CONTROL INTERNO

Método utilizado para el cumpliendo de los objetivos de una compañía; y los objetivos de
una compañía son siempre riquezas, mantener clientes, que sus operaciones sean mas
eficientes y eficaces posible, y generar un plus como compañía. Plus que se genera por
el control interno; las empresas que manejan un plus manejo de control (sano) que nos
permita ser mas eficientes y mas eficaz que nos de ese valor agregado como compañía)
El control interno no se dice (se dice). No es necesita decir, por que se ve (tanto
internamente, como externamente).

MODELO COSO
Modelo de control para las compañías, que es adaptable para todo tipo de compañías; ha
sido muy utilizado por las compañías del sector privado; ya que el sector público en
Colombia tiene su propio modelo de control (otras condiciones; por que se maneja mucho
lo que es función pública, factores de auto gestión).
El modelo COSO es un modelo o informe de control que realizaron personas de diferentes
ramas profesionales; con el fin de crear un informe que varias personas llegaran a la
misma conclusión de cómo debía ser un control interno.
Quien lo crea es un comité privado independiente de diferentes ramas de categoría
profesionales, que tenía como objetivo era crear un solo lenguaje a la hora de hablar de
control.
Siglas COSO: Commmittee of sponsoring organizatión of the treadway commission.
(estados unidos; independiente; no pertenece a ningún aspecto político, ni público; que
permite tener un lenguaje único del control como tal).
Inicialmente nace el COSO I, y luego el COSO II donde tiene una influencia mas
adaptable a situaciones de fraudes, que pasaron en los años 2000 hacia adelante; y hace
necesario que cambio un poco la estructura de control.

¿QUÉ ES COSO?
Organización voluntaria (fue creada no por un bien propio, sino como un estudio de
cómo debía de ser un modelo de control) del sector privado, establecida en los EEUU,
dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de
gobierno sobre los aspectos fundamentales de organización de este, una de las
cosas que tiene en cuenta el COSO es la ética empresarial (0 tolerancia al fraude,
corrupción, malos procesos, lavado de activos, financiación del terrorismo…(factores que
hacen que la empresa pierdan su buen nombre)) , control interno, gestión del riesgo
empresarial, el fraude, y la presentación de informes financieros. COSO ha
establecido un modelo común de control interno contra el cual las empresas y
organizaciones pueden evaluar sus sistemas de control.
Fue creado 1985,
Era una situación antes del modelo de control cada empresa tenia su forma de trabajar y
lo que ellos consideraban control; con este informe lo que hacen es proporcionar unos
lineamientos a la parte ejecutiva de la compañía, al gobierno corporativo para que pueden
administrar riesgos y crear un modelo de control que le sirva a cualquier tipo de
compañía.
El COSO es un modelo estándar adaptable a cualquier tipo de organización (pequeña,
mediana, grande) y para que todas las empresas manejen lo que es el buen gobierno
corporativo, el código de ética empresarial, control interno, su administración de riesgo, el
análisis de fraude, y que los estados financieros se hagan bajo un sistema de control
cuando los estados financieros se manejan bajo un sistema de control lo que hace es que
la información financiera es pedida; los inversionistas tengan mayor confianza.
¿CÓMO SE OBTIENE UN BUEN NOMBRE EN UNA COMPAÑÍA?
El buen nombre se obtiene a través de un buen gobierno corporativo y un buen código de
ética empresarial.
Control interno va de la mano con el sistema de gestión de calidad - ISO 9000

DIFERENCIA
COSO I – (INTERNAL CONTROL – INTEGRATED FRAMEWORK): hablaba de riesgo;
pero, como debía ser el control interno, como revisar los riesgos; pero no de la misma
forma como el COSO II.
COSO II – (ENTERPRISE RISK MANAGEMENT – INTEGRATED FRAMEWORK):
amplia el término. Maneja el control interno como algo importante, pero, habla de la
administración de los riesgos (saber cuales son los riesgos, como identificarlos, como
darle un valor, el es alto o si es bajo, como mitigar el riesgo, como darle una respuesta al
riesgo)

sí es importante el control interno, si es importante conocer los riesgos; pero en el COSO

