El Control Interno y su

Evaluación Efectiva
 AGENDA

 BREVE HISTORIA DEL CONTROL INTERNO

 ERM – ENTERPRISE RISK MANAGEMENT

 CONTROL INTERNO – COSO breve explicación

 RIESGOS –
 IDENTIFICACIÓN
 EVALUACIÓN – hacer matriz
 ADMINISTRACIÓN -

 RIESGOS – CONTROL INTERNO – NUEVAS TECNOLOGÍAS


 CONCLUSIONES
 Breve Historia del Control Interno

1970 1980 1990 2000

2004
A mediados Inicios ERM
1992
de los 70s -1980s
Publicación 2002
Investigación Incrementó
del Marco Ley
del el enfoque
Integrado de Sarbanes-Oxley
“Escándalo en Control
Control
Watergate” Interno y Ola de quiebras y
Interno-COSO
1977 cumplimiento escándalos: Enron, etc.
Ley de
prácticas de 1990s – 2000
corrupción Continúa el enfoque en
extranjeras Controles Internos, Riesgos
(Foreign 1985 Administrativos y
Corrupt Comisión Nacional de responsabilidades
Practices Informes Financieros (Blue Ribbon Commission,
Act- FCPA) Fraudulentos Competency Framework for
- (Treadway Internal Audit, Others)
Commission)
 Evolución

COSO – 1992

Control Interno
 Definición Control Interno
Es un proceso, efectuado por el directorio de una
compañía, la administración y todo el personal,
diseñado para proporcionar seguridad razonable
respecto a la consecución de los siguientes objetivos:

Eficiencia y
eficacia de las
operaciones.

Cumplimiento
de leyes y Confiabilidad de
regulaciones la información
aplicables. financiera.
 Conceptos Claves

El control interno es afectado por

El control interno es un personas. No es sólo manuales de
proceso. Es un medio para políticas y formularios, sino también
personas en todos los niveles de la
un fin, no un fin en sí mismo. organización.

El control interno sólo proporciona El control interno está guiado

hacia el logro de los objetivos en
seguridad razonable , no una o más categorías separadas
absoluta, para la administración de
la entidad y el comité directivo. pero que se traslapan.
 Evolución
COSO – 1992 COSO –ERM -2004
Administración del Riesgo
Control Interno Empresarial
 COSO
“… Es un proceso, efectuado por
el directorio de una compañía,
la administración y todo el
personal, diseñado para
proporcionar seguridad
razonable respecto a la
consecución de los siguientes
objetivos:
- -Eficiencia y Eficacia de las
operaciones
- - Confiabilidad en la
información financiera
- - Cumplimiento de leyes y
Regulaciones
Fuente: COSO Estructura Conceptual –
Integrated Framework. 1995. COSO.
ERM
“… es un proceso, efectuado por
el consejo de administración
de una entidad , su gerencia y
todo el personal, aplicable a la
definición de estrategias en
toda la empresa y diseñado
para identificar eventos
potenciales que puedan afectar
a la organización, gestionar
sus riesgos dentro del riesgo
aceptado y proporcionar una
seguridad razonable sobre el
logro de los objetivos.”
Fuente: COSO Enterprise Risk
Management – Integrated Framework.
2004. COSO.
 ¿Porqué el ERM es
Importante?
Principios Subyacentes:

Toda entidad, con o sin fines de lucro, existe para

proporcionar valor para sus grupos de interés (stakeholders)

El valor es creado, preservado o erosionado por las

decisiones de la gerencia en todas las actividades, desde el
establecimiento de la estrategia hasta la operación dia a dia
de la organización

ERM soporta la creación de valor a través de habilitar a la gerencia

para:

Tratar efectivamente con futuros eventos potenciales que

crean incertidumbre
Responder en una manera que reduce la probabilidad de
problemas e incrementa los beneficios.
 ERM - capacidades

Alinear el riesgo aceptado y la

Estrategia
Mejorar las decisiones de respuesta a
los riesgos
Reducir las sorpresas y pérdidas
operativas
Identificar y gestionar la diversidad de
riesgos para toda la entidad
Aprovechar las oportunidades
Mejorar la dotación de capital
 ERM – Marco de Trabajo
Objetivos a nivel de entidad pueden ser visualizados en 4 categorias:

 Estratégico
 Operacional (Salvaguarda de activos)
 Reporte (Fiduciario)
 Cumplimiento

Considera las actividades a todos los niveles de la organización:

 Nivel Corporativo
 Division
 Subsidiaria
 Procesos de Negocios
 ERM – Marco de Trabajo

 La Administración de Riesgos Empresariales

requiere que una entidad defina una visión del
portafolio de riesgos.

