CONTROL INTERNO

Y
RIESGO OPERACIONAL
 Introducción
CONTEXTO ACTUAL DE LAS ORGANIZACIONES

• Clientes más empoderados

• Mucha información disponible
• Nuevos canales
• Uso intensivo de la tecnología
• Rápida evolución de amenazas externas.
• Nuevas normas y reguladores mas activos
• Mayor importancia a los temas medioambientales y
sociales
 Introducción
CONTEXTO ACTUAL DE LAS ORGANIZACIONES
 Introducción
CONTEXTO ACTUAL DE LAS ORGANIZACIONES

• ¿Todas las empresas planifican?

• ¿Planificación estratégica?
• ¿Planificación anual?
• ¿Y a nivel de gerencia?
• ¿Esto aplica para empresas publicas y privadas?
 Introducción
LA PLANIFICACION Y LOS RIESGOS

• ¿Qué rol juegan los riesgos en la planificación?

• ¿Y en el despliegue de la estrategia?
 Introducción
LA PLANIFICACION Y LOS RIESGOS
 Introducción
LA REALIDAD DE LAS ORGANIZACIONES
 Introducción

¿GESTION DE RIESGOS ESTRATEGICOS

O
GESTION ESTRATEGICA DE RIESGOS?
 Introducción
Definiciones de Riesgo
 Introducción
Definiciones de Riesgo – Según ERM COSO
Eventos – Riesgos y Oportunidades

• Los eventos pueden tener un impacto negativo, impacto

positivo o ambos.

• Los eventos con impacto negativo representan riesgos que

pueden impedir la creación de valor o erosionar el valor
existente.

• Eventos con impacto positivo puede contrarrestar los impactos

negativos o representan oportunidades.

• Las oportunidades son las posibilidades de que un evento

ocurra y afecte positivamente al logro de los objetivos, el poyo
a la creación de valor o conservación.
 Introducción
Definiciones de Riesgo – Según ERM COSO
 Introducción
Riesgos no Riesgos Retribuidos
Retribuidos
• Resultados o • Riesgos que se
impactos toma de manera
negativos que informada para
erosionan valor. obtener beneficios
• Ejemplos: o ventaja
incumplimientos competitiva.
de leyes laborales, • Desarrollo nuevos
regularizaciones, productos, entrar a
fraudes, siniestros, nuevos mercados
etc.
 Introducción
RIESGO INHERENTE

• Es el riesgo propio de la actividad, proceso o producto.

Esta asociado a su naturaleza.

• El riesgo inherente se asocia tradicionalmente al riesgo

puro, sin la aplicación de medidas de mitigación del
mismo
 Introducción
CONTROL / MITIGACION

• Es la acción de corregir o reducir la incertidumbre de los

eventos significativos de riesgo a través de la
administración, la transferencia o la eliminación del
mismo
 ESTUDIO DE CASO A DESARROLLAR EN CLASES:

Caso: Riesgo Reputacional

Claves:

• Riesgo Operacional /Colusión

• Gobierno Corporativo
• Reputación

COMENTARIOS?
INTRODUCCION
APETITO / TOLERNCIA AL RIESGO

• Corresponde a la exposición que la organización decide

asumir.

• En general, se habla de apetito cuando estamos frente a

riesgos retribuidos y de Tolerancia frente a los riesgos no
retribuidos.
Introducción
Gestión de riesgos en Chile

• Industrias

• Empresas

• Riesgos gestionados
 Informe Coso
COSO: Committee of Sponsoring Organizations of the Treadway Commission

Objetivo Informe Coso 1992

• Definir un nuevo marco conceptual de Control Interno
capaz de integrar las diversas definiciones y conceptos
que hasta ese momento se había venido utilizando sobre
este tema.