II amplía el termino; los riesgos se plantean desde 3 puntos de vista:
1. Como identificar
2. Como darle respuesta
3. Como valorarlo

COSO I
Hace más de una década el Committee of Sponsoring Organizations of the
Treadway Commission, conocido como COSO, publicó el Internal Control
-Integrated Framework (COSO I) para facilitar a las empresas a evaluar y mejorar
sus sistemas de control interno. Desde entonces esta metodología se incorporó en
las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para
mejorar sus actividades de control hacia el logro de sus objetivos.

Los objetivos de la compañía se ven reflejados:

Revisar en la compañía: evaluar las compañías.
1. Estructura organizacional.
2. Mirar la misión (este a acorde)
3. Visión (este a acorde)
4. Objetivos
5. Valores corporativos
6. Código de ética empresarial

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e

irregularidades que provocaron pérdidas importante a inversionistas, empleados y
otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of
the Treadway Commission, publicó el Enterprise Risk Management -Integrated
Framework (COSO II)y sus Aplicaciones técnicas asociadas, el cual amplía el
concepto de control interno, proporcionando un foco más robusto y extenso sobre
la identificación, evaluación y gestión integral de riesgo.

el COSO II esta muy relacionado con la ley sarbanes oxley (la creo un senador
estadounidense, que a raíz de que muchas empresas habían cometido fraudes a muchos
inversionistas, y que afecto a la nación, los grupos de intereses: fueron afectados por los
fraudes); esta ley nace a mediados de los años 2001 – 2002. Nace con el fin de castigar a
las compañías que cometen fraudes; que hacen pierdan los inversionistas un dinero
bastante importante. - Cuando se crea el COSO II; se tiene en cuenta esta ley.

Los grupos de interés o takeholders; son todas esas personas que se ven afectadas en
una compañía. También son los empleados, los gobiernos, clientes, proveedores, los
reguladores, las entidades del estado, los accionistas (a través de estas compañías se
generan los recursos como impuestos), los inversionistas…

Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora
como parte de él, permitiendo a las compañías mejorar sus prácticas de control
interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo.
Amplia los términos.

Muchas empresas manejan los riesgos inventariados. (taba de riesgo).

A nivel organizacional, este documento destaca la necesidad de que la alta
dirección y el resto de la organización comprendan cabalmente la trascendencia del
control interno, la incidencia del mismo sobre los resultados de la gestión, el papel
estratégico a conceder a la auditoría y esencialmente la consideración del control
como un proceso integrado a los procesos operativos de la empresa y no como un
conjunto pesado, compuesto por mecanismos burocráticos.
A nivel regulatorio normativo, el Informe COSO ha pretendido que cuando se
plantee cualquier discusión o problema de control interno, tanto a nivel práctico de
las empresas, como a nivel de auditoría interna o externa, o en los ámbitos
académicos o legislativos, los interlocutores tengan una referencia conceptual
común, lo cual hasta ahora resultaba complejo, dada la multiplicidad de
definiciones y conceptos divergentes que han existido sobre control interno.

¿Quién es el responsable del cumplimiento del control interno de la compañía?

El responsable es el gobierno corporativo y la alta gerencia y todos los jefes principales de
casa área. Quien impone el control es el gobierno corporativo y la alta gerencia.

El auditor de control interno lo que hace es revisa que se cumpla.

OBJETIVOS
Establecer una definición común de control interno que responda a las necesidades
de las distintas partes.
Facilitar un modelo en base al cual las empresas y otras entidades, cualquiera sea
su tamaño y naturaleza, puedan evaluar sus sistemas de control interno.