 La Gerencia debe considerar cómo los riesgos

individuales están interrelacionados.

 La Gerencia debe desarrollar una visión de

portafolio desde dos perspectivas:

 - A nivel de unidad de negocio

 - A nivel de Entidad
 ERM – Marco de Trabajo

Los 8
componentes
del marco de
trabajo están
interrelacio-
nados
 Ambiente Interno

Establece la filosofía respecto a la

administración del riesgo. Este reconoce que
eventos inesperados así como eventos
esperados pueden ocurrir.

Establece en la entidad la cultura de riesgo.

Considera todos los otros aspectos de como las

acciones de la organización pueden afectar su
cultura de riesgo.
 Factores – Ambiente Interno

Compromiso
Integridad hacia la Estilo operativo Estructura
y valores competencia y filosofía de la organizacional.
éticos. (habilidades y administración.
conocimientos).

Asignación de Políticas y Comité

autoridad y prácticas de Directivo y
responsabilidad. recursos Comité de
humanos. Auditoría.
 Establecimiento de
Objetivos
Es aplicado cuando la gerencia considera la
estrategia de riesgo en el establecimiento de los
objetivos.

Establece la predisposición de tomar riesgos de

la entidad - Una visión de alto nivel de cuánto de
la administración de riesgos y el comité están
dispuestos a aceptar.

La tolerancia al riesgo, el nivel aceptable de

variación alrededor de los objetivos, está
alineado con la predisposición de aceptar
riesgos.
 Identificacion de Eventos
 Diferenciación entre riesgos y oportunidades.

 Eventos que pueden tener un impacto negativo

representan riesgos.

 Eventos que pueden tener un impacto positivo

representan oportunidades, las cuales a través de canales
gerenciales retroalimentan a los objetivos establecidos

 Involucra la identificación de aquellos incidentes,

ocurridos internamente o externamente, que pueden
afectar la estrategia y la consecución de los objetivos.

 Establece como los factores internos y externos se

combinan e interactúan para influenciar en el perfil de
riesgo.
 CATEGORÍA DE EVENTOS

FACTORES EXTERNOS FACTORES INTERNOS

Económicos Infraestructura
• Disponibilidad del Capital • Disponibilidad de Activos
• Emisión de deuda, Impago • Capacidad de los Activos
• Concentración • Acceso al Capital
• Liquidez • Complejidad
• Mercados Financieros
• Desempleo
• Competencia
• Fusiones / Adquisiciones

Medioambiente
• Emisiones y Residuos
• Energía
• Catástrofes Naturales
• Desarrollo Sostenible
Personal
• Capacidad del Personal
• Actividad Fraudulenta
• Seguridad e Higiene

Políticos Procesos
• Cambios de Gobierno • Capacidad
• Legislación • Diseño
• Políticas Públicas • Ejecución
• Regulación • Proveedores / Subordinados

Sociales Tecnología
• Demografía • Integridad de Datos
• Comportamiento del Consumidor • Disponibilidad de Datos y Sistemas
• Responsabilidad Social Corporativa • Selección de Sistemas
• Privacidad • Desarrollo
• Terrorismo • Despliegue
• Mantenimiento

Tecnológicos
• Interrupciones
• Comercio Electrónico
• Datos Externos
• Tecnología Emergente
 Evaluación de Riesgos

 Permite a una entidad entender la extensión a la

cual los eventos potenciales pueden impactar a
los objetivos.

 Evalúa los riesgos desde dos perspectivas:

- Probabilidad
- Impacto

 Es utilizada para evaluar los riesgos y es

normalmente usada para medir los objetivos
relacionados.
 Evaluación de Riesgos

 Emplea una combinación de metodologías de

evaluación de riesgos tanto cualitativas como
cuantitativas.

 Relaciona horizontes de tiempo a horizontes de

objetivos.

