You are on page 1of 38

PROGRMA DE ESPECIALIZACIÓN EN

CONTROL INTERNO
MODULO I: METODOLOGIA DE ADMINISTRACION DE
RIESGO
Raúl A. González Carrión
17 Junio del 2017
08h30 a 18h00

Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

2

CONSIDERACIONES EN CASO DE EMERGENCIA:

En caso de un incendio o sismo, por favor tomar en cuenta las
siguientes reglas:
• Salir en calma.
• Mujeres embarazadas y colaboradores discapacitados tendrán prioridad
en la salida.
• Coordinar con un compañero el apoyo necesario.
• De ser posible mujeres no utilizar tacos para evacuar.
• No lleve consigo ningún material ni objeto.
• Salir en calma con los brazos sobre la cabeza.
• Evacuación en filas cruzadas, no empujarse.
• Salir por la puerta hasta punto de encuentro, enumerarse.

Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

RAUL GONZÁLEZ CARRIÓN
• Máster en Auditoría Integral, Ingeniero en Auditoría y Contador Público Autorizado, certificado cinturón
verde LEAN – SIGMA, certificado Auditor Interno Calidad ISO 9001, certificado en Normas Internacionales
de Información Financiera, certificado en Normas Internacionales de Información Financiera para Pymes y
experto en Prevención de Lavado de Activos. Su bagaje profesional se destaca en haber ejercido
funciones de dirección y ejecución en sector privado y público con la posición de sénior experimentado en
la firma Hansen Holm y posterior vinculación a Corporación Financiera Nacional al área de cumplimiento
con los cargos de Analista Regional hasta el encargo de la Gerencia Nacional y Subgerencia Regional de
Cumplimiento. Acreditado y calificado como auditor externo, perito contable e interventor externo ante la
Superintendencia de Compañías Valores y Seguros. Con acreditación de auditor externo y auditor interno
ante la Superintendencia de Economía Popular y Solidaria. Acreditado y calificado como Perito Judicial
teniendo a su haber la culminación de auditorías forenses en ámbito legal. A nivel académico ha aportado
con la dirección y aprobación de tesis de post grado tanto en la Universidad Técnica Particular de Loja y
Universidad Especialidades Espíritu Santo. Actual docente invitado de post grado en Universidad del Azuay
y Universidad Especialidades Espíritu Santo en cátedras de Control Interno, NIIF y Auditoría de Gestión.
Instructor y asesor técnico informativo en el Instituto de Desarrollo Profesional de la Cámara Comercio de
Guayaquil y en la de División Continua del Tecnológico Espíritu Santo formando a más de 1000
profesionales en ámbito empresarial. Actual docente de pre grado en Universidad ECOTEG. Ex Docente en
la Universidad Santa María Campus Guayaquil y Ex - director área de Contabilidad y ex - docente
investigador en Universidad Laica Vicente Rocafuerte de Guayaquil. Escritor con contribuciones de paper
científicos a nivel de Latinoamérica y participación en Congreso Internacional de Auditoría en Instituto
Internacional de Auditoría Sede Costa Rica.

Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

diseñado para proporcionar seguridad razonable mirando el cumplimiento de los objetivos de la organización en estas categorías: Promover la efectividad y eficiencia en las operaciones (incluyendo la salvaguarda de activos). ¿ Qué es CONTROL INTERNO? • Es un proceso realizado por la Junta Directiva. . Asegurar la razonabilidad de los reportes financieros Soportar el cumplimiento con las leyes y regulaciones aplicables Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. Administradores y demás personal de la entidad.

Efectividad del control interno Depende del funcionamiento efectivo de todos los componentes para proveer certeza razonable sobre el logro de una o más de las tres categorías de objetivo Cumplimiento de Eficiencia y Eficacia Información leyes y de las operaciones confiable y útil regulaciones aplicables Presencia y funcionamiento conjunto de los componentes del control interno Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. .

Control Interno • Un esquema comprensivo que nos genera: – Una definición común de “Controles internos” – Discusión de responsabilidades – Estándares para evaluar el sistema de control interno – Un modelo general de control interno Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. .

Es un medio no Ejecutado por personas. No son solo un fin en sí mismo. políticas y manuales. . evitar trampas y sorpresas que pueden ocurrir en el transcurso. Proporciona seguridad razonable. Control Interno • El control interno ayuda a una entidad a llegar a donde quiere llegar. Proceso continuo. Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

• Constituye un medio para un fin. Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. • Está entrelazado con las actividades de operación de una entidad y ES PARTE DE LA ESENCIA DE UNA COMPAÑÍA. • Es ejecutado por la Junta Directiva. Personal • La gente debe conocer sus responsabilidades y sus límites de autoridad. Administradores. Control Interno • El control interno no es un evento o una circunstancia. . es una serie de acciones. es administrado mediante la Proceso planeación. y demás personal de la entidad. ejecución y monitoreo.

entre otros). Misión. objetivos y estrategias de la Compañía para Objetivos alcanzarlos Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. . Control Interno Existen limitaciones inherentes a todos los sistemas de Seguridad control interno (juicios humanos en toma de decisiones. fallas Razonable humanas-errores y equivocaciones. colusión de dos o más personas.

. Responsabilidades frente al sistema de control interno Riesgos Sistema de Control Interno Organización Junta Directiva Asamblea de Accionistas Presidencia Vicepresidencias Gerencias Áreas de Soporte Dueños de Proceso Comité Todo el personal de de la organización Auditoría Auditoría Interna Revisoría Fiscal Responsables del sistema de control interno Responsabilidad de monitorear el sistema de control interno Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

Tipos de Pruebas CI De Procedimiento Sustantivas Sinónimo De Control De Validez de Interno Saldos Funcionamiento de Validar saldos Objetivo los procedimientos expuestos en EECC internos del ente o saldos contables Objeto Estados Auditado Gestión del ente Financieros Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. .

. BREVE RESUMEN Pruebas de Las actividades formales de control cumplimiento son eficaces Si/no Modificación del Plan de Auditoría Informe sobre Revisión de operaciones o los controles hechos posteriores al cierre Aplicación de procedimientos de auditoría sobre bases selectivas Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

ADMINISTRACIÓN DEL RIESGO Y CONTROL INTERNO Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. .

¿Que persigue la administración del riesgo? Evitar o reducir las perdidas Introducirla en los procesos y Aprovechar la procedimientos existencia de normas. . leyes y Buena imagen y regulaciones buenas Información relaciones confiable y Involucrar y oportuna comprometer a Uso efectivo y todos los eficiente de los servidores recursos Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

. • COSO es utilizado principalmente en la administración de riesgos. mientras que al mismo tiempo previenen las pérdidas y consiguen objetivos de rendimiento adecuados. • Estos controles ayudan a que las compañías cumplan las leyes y los reglamentos. tales como la Ley Sarbanes-Oxley. Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. establece controles internos que ayudan a que las compañías Modelo COSO III garanticen una generación de informes financieros confiables.

. COSO ERM – Componentes EVALUACION DE RIESGOS • Especificar objetivos adecuados • Identificar y analizar los riesgos • Evaluar el riesgo de fraude • Identificar y analizar cambios significativos Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

de los siguientes factores: 1. El problema como contingencia del riesgo • La gama de riesgos que se enfrentan en una entidad depende. Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. 5. 9. 3. Magnitud de recursos y productos. entre otros. La complejidad de las actividades. 8. . Lapso y momento evolutivo de la entidad. 7. 2. El volumen de los recursos. 6. Giro de la empresa. 4. Marco competitivo nacional e internacional. Nivel de tecnificación alcanzado. La velocidad con que se desenvuelve la entidad. Estructura organizativa.

. Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. Frase del Riesgo Debido a __________(CAUSA) Puede Ocurrir_______(RIESGO) Lo que conllevaría a ______(EFECTOS) Ejemplo: DEBIDO A_ Desconocimiento de la capacidad operativa PUEDE OCURRIR ___una Planeación inadecuada del ciclo de auditoria__ LO QUE CONLLEVARIA A_Retrasos o deficiencia en la realización de las auditorias.

RIESGO = Probabilidad Impacto APETITO DE RIESGO: nivel de riesgo que una organización está preparada para aceptar. Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. EVALUACIÓN DE RIESGOS: actividades para determinar el nivel de exposición de un proceso frente a sus riesgos. generar pérdidas o mermar potenciales utilidades. . RIESGO: exposición potencial a situaciones que pueden afectar el logro de los objetivos de una organización. Esto con el propósito de desarrollar estrategias de mitigación. tolerar o soportar en un momento determinado de tiempo (cuantitativo o cualitativo). a través de la instauración y fortalecimiento de controles.

el objetivo es reducirlos a un nivel aceptable). Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. Características de los controles: con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que • Están embebidos en las operaciones dicho riesgo se materialice. detección o corrección. • Están enfocadas en prevención. • Pueden ser manuales o automáticos. sin tener en cuenta proceso de construcción el efecto de los controles CONTROL: mecanismo que permite atenuar el riesgo propio de la actividad. procesos y después de aplicar los controles. . del negocio. estructuras para administrar efectivamente eventos potencialmente negativos. (Como no es posible eliminarlos totalmente. RIESGO RESIDUAL: Nivel resultante del riesgo ADMINISTRACIÓN DEL RIESGO: La cultura. Objetivo: Comer el almuerzo en lo RIESGO INHERENTE: Nivel de riesgo alto del edificio que esta en propio de la actividad.

Riesgos (Objetivos) – Controles = Riesgo residual Comprender Comprender Administrar Exposición los los Riesgos los Riesgos Aceptable Objetivos Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. .

. Identificando brechas: Riesgo vs Control Riesgos Controles Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

Remediación de brechas: Valor Riesgos Controles Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. .

En la ausencia de cualquier control. es baja la probabilidad de que el 2. Extrema en el año o periodo. . Excasa los próximos 1-2 años o periodo. EVALUACION DE RIESGOS Ejemplo de criterios para definir la probabilidad de ocurrencia Criterio Descripción En la ausencia de cualquier control puede ocurrir desfalco o errores severos 5. Poco probable desfalco o errores ocurran por lo menos una vez al año o periodo. Probable errores por lo menos una vez al año o periodo. es probable que ocurra desfalco o 3. es muy probable que ocurra desfalco o 4. Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. En la ausencia de cualquier control. Posible errores por lo menos una vez al año o periodo En la ausencia de cualquier control. no se espera el desfalco o los errores en 1. En la ausencia de cualquier control.

negocio. el impacto legal y regulatorio. Gran distracción para la organización. Gran distracción para la organización. Muchos recursos son necesarios para cumplir regulaciones y requisitos 3. No significante Impacto limitado No es potencialmente susceptible al fraude Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. 1. . etc. impacto legal acarrean el deterioro de la reputación. agentes. 5. etc. Extremo Impacto potencialmente irreparable organización y también al declive del precio accionario. y regulatorio. el Pérdida de concesión y/o pérdida del deterioro de la reputación. Las multas son materiales y unidades comerciales deteriorando la reputación. Reducido Temporal estatutarios. Severo Recuperable a largo plazo estatutarios. vendedores u otras cumplir con regulaciones y requisitos personas tiene un impacto directo a la organización o a las 4. Moderado Recuperable a corto plazo No es potencialmente susceptible al fraude estatutarios. EVALUACION DE RIESGOS Ejemplo de criterios para determinar el impacto Regulaciones y requerimientos Criterio Duración Fraude estatutarios Inhabilitado para cumplir con las El fraude a nivel ejecutivo tiene un impacto material directo a la regulaciones y requisitos estatutarios. Algunos recursos son necesarios para cumplir regulaciones y requisitos No es potencialmente susceptible al fraude 2. Significativos esfuerzos son necesarios para El fraude por lo empleados.