Proceso realizado por el consejo de directores, administradores y otro personal de

una entidad, diseñado para proporcionar seguridad razonable mirando el
cumplimiento de los objetivos en las siguientes categorías:

Cuando existe control interno, existen las siguientes: seguridad razonable.

- Efectividad y eficiencia de las operaciones.
- Confiabilidad de la información financiera.
- Cumplimiento de las leyes y regulaciones aplicables.
El Control Interno puede juzgarse efectivo en cada una de las categorías anteriores
respectivamente, si quienes lo llevan a cabo tienen seguridad razonable sobre que:
- Comprenden la extensión en la cual se están obteniendo los objetivos de las
operaciones de la entidad.
- Los EEFF publicados se están preparando confiablemente.
- Se está cumpliendo con las leyes y regulaciones aplicables.
Ya que el Control Interno es un proceso, su efectividad es un estado o condición del
mismo en uno o más puntos a través del tiempo

Es importante tener un buen ambiente de control – amigable.

Efectivo – sano.
Solamente el tiempo te puede decir si el control interno esta funcionando.

ESTRUCTURA DEL COSO I

AMBIENTE DE CONTROL
EVALUACION DE RIESGO
ACTIVIDAD DE CONTROL
INFORMACION COMUNICACIONAL
MONITOREO

1. Ambiente de Control.
Es el fundamento de todos los demás componentes del control interno,
proporcionando disciplina y estructura.
Es como toda la estructura, donde se proporciona la disciplina.
Estructura que tiene la compañía para definir políticas de control.
El control debe tener 3 características fundamentales, para saber si existe ambiente de
control:
1. Que este escrito – debe haber un manual de control interno, una estructura de
puesto de trabajo.
2. Que se aplique
3. Que se monitoree – para saber si el control funciona

2. Valoración de Riesgos.
Identificación y análisis de los riesgos relevantes para la consecución de los
objetivos, constituyendo una base para determinar cómo se deben administrar los
riesgos.
Identificar aquellos eventos negativos que pueden entorpecer los objetivos de la
compañía (vender más, conservar el cliente, vender a tiempo, quedar bien con el cliente).
Se hacen de manera cuantitativa (es el impacto que voy a tener si ese riesgo me puede
afectar) o cualitativa (se maneja desde el punto de vista de la probabilidad de que el
evento negativo me suceda)

3. Actividades de Control.
Políticas y procedimientos que ayudan asegurar que las directivas administrativas
se lleven a cabo.
son todos los procedimientos que se realizan (interviene mucho el auditor de control
interno).
Son todas las políticas de control que se realizan para verificar que los cumplimientos
establecidos en el ambiente de control y la identificación y valoración de riesgo o esa
administración de riesgo se este cumpliendo. Entonces se llevan actividades de control
como monitoreo, diferentes tipos de actividades de control que permiten verificar que si el
control que se este implementando corresponde a la compañía.

4. Información y Comunicación.
Identificación, obtención y comunicación de información pertinente en una forma y
en un tiempo que les permita a los empleados cumplir con sus responsabilidades.
El control se debe comunicar. Comutes de información y comunicación para que todos se
enteren de que se este estableciendo en la compañía.

5. Monitoreo.
Proceso que valora el desempeño de sistema en el tiempo.
Proceso de hacer el análisis de desempeño (se ve mucho los indicadores de desempeño)
Tiempos de entrega, tiempos de operación. Se maneja mucho lo que es el desempeño.
Está relacionado con el tablero de control (se evalúan los indicadores de gestión de cada
área).

DEFINICION DE RIESGO
Es la tolilidad que ocurra un determinado evento que puede tener efectos negativos
para la institución.
Riesgos es uno de los cinco componentes del Marco de Control Interno COSO.
Evento negativo que puede entorpecer los objetivos de la compañía.
Todas las organizaciones independientemente de su tamaño, naturaleza o
estructura enfrentan riesgos
LOS OBJETIVOS DE LA GESTION DE RIESGO SON IDENTIFICAR, CONTROLAR Y
ELIMINAR LAS FUENTES DE RIESGOS.
Políticas de control – eliminen esos posibles riesgos o factores de riesgo. Conocido como
las fuentes de riesgo.
Las fuentes de riesgo son aquellas circunstancias que te ponen en riesgo.