 Evalúa los riesgos tanto sobre una base

inherente y una residual.
 Relación de precedencia
Es a partir del establecimientos de los objetivos que se facilita la gestión de los
riesgos empresariales, mediante la identificación de los eventos externos e
internos; la evaluación de los riesgos; la respuesta a los riesgos y el diseño de las
actividades de control

ESTABLECIMIENTO DE OBJETIVOS

IDENTIFICACIÓN DE EVENTOS

EVALUACIÓN DE RIESGOS

RESPUESTA A LOS RIESGOS

ACTIVIDADES DE CONTROL
 Respuesta a los Riesgos

 Identifica y evalúa las posibles respuestas a los

riesgos

 Evalúa las opciones en relación con al “apetito

de riesgo” de la entidad, costo vs. Beneficio de
respuesta a los potenciales riesgos, y determina
la escala o magnitud en la cual una respuesta
reducirá el impacto y/o la probabilidad.

 Selecciona y ejecuta las respuestas basado en la

evaluación de el portafolio de riesgos y sus
respuestas.
 Respuesta a los Riesgos

 Aceptar

 Reducir – Administrar

 Compartir – Trasladar

 Evitar - Eliminar
 Actividades de Control

 Políticas y procedimientos que ayudan a

asegurar que las respuestas a los riesgos, así
como otras directrices de la entidad, son
llevadas a cabo.

 Se ejecutan a través de la organización, a todos

los niveles en todas las funciones.

 Incluye controles de aplicación y controles

generales de tecnología, tanto manuales como
automatizados.
 Información & Comunicación

• La gerencia identifica, captura y comunica

información pertinente en la forma y tiempos
establecidos que habilita a la gente para llevar a
cabo sus responsabilidades.

• La comunicación ocurre en un sentido amplio,

fluyendo hacia abajo, a través y hacia arriba de
la organización.
 Monitoreo

Establece la efectividad de los otros componentes

de ERM son monitoreados a través de:

• Evaluaciones separadas.

• Una combinación de las dos.

 Control Interno

Un poderoso sistema de Control

Interno es esencial para una efectiva
Administración de los Riesgos
Empresariales.
 ERM Roles & Responsabilidades

 Gerencia (Management)

• Consejo de Administración (The board of

directors)

• Oficiales de Riesgos (Risk officers)

• Auditores Internos (Internal auditors)

 Auditores Internos

• Los auditores internos juegan un rol importante en el monitoreo

del ERM, pero no poseen una responsabilidad primaria por su
implementación o mantenimiento.

• Asisten a la gerencia y al Consejo de Administración o al

Comité de Auditoria en el proceso de:

• - Monitoreo -Evaluación

• - Exámen - Reportes

• - Recomendaciones para mejoras.

 Estándares
 2010.A1 – El plan de actividades del
Compromiso de Auditoria Interna debe ser
basado en la Evaluación de riesgos, llevada a
cabo al menos una vez al año.

 2120.A1 – Basado en los resultados de la

Evaluación de Riesgos, las actividades de
Auditoria Interna deben evaluar la Adecuación y
la Efectividad de Controles alrededor de la
Administración de la Organización, de las
Operaciones y de los Sistemas de Información.

 2210.A1 – Al planear el compromiso, el Auditor

Interno debe identificar y Evaluar los Riesgos
Relevantes en las Actividades a revisar. Los
Objetivos del Compromiso deben reflejar los
Resultados de la Evaluación de Riesgos.
 Factores de Implementación Claves

1. Diseño Organizacional de Negocios

2. Establecimiento de una estructura
organización de ERM
3. Realización de Evaluación de Riesgos.
4. Determinación del “Apetito al Riesgo” Global
5. Identificación de Respuestas a Riesgos.
6. Comunicación de Resultados de Riesgos
7. Monitoreo
8. Supervisión & Revisión Periódica de la
Administración
 1. Diseño Organizacional

• Estategias de Negocios
• Objetivos Claves de Negocios
• Relacionar los objetivos que fluyen en cascada
por toda la organización, desde los objetivos
claves del negocio.
• Asignación de responsabilidades para elementos
organizacionales y sus respectivos líderes
 Ejemplo: Relaciones

 Misión – Para proveer servicios de salud de alta calidad

accesible y costeable en base a los recursos de la
comunidad

 Objetivo Estratégico- Para ser el primero o segundo más

grande, se debe brindar un Servicio Completo de Salud,
ser un Proveedor de Cuidados en Mercados
Metropolitanos Medianos.