. EVALUACION DE RIESGOS Probabilidad de ocurrencia Impacto A Esperado 5 F Crítico 5 B Muy Probable 4 G Significativo 4 C Probable 3 H Alto 3 D No Probable 2 I Moderado 2 E Leve 1 J Bajo 1 Actividad Calificación BxF 1 20 AxH 2 15 CxI 3 6 DxJ 4 2 DxF 5 10 CxF 6 15 Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

Preparar un programa de riesgo 7. Calcular los escenarios mínimo. Priorizar riesgos y oportunidades basados en su valor ponderado 8. La mejor forma es tener sesiones de facilitación 4. Identificar de raíz las causas y las correlaciones 3. máximo y probable 6. EVALUACION DE RIESGOS 1. . Tormenta de ideas sobre riesgos y oportunidades 2. Identificar los riesgos clave que requieren atención estratégica Tormenta de ideas Peso/Cálculo Priorizar Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. Calcular el impacto del riesgo usando la misma medida de los objetivos 5.

ANALISIS RIESGO Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. .

. COSO III – Componentes Alta Riesgo Riesgo (medio) (Alto) I M Transferir Evitar P A Bajo Riesgo C (Riesgo) (Medio) T O Aceptar Mitigar PROBABILIDAD Baja Alta Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

EVALUACION DE LOS RIESGOS Origen de la amenaza Efecto en la organización Riesgos Eficiencia y Eficacia Riesgos de la Externos de las operaciones Entidad Riesgos Integridad de la Riesgos de Internos información Proceso financiera Cumplimiento de Riesgos Riesgos de leyes y Inherentes Actividades reglamentaciones Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. .

es decir. Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. persistencia de los riesgos. hace referencia al ritmo con el evaluación de los riesgos. . LA PERSISTENCIA DE UN RIESGO Hace referencia a la duración del impacto después de que el riesgo se haya materializado. como criterios para evaluar la criticidad de los mismos. incluyen que se espera que la entidad los conceptos de velocidad y experimente el impacto. CAMBIOS EN EL COMPONENTE EVALUACION DE LOS RIESGOS LA VELOCIDAD DEL RIESGO Se refiere a la rapidez con la que se impacta un riesgo en la organización Los cambios en el componente una vez este se ha materializado.

Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. • La organización despliega las actividades de control a través de políticas que establecen lo las líneas generales del control interno y procedimientos que llevan dichas políticas a la práctica. • La organización define y desarrolla actividades de control a nivel de entidad sobre tecnología para apoyar la consecución de los objetivos. . COSO ERM – Componentes ACTIVIDADES DE CONTROL • La organización define y desarrolla actividades de control que contribuyan a la mitigación de los riesgos hasta los niveles aceptables para la consecución de los objetivos.

• Correctivos: acciones que se implementan para corregir un error o irregularidad detectada en el sistema de información. . • Detectivos: detecta y corrige resultados o acontecimientos no deseados una vez que hayan sucedido. Tipos de controles internos • Preventivos: evita que se produzca un resultado o acontecimiento no deseado. Objetivo Riesgos Controles Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

. TIPOS DE CONTROLES Según la oportunidad en que se Según el grado de ejecuta el control automatización MANUAL PREVENTIVO Actividad que depende de la Actividad que ayuda a evitar que habilidad de la persona para ocurra un riesgo prevenir o detectar los errores ocurridos SEMIAUTOMATICO DETECTIVO Actividad que depende de la Actividad que permite identificar habilidad de la persona para errores luego de ocurrido el prevenir o detectar los errores riesgo ocurridos utilizando información proveniente de un sistema AUTOMATICO Actividad que es realizada internamente por un sistema Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

VALORACIÓN CONTROLES Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. .

. RIESGO RESIDUAL Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.

CASOS PRÁCTICOS Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO. .

ESPECIALIZACIÓN EN CONTROL INTERNO MODULO I: METODOLOGIA DE ADMINISTRACION DE RIESGO Raúl A. . González Carrión 17 de Junio del 2017 08h30 a 18h00 Se prohíbe la reproducción total o parcial de la información contenida en este documento sin la autorización expresa y por escrito de IDEPRO.