COSO II – ADMINISTRACION DE RIESGO DE LA EMPRESA ERM

Amplia los terminos. Amplia algunas funciones.
Los 8 componentes del coso II están interrelacionados entre si. Estos procesos
debe ser efectuados por el director, la gerencia y los demás miembros del personal
de la empresa a lo largo de su organización
Los 8 componentes están alineados con los 4 objetivos.
1. Rendir informes
2. Cumplir con las obligaciones
Donde se consideran las actividades en todos los niveles de la organización

Su marco conceptual esta basado en principios:

1. La definición de administración de riesgos de la empresa
2. Los principios críticos y componentes de un proceso de administración de
riesgo corporativo efectivo.
3. Pautas para las empresas, para que ellas sean capaces de administrar sus
riesgos. (ERM sus principios buscan que la compañía pueda administrar sus
riesgos)
4. Criterios para determinar si la administración de riesgo de la empresa es
efectiva (a través del ERM nos damos cuenta si se le está dando respuesta a
esos riesgos de manera correcta).

Conceptos claves del COSO II

Administración del riesgo en la determinación de la estrategia. (determinación de las
estrategias necesarias, para crear políticas que puedan minimizar o reducir los riesgos)
Eventos y riesgo (los eventos pueden ser positivo y negativos; solamente que los riesgos
son eventos negativos)
Apetito de riesgo (hasta donde las compañías pueden asumir riesgos; hasta donde
llegaran; es decir, es hasta donde puedes asumir el riesgo)
Tolerancia al riesgo (que tan factible sea que me de un impacto alto y la empresa pueda
ser tolerante)
Visión de portafolio de riesgo (un listado de todos los riesgos, y a cada uno se le crea
una política de control)

COMPONENTES DEL COSO II

AMBIENTE INTERNO
ESTABLECIMIENTO DE SUS OBJETIVOS
IDENTIFICACION DE EVENTOS
ACTIVIDADES DE CONTROL
RESPUESTA AL RIESGO
INFORMACION Y COMUNICACIÓN

1. AMBIENTE INTERNO
Sirve como la base fundamental para los otros componentes del ERM, dándole
disciplina y estructura.
Si dentro de la compañía no existe una estructura organizacional, no existe las políticas,
no tienen establecidos sus objetivos correctos, no tienen determinado su misión, su visión;
pues no vas a poder cumplir con los propósitos establecidos; por que no tienen horizonte.
Cuando existe ambiente interno, nos quiere decir que la empresa tiene claro cuales son
sus objetivos a corto o a largo plazo.
Cuando existe ambiente de interno; al crear manuales de funciones todas las personas
van a estar en sintonía y van a crear conciencia de que la compañía puede que tenga
riesgos, pero la compañía tiene respuesta a esos riesgos o a esos eventos negativos que
puedan suceder.
Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos
que se pueden presentar en la empresa.

2. ESTABLECIMIENTO DE SUS OBJETIVOS

Es importante para que la empresa prevenga los riesgos, tenga una identificación
de los eventos, una evaluación del riesgo y una clara respuesta a los riesgos en la
empresa.
La empresa debe tener una meta clara que se alineen y sustenten con su visión y
misión, pero siempre teniendo en cuenta que cada decisión con lleva un riesgo que
debe ser previsto por la empresa
Las empresas deben tener claro cuáles son sus metas, y que estas se alinean y se
sustenten con su misión y su visión. (es importante tener claro y revisar la misión y visión
de la compañía).
Mirar cual es la misio y la visión. Y que loso controles que estén implementados vallan
acorde de los objetivos de la compañía.

3. IDENTIFICACION DE EVENTOS
Se debe identificar los eventos que afectan los objetivos de la organización, aunque
estos sean positivos, negativos o ambos, para que la empresa los pueda enfrentar y
proveer de la mejor forma posible.
La empresa debe identificar los eventos y debe diagnosticarlos como
oportunidades o riesgos. Para que pueda hacer frente a los riesgos y aprovechar
las oportunidades.
No es más que la identificación de esos eventos; de esos riesgos negativos que puedan
entorpecer mi actividad principal. Dentro de la administración de riesgos yo puedo
identificar eventos que sean positivos (pueden servir como oportunidad) o negativos
(entorpezcan mi actividad principal).
DOFA

4. ACTIVIDADES DE CONTROL
Son las políticas y procedimientos para asegurar que las respuestas al riesgo se
lleven de manera adecuada y oportuna.
Somo como las políticas y los procedimiento que se van a realizar luego de haber
identificado los eventos negativos o esos riesgos; poder crear un política de control.
Tipo de actividades de control:
- Preventiva: que no ha sucedido el evento negativo.
- Defectivas: es cuando ha pasado algo y quieres detectar de pronto algo
- Manuales computarizadas o
- controles gerenciales

5. RESPUESTA AL RIESGO
Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al
riesgo en relación a las necesidades de la empresa.
Es identificar que esa respuesta que valla a dar al riesgo corresponda a la necesidad.
Las respuestas al riesgo pueden ser:
Evitarlo: se discontinúan las actividades que generan riesgo. (dejar de hacer –
descontinuar que generen un riesgo)
Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas (Buscar la
forma de mitigar el riesgo a través de distintas actividades, como el monitoreo, modelos
de control)
Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o
compartir una porción del riesgo. (aun yo sepa que en me puede suceder un riesgo,
buscar la forma de compartirlo, ya sea por seguro o compartir con el cliente). Cuando se
comparte el riesgo se sucede. Sale el riesgo residual (es la perdida mínima que tienen las
compañías).
Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de
ocurrencia del riesgo. (asumirlo)

6. INFORMACION Y COMUNICACIÓN
La información es necesaria en todos los niveles de la organización para hacer
frente a los riesgos identificando, evaluando y dando respuesta a los riesgos.
La comunicación se debe realizar en sentido amplio y fluir por toda la organización
en todos los sentidos.
Debe existir una buena comunicación con los clientes, proveedores, reguladores y
accionistas.

El COSO II nos habla que la comunicación de la información es bastante necesaria en

todos los niveles de la organización; es decir, no solamente debe ser la alta gerencia la
que debe tener claro cuáles son los riesgos, las políticas de control, como evitar esos
riesgos; es decir que toda la compañía debe conocer en un sentido amplio de cuáles son
los riesgos que se está enfrentando la compañía; para que todos en la organización
trabajen para un solo logro o una sola misión o visión. También es bueno que los grupos
de interés o takeholders estén en sincronía y se le comunique cuales son los controles de
la compañía. Ejemplo: solo se paga en un solo día.
Todos los componentes están en sincronía con los objetivos.

7. MONITIREO
Sirve para monitorear que el proceso de administración de los riesgos sea efectivo
a lo largo del tiempo y que todos los componentes del marco ERM funcionen
adecuadamente.
El monitoreo se puede medir a través de:
Actividades de monitoreo continuo: todo el tiempo se está revisado, se está
cumpliendo; tiene que ver mucho con los objetivos de cumplimiento. O Evaluaciones
puntuales: (especifico en ciertas áreas)
Una combinación de ambas formas

Relación entre COSO I y COSO II.

La relación es que el COSO I

La relación entre el COSO I y el COSO II, es que el COSO I tenia 5 componentes; y el
COSO II se amplía.
 ANALISIS

COSO II “ERM” toma muchos aspectos importantes que el coso I no considera,

como por ejemplo
El establecimiento de objetