, en el largo plazo,

minimizar las pérdidas ocasionadas por la ocurrencia de dichos riesgos (DAFP, 2006, p.13)

Esta visión está incorporada en las últimas definiciones normativas de un marco conceptual para el
control interno, donde se define además al riesgo como la posibilidad de ocurrencia de un evento
que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus
objetivos.

El enfoque de administración de riesgos en control interno

utiliza varios elementos provenientes de la prevención de
riesgos en el ámbito laboral, por lo que resulta interesante
comparar las definiciones.

https://goo.gl/Lty9jh

IACC-2018
31
SEMANA 4 – Auditoría y Control Interno

2.2. IDENTIFICACIÓN DE RIESGOS

Corresponde al proceso de búsqueda, reconocimiento y descripción de riesgos. Comprende
identificar los que podrían impedir, degradar o demorar el cumplimiento de los objetivos
estratégicos y operativos de la organización, así como las oportunidades que puedan contribuir al
logro de los referidos objetivos. También se deben identificar señales de alerta de delitos
asociadas a los riesgos, cuando corresponda.

El proceso de identificación de riesgos no es un ejercicio trivial. Por el contrario, requiere mucha

experiencia, conocimiento del negocio y conocimiento del mercado. Generalmente se desarrolla
como una actividad colectiva en los distintos niveles de la organización. No resulta extraño que a
veces los principales aportes provengan de los trabajadores de primera línea, que son quienes
experimentan los problemas de primera mano.

Como orientación general, se debe indicar que los riesgos pueden surgir en cualquier nivel de la
organización, debido tanto a factores internos como a factores externos. Una vez identificados
estos factores se puede considerar su relevancia e importancia y, si es posible, relacionarlos con
riesgos y actividades específicas. En la figura siguiente se identifican algunos factores genéricos de
cada grupo.

IACC-2018
32
SEMANA 4 – Auditoría y Control Interno

La identificación de riesgos se debe realizar de manera metódica y sistemática, por lo tanto, uno
de sus requerimientos es la necesidad de construir formularios adecuados para recoger la
información. El diseño dependerá de las características de cada organización, pero debiera
contener al menos los campos que se muestran en el siguiente ejemplo ficticio:

2.3. MEDICIÓN Y EVALUACIÓN DE RIESGOS

Como resultado de la identificación de riesgos, debiera generarse una lista de todos los factores de
riesgos detectados, una descripción clara y comprensiva de ellos, y de los efectos esperados si
llegase a ocurrir el evento, los cuales deben ser analizados y evaluados.

El análisis del riesgo busca establecer la probabilidad de ocurrencia de estos y el impacto de sus
consecuencias, calificándolos con el fin de obtener información para establecer el nivel de riesgo y
las acciones que se van a implementar. El análisis dependerá de la información obtenida en el
proceso de identificación, y la disponibilidad de datos históricos y aportes de los empleados de la
entidad

En general, existen dos aspectos que se deben tener en cuenta en la medición y evaluación de los
riesgos identificados:

 Probabilidad: Es la posibilidad de ocurrencia del evento, expresada en alguna unidad de

medida coherente. La historia podría servir para saber si el evento ha ocurrido
anteriormente; la experiencia podrá indicar qué tan posible es que se repita la ocurrencia.
Lo más común es que finalmente se estime la probabilidad de ocurrencia entre alta,
mediana o baja y que a estos atributos se les asigne un valor coherente para establecer un
ordenamiento.

IACC-2018
33
SEMANA 4 – Auditoría y Control Interno

 Impacto: Corresponde a las consecuencias que podría ocasionar a la organización la

ocurrencia del riesgo. Se deben reflejar en una estimación de magnitud, por ejemplo, leve,
moderado o catastrófico. De esta manera se hace posible distinguir entre los riesgos
aceptables, tolerables, moderados, importantes o inaceptables, y fijar las prioridades de
las acciones requeridas para su tratamiento.

La evaluación del riesgo permite comparar también los resultados de la calificación con los
criterios definidos para establecer el grado de exposición de la entidad al riesgo; es decir, qué tan
riesgosas son las situaciones que se han detectado, y sobre cuáles situaciones se debe actuar en
primer lugar.

2.3.1. MATRIZ DE RIESGOS

La matriz de riesgos es la herramienta natural para representar ordenadamente la evaluación de
riesgos, ya sea de una operación, un proceso, una planta completa o una organización.