 Objetivos Relacionados- Para iniciar diálogos con líderes

de los 10 principales hospitales de bajo desempeño y
negociar Contratos con 2 de ellos en el presente año.
 2. Establecimiento ERM

• Determinación de Filosofía de Riesgos

• Encuesta sobre Cultura de Riesgo

• Consideración de Integridad Organizacional y

Valores Éticos

• Decisión acerca de Roles y Responsabilidades

 3. Evaluación Riesgos

La Evaluación de Riesgos es la
Identificación y Análisis de Riesgos
con el fin de alcanzar los Objetivos del
Negocio. Constituye la base para
determinar la forma en que los riesgos
deben ser administrados.
 Ejemplo: Modelo de riesgo
 Riesgos del Entorno

 Disponibilidad de capital
 Regulatorio, Político, y Legal
 Mercados Financieros y Relación de Inversionistas

 Riesgos de procesos

 Riesgos de operaciones
 Riesgo de empoderamiento
 Riesgo de procesamiento de información / tecnología
 Riesgo de integridad
 Riesgo financiero

 Información para toma de decisiones

 Riesgo operacional
 Riesgo financiero
 Riesgo estratégico
 Análisis de Riesgo

Identificación Administración Monitoreo

de riesgo de riesgo de riesgos

Nivel de
Identificación Controlarlo
procesos

Compartir o Nivel de
Medida
transferirlo actividad
Diversificar
Nivel de
Priorización o
entidad
evitarlo
4. DETERMINAR APETITO AL RIESGO

 El apetito al riesgo es el nivel de riesgos – a nivel

amplio o general – que una entidad está
dispuesta a aceptar para buscar valor.

 Usar términos cuantitativos o cualitativos (e.g.

ganancias con riesgo vs. riesgos de reputación),
y considerar tolerancia al riesgo (rango de
variación aceptable).
 DETERMINAR APETITO AL RIESGO

Preguntas claves:

• ¿Qué riesgos no aceptará la organización?

(e.g. ambientales o calidad de compromisos)

• ¿Qué riesgos tomará la organización como nueva

iniciativa?
(e.g. nuevas líneas de producto)

• ¿Qué riesgos aceptará la organización por alcanzar sus

objetivos de competitividad?
(e.g. crecimiento de beneficio vs. participación de mercado?)
 5. IDENTIFICAR RESPUESTA AL
RIESGO

• Cuantificación de exposición a riesgos

• Opciones disponibles:
- Aceptar = monitorear
- Evitar = eliminar (fuera de situación)
- Reducir = instituir controles
- Compartir = asociarse con alguien
(e.g. seguros)

• Riesgo residual (riesgo no mitigado – e.g. hundimiento)

Impacto vs. Probabilidad
Ejemplo: Evaluación de riesgos del call
center

Alto Riesgo Medio Riesgo Alto

• Riesgo de crédito
• Pérdida de teléfonos • Larga espera de los clientes
Pérdida de computadoras Los clientes no se pueden
I
• •

comunicar
M • Los clientes no obtienen
respuestas
P
A Riesgo Bajo Riesgo Medio
C
Fraude • Errores entrada
T •

• Transacciones perdidas • Obsolecencia de Equipos

O • Moral de los empleados • Repetición de llamadas por el
mismo problema

Bajo PROBABILIDAD Alto

Ejemplo: Proceso de Cuentas x Pagar

Objetivo de Riesgo Actividad de

Control Control

Completitud Trasacción Acumulación de

material deudas abiertas

no registrada
Facturas
acumuladas
después de
cierre
 6. Comunicar resultados

• Panorama global de riegos y respuestas relacionadas

• (estado visual de donde los riesgos claves se ubican relativos a la
tolerancia de riesgos)

• Diagramas de flujo de procesos con controles claves anotados

• Narrativas de objetivos de negocio enlazados a riesgos

operacionales y respuestas.

• Listado de riesgos claves a ser monitoreados o utilizados

• Entendimiento de la administración de la responsabilidad de los

riesgos de negocio claves y comunicación de asignaciones.
 7. Monitorear

• Recolectar y mostrar información

• Llevar a cabo análisis

- Los riesgos están siendo identificados
apropiadamente.
- Los controles están trabajando para
mitigar los riesgos.
 8. Supervisión de la administración y
revisión periódica

• Responsabilidad sobre cobertura riesgos

• Propiedad

• Actualizaciones
- Cambios en objetivos de negocios
- Cambios en sistemas
- Cambios en procesos
 Auditores internos pueden agregar
valor a través de:

• Revisando sistemas de control críticos y

procesos de administración de riesgo.

• Llevando a cabo una revisión de la efectividad de

la evaluación de riesgos de la administración y
los controles internos.

• Proveyendo sugerencias en el diseño y mejora

de los sistemas de control y estrategias de
mitigación de riesgos.
 Auditores internos pueden agregar
valor a través de:

• Implementando un enfoque basado en riesgos para planear y

ejecutar el proceso de auditoria interna.

• Asegurando que los recursos de auditoria interna sean

direccionados a las áreas más importantes para la organización.

• Cuestionando las bases de la evaluación de riesgos de la

administración y evaluando la adecuación y efectividad de las
estrategia de tratamiento de riesgo.
 Auditores internos pueden agregar
valor a través de:

• Facilitando ERM workshops.

• Definiendo tolerancia de riesgos donde no se

han definido, basado en la experiencia de
auditoria interna, juicio y conversaciones con la
administración.
Para más información

Sobre COSO
Administración de
Riesgos Empresariales – Marco Integrado,

visite

www.coso.org
o

www.theiia.org
MUCHAS GRACIAS
 Auditoria Interna: evolución
AYER
Función independiente de
evaluación, establecida
dentro de una
organización para
examinar y evaluar sus
actividades como ente
de servicio.
IIA, hasta Diciembre 31, 2001
HOY
Actividad independiente y
objetiva de aseguramiento
y consultoría, diseñada
para agregar valor y
mejorar las operaciones de
una organización.
IIA, desde Enero 1, 2002
 Riesgos

 ¿Cuándo se produce Riesgos?

 Cuando hay PROBABILIDAD de que algo

negativo suceda

 Cuando hay PROBABILIDAD de que algo

positivo no suceda

 Departamentos especializados, equilibrar rentabilidad y riesgos, mayor eficiencia y eficacia

de los procesos logrando efectividad y seguridad razonable. Mecanismos de medición,
fuentes de información y manejos de esquemas estadísticos y sistemas computarizados de
determinación de comportamientos.
 Desafíos Auditoria Interna
frente a ERM
 Auditoría Interna es una actividad independiente,
objetiva de aseguramiento y consulta

 Su rol principal con relación al ERM es proveer

aseguramiento objetivo a la junta sobre la efectividad
de las actividades del ERM. Para ayudar a asegurar
que los riesgos claves del negocio están siendo
gestionados apropiadamente y que el sistema de
control interno está operando efectivamente

 Los auditores internos juegan un rol importante en el

monitoreo del ERM, pero no poseen una
responsabilidad primaria por su implementación o
mantenimiento.
 Desafíos de AI frente a ERM
Los factores claves a ser tomados en cuenta son:

1. Si la actividad representa alguna amenaza a la

independencia y objetividad de la función de
auditoría interna

2. Si la actividad podría mejorar los procesos de

gestión de riesgos, control y gobierno de la
organización.
 Estándares
 2010.A1 – El plan de actividades del Compromiso
de Auditoria Interna debe ser basado en la
Evaluación de riesgos, llevada a cabo al menos una
vez al año.

 2120.A1 – Basado en los resultados de la

Evaluación de Riesgos, las actividades de Auditoria
Interna deben evaluar la Adecuación y la Efectividad
de Controles alrededor de la Administración de la
Organización, de las Operaciones y de los Sistemas
de Información.

 2210.A1 – Al planear el compromiso, el Auditor

Interno debe identificar y Evaluar los Riesgos
Relevantes en las Actividades a revisar. Los
Objetivos del Compromiso deben reflejar los
Resultados de la Evaluación de Riesgos.
 Auditoria Interna vs Valor
Las formas más importante en que la Auditoría Interna
agrega valor a la organización son:

1. Brindando aseguramiento objetivo de que los

principales riesgos de negocio están siendo
manejados apropiadamente

2. Proveyendo aseguramiento de que la gestión de

riesgo y el marco de control interno están operando
efectivamente.