Objetivo Informe Coso 2013

• Realizar una actualización de la versión original en
función de los cambios y mayor complejidad de las
organizaciones y su entorno.
 Informe Coso
Porque actualizar este trabajo?: se ha convertido la mas ampliamente aceptada
estructura de control
 Informe Coso
COSO – Publicaciones sobre Control Interno
Informe Coso
CONTROL INTERNO

• El control interno es un proceso, efectuado por el

directorio, la gerencia y otro personal de la organización,
diseñado para proporcionar una seguridad razonable
sobre el logro de los objetivos relacionados con las
operaciones, la elaboración de informes y el
cumplimiento.
 Informe Coso
ANALISIS DEFINICION:
• Responsables directorios, alta dirección y todo el personal

• El Control Interno es un proceso, es un medio utilizado para la

consecución de un fin, no un fin en si mismo.

• El control interno lo llevan a cabo las personas, no se tratara

solo de manuales de políticas e impresos, sino de personas en
cada nivel de la organización.

• El control Interno solo puede aportar un grado de seguridad

razonable, no la seguridad total a la dirección y al directorio

• El control interno esta pensado para facilitar la consecución de

objetivos.
 Informe Coso
OBJETIVOS

Categoría de Objetivos

• El informe agrupa los objetivos del control interno en tres

tipos

• Esto clarifica el aporte de Control Interno al cumplimiento

de los objetivos de la entidad
 Informe Coso
OBJETIVOS

Los objetivos de las operaciones pueden estar

relacionados con:
• La mejora de los resultados financieros.
• La productividad ( por ejemplo, evitando mermas)
• La calidad
• Las practicas ambientales
• Innovación
• Satisfacción de clientes y empleados
• Protección de los activos.
 Informe Coso
OBJETIVOS

Los objetivos de información se refieren a la preparación

de los informes para su uso por las organizaciones y
grupos de interés.

Puede estar relacionado con la información financiera y

no financiera y de la información interna o externa.
 Informe Coso
OBJETIVOS
Caracteristicas
 Informe Coso
OBJETIVOS

• Las leyes y reglamentos establecen las normas mínimas de conducta que

se esperan de la entidad

• Muchas leyes y reglamentos son generalmente bien conocidos, tales

como los relativos a los recursos humanos, los impuestos y el
cumplimiento ambiental, pero otros son menos conocidos, como normas
recientes.

• Se espera que la organización incorpore estas normas a los objetivos

fijados para la entidad.
Componentes
 Componentes

El concepto se grafica
también como un
cubo, considerando:

• Objetivos.
• Componentes.
• Espectro de acción
 ESTUDIO DE CASO A DESARROLLAR EN CLASES:
CASO: EVALUACION DE RIESGOS
Experiencias de Banco. Caso 27F

Global Crossing, el Alto Río virtual

Basada en las Bermudas, Global Crossing — en Chile antes llamada CLAVES:
IMPSAT - es el datawarehouse de mayor prestigio y calidad, que aloja
tanto a clientes gubernamentales y a grandes instituciones, como el
Banco de Chile, la Universidad Andrés Bello y los servicios en línea del
• Continuidad del Negocio
Ministerio de Obras Públicas, entre otros. Esos mismos fueron los que
cayeron como fichas de dominó la madrugada del 27, sin poder ser • Externalización de
recuperados solo hasta varios días después. Servicio
¿Por qué ocurrió esto en el datacenter más moderno de Chile, con
muros de un metro de espesor y cuyo piso es capaz de soportar hasta
una tonelada de fuerza? Fuentes que pidieron a El Mostrador mantener
su anonimato revelaron que las baterías de energía de respaldo —
conocidas como UPS - fueron desplazadas por la fuerza del sismo, y en
su movimiento arrasaron con el sistema de circuitos del lugar, cuya
reparación de por si es delicada.
Las medidas de seguridad estándar de este tipo de recintos incluyen la
prohibición de que varias personas trabajen al mismo tiempo en una
misma sala de servidores; por ende, el tiempo de recuperación estuvo
supeditado a esta limitante. Así, el encargado de IT de la Universidad
Arturo Prat que viajó desde Iquique para ver y evaluar los daños en sus
máquinas y a ponerlas nuevamente en línea debió esperar junto a otros
clientes por horas en los estacionamientos del lugar.
 ESTUDIO DE CASO A DESARROLLAR EN CLASES:

CASO: EVALUACION DE RIESGOS

Experiencias de Banco. Caso 27F
CLAVES:
“Tabiquería” de redes
En el caso del Banco de Chile, la misma fuente • Plan de pruebas
agrega que el error que dejó sin servicios en línea
tanto a clientes como a los mismos funcionarios de • Gestión
una de las instituciones financieras más grande del
país no pasó solamente por el incidente técnico en
GlobalCrossing y el de su propio datacenter — el que
resultó inundado tras el sismo, afectando tanto a sus • COMENTE:
……………………………
servidores principales como a los de respaldo-, sino
……………………………
más bien por una falla de gestión, la que dejó en claro ……………………………
que los planes de contingencia diseñados para ……………………………
“levantar” al banco ante una emergencia de este tipo ……………………………
quedaron en el suelo. ……………………………
……………………………
…………………………..
 Informe Coso
ANÁLISIS DEFINICION

El control interno efectivo proporciona una seguridad razonable

respecto al logro de los objetivos y exige que:
• Cada componente y cada principio relevante esté presente y en
funcionamiento.
• Los cinco componentes estén funcionando junto de una manera
integrada.
• Cada principio es adecuado para todas las entidades; todos los
principios se presume relevante.
• Una deficiencia importante representa una deficiencia de control
interno o combinación de los mismos, que reducen
considerablemente la probabilidad de que una entidad pueda
alcanzar sus objetivos.
 Informe Coso
COMPONENTES

a) Entorno de control
b) Evaluación de Riesgos
c) Actividades de control
/Mitigación
d) Información y comunicación
e) Monitoreo
a) Entorno de Control
El entorno o ambiente de control es el conjunto de
circunstancias y conductas que enmarcan el accionar de
una entidad desde la perspectiva del Control Interno:

• Es la base o andamiaje de todo sistema de Control

Interno
• Determinan las pautas de comportamiento en la
organización
• Influye en el nivel de concientización del personal
respecto del control
• Se habla de “controles blandos” (Soft Controls)
a) Entorno de Control
Factores que afectan al Entorno de Control:
• Integridad y valores éticos
• Incentivos y tentaciones
• Compromiso de Competencia Profesional
• Comité de Auditoria
• Filosofía y Estilo de Gestión
• Estructura organizacional, asignaciones de
responsabilidad y autoridad
• Políticas y Practicas de RR.HH
a) Entorno de Control
PRINCIPIOS DEL ENTORNO DE CONTROL:
1. La organización demuestra un compromiso con al integridad y los
valores eticos.
2. El consejo de administración demuestra la independencia de la
administración y ejerce la supervisión de la evolución y los
resultados de los controles internos.
3. Dirección establece, co-supervisión de la junta, estructuras, líneas
de comunicación y las autoridades y responsabilidades apropiadas
en la búsqueda de objetivos.
4. La organización demuestra el compromiso de atraer, desarrollar y
retener a personas competentes en la alineación con los objetivos.
5. La organización lleva a cabo: los individuos responsables de sus
responsabilidades de control interno en la búsqueda de objetivos
b) Evaluación de Riesgos
• La entidad debe conocer y abordar los riesgos con que se
enfrenta.

• Debe establecer mecanismos para identificar, analizar y tratar

los riesgos que podrían afectar al cumplimiento de los
objetivos definidos.

• La evaluación de riesgos consiste en un proceso dinámico e

iterativo para identificar y analizar los riesgos para el logro de
objetivos de la entidad, formando una base para determinar
como se deben administrar los riesgos.

• La administración considera los posibles cambios en el entorno

externo y dentro de su propio modelo de negocio, que pueden
obstaculizar su capacidad para alcanzar sus objetivos.
b) Evaluación de Riesgos
La entidad debe conocer y abordar los riesgos con que se
enfrenta. Debe establecer mecanismos para identificar,
analizar y tratar los riesgos que podrían afectar el
cumplimiento de los objetivos definidos.
b) Evaluación de Riesgos
PRINCIPIOS EVALUACION DE RIESGOS

• La organización espera objetivos con nitidez suficiente para

permitir la identificación y evaluación de riesgos relacionados
con los objetivos.

• La organización identifica los riesgo para el logro de sus

objetivos a través de la entidad y de los análisis de riesgos,
como base para determinar como se deben administrar los
riesgos.

• La organización considera que la posibilidad de fraude en la

evaluación de los riesgos para el logro de los objetivos.

• La organización identifica y evalúa los cambios que podrían

afectar significativamente el sistema de control interno.
 ESTUDIO DE CASO A DESARROLLAR EN CLASES:
CASO:
EXTERNALIZACION PROCESOS DE NEGOCIO
1.- ¿Qué riesgos identifica en la
externalización de un servicio? Haga una
lista y discútalos en su grupo

2.-¿Qué funciones externalizaría y cuales

no? Justifique su respuesta

3.-¿Qué áreas y/o gerencias deberían

participar en el procesos de toma de
decisión de una función y/o servicio?

4.- ¿Qué elementos consideraría

importantes incluir en un contrato de
externalización de servicios para efectos de
mitigar riesgos propios de la entidad
c) Actividades de control
Son aquellas políticas y procedimientos, además de las
incluidas en los otros 4 componentes, que la dirección ha
establecido para cumplir sus objetivos:

• Segregación adecuada de funciones.

• Autorización adecuada de operaciones y actividades
• Documentos y registros adecuados
• Control físico sobre activos y registros
• Verificaciones independientes sobre el desempeño
c) Actividades de control
PRINCIPIOS DE ACTIVIDADES DE CONTROL
Las actividades de control se llevan a cabo en todos los niveles
de la entidad y en las distintas etapas dentro de los procesos de
negocio, y en el entorno de la tecnología.
• La organización selecciona y desarrolla actividades de control
que contribuyan a la mitigación de los riesgos para el logro de
objetivos a niveles aceptables.
• La organización selecciona y desarrolla actividades de control
general de la tecnología para apoyar el logro de los objetivos.
• La organización implementa las actividades de control a través
de políticas que establecen lo que se espera y los
procedimientos que ponen en practica las políticas.
d) Información y Comunicación
• La información es necesaria para que la entidad lleve a cabo
las responsabilidades de control interno para apoyar el logro
de sus objetivos

• La administración obtiene o genera y utiliza la información

relevante y de calidad tanto de fuentes internas y externas
para apoyar el funcionamiento del Control Interno.

• La comunicación es el proceso continuo e iterativo de

proporcionar, compartir y la obtención de la información
necesaria..
d) Información y Comunicación
• La comunicación interna es el medio por el cual la información
se difunde en toda la organización, que fluya hacia arriba,
abajo y en toda la entidad.

• Esto permite al personal para recibir un mensaje caro de la alta

dirección que controla las responsabilidades deben ser
tomadas en serie.

• La comunicación externa es doble: permite la comunicación de

entrada de información externa relevante y proporciona
información a las partes externas en respuesta a las
necesidades y expectativas.
d) Información y Comunicación
• La organización obtiene o genera y utiliza la información
pertinente y de calidad para apoyar el funcionamiento de los
controles internos

• La organización comunica internamente la información,

incluidos los objetivos y responsabilidades de control interno,
es necesario para apoyar el funcionamiento de los controles
internos.

• La organización se comunica con las partes externas con

respecto a los asuntos que afectan el funcionamiento de los
controles internos.
e) Supervisión/ Monitoreo
• Determinar calidad de control interno.
• Control sobre el Control
• Visión externo e independiente del día a día.
• Entornos cambiantes implican organizaciones flexibles.
e) Supervisión/ Monitoreo
PRINCIPIOS SUPERVISION/MONITOREO.

• La organización selecciona, desarrolla y lleva a cabo evaluaciones

globales y/o por separado para determinar si los componentes del
control interno están presentes y funcionando.

• La organización evalúa y comunica las deficiencias de control interno

en forma oportuna a las partes responsables de tomar acciones
correctivas, incluyendo la alta dirección y el Directorio, según el caso.
LIMITACIONES del Control
• Al ser realizado por personas es falible.
• La colusión puede hacer fallar un proceso de control
interno.
• En general, las labores asociadas al control no son
consideradas de primer nivel, en muchas organizaciones.
• La preocupación por los riesgos y el control se intensifica
siempre después de un evento relevante. Es decir no
siempre es permanente.