En la figura siguiente se representa una estructura de trabajo habitual para esta matriz.

En la sección vertical se representa la probabilidad. Con el atributo “alta”, se quiere decir que se
tiene una elevada probabilidad de ocurrencia, y se le asigna el valor “3”, el más alto de una escala

IACC-2018
34
SEMANA 4 – Auditoría y Control Interno

discreta de 3 valores (1, 2, 3). Se procede de manera análoga con los atributos “media” y “baja”,
asignándole los valores en forma descendente.

En la sección horizontal, en tanto, se representa el tipo de impacto esperable si es que se llegase a

concretar la situación de riesgo. Aquí se utiliza otra escala discreta con tres valores posibles -5, 10,
20-, que se le asignan a los impactos de tipo leve, moderado y catastrófico respectivamente, en
ese mismo orden.

Por definición, la medida del riesgo corresponde al producto de la probabilidad por el valor del
impacto. Esos valores son los que se presentan en las celdas de la matriz y son los que representan
el grado de exposición al riesgo de la organización. Evidentemente, la celda que tiene un valor de
60 requiere acción inmediata. En cambio, la celda que tiene el valor 5 representa una situación de
riesgo aceptable.

El uso de esta matriz es universal, pero la administración superior de cada organización decidirá
acerca de cuál es su zona de riesgo aceptable, importante o crítica.

Cada uno de los factores identificados previamente debe ser pasado por esta matriz y obtener su
evaluación. La gerencia de administración de riesgos definirá sus políticas y estrategias con base
en estos análisis y resultados

2.3.2. FORMAS DE MITIGAR LOS RIESGOS

Las formas concretas de mitigar un riesgo dependerán del tipo de organización y de las
condiciones particulares de la situación de riesgos.

En el ejemplo indicado anteriormente, la gerencia podría optar por asignar los fondos necesarios
para completar el cierre perimetral en la zona afectada, o podría decidir que hay que trasladar la
bodega a un lugar más seguro. También podría optar por cualquier solución intermedia. Lo
importante es que se tiene identificada una situación de riesgo potencial sobre la que debe actuar.

Mirando desde una perspectiva general, se puede señalar que hay tres mecanismos a través de los
cuales se puede mitigar el riesgo:

1. Bajando la probabilidad de ocurrencia del evento.

2. Bajando el nivel de impacto en el caso de que el evento ocurriese
3. Disminuyendo ambos factores a la vez.

Obviamente esto es consecuencia de que el riesgo corresponde al producto de la probabilidad por

el nivel de impacto.

IACC-2018
35
SEMANA 4 – Auditoría y Control Interno

COMENTARIO FINAL
Como conclusión de lo visto en esta unidad, se desprende que si bien el control interno puede
adoptar múltiples formas, siempre tiene algunos principios rectores que permiten comprender su
base de funcionamiento.

Por otra parte, se ha dado un breve vistazo al tema del riesgo en los procesos administrativos y
operacionales en general. Pese a que el tema tiene muchos matices que no pueden ser explicados
en un espacio breve, debe haber quedado claro que existe una metodología para abordar ese
análisis. También debiera permanecer en la memoria que la matriz de riesgos representa una
excelente herramienta, utilizable en muchas áreas de la administración.

IACC-2018
36
SEMANA 4 – Auditoría y Control Interno

REFERENCIAS
Aguirre, J. (1998) Control interno, áreas específicas de implantación, procedimiento y control.

Madrid, España: Cultural de Ediciones S.A.

Departamento Administrativo de la Función Pública DAFP (2006). Guía de Administración del

Riesgo. Bogotá, Colombia. Recuperado de:

/soporte/Downloads/GUIA_ADMINISTRACION_DEL_RIESGO_-_DAFP%20(4).pdf

Ministerio Secretaría General de la Presidencia (2016). Documento técnico N° 70 Versión 0.2.

Implantación, mantención y actualización del proceso de gestión de riesgos en el sector

público. Gobierno de Chile.

Piattini, M. (2001). Auditoría informática. Un enfoque práctico. 2ª edición ampliada y revisada.

México D. F.: AlfaOmega Grupo Editor.

Schuster, J. (1992). Control Interno. Buenos Aires, Argentina: Ediciones Macchi.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2018). Tipos de controles y análisis de riesgos al interior de las

organizaciones. Auditoría y control Interno. Semana 4.

IACC-2018
37
SEMANA 4 – Auditoría y Control Interno

IACC-2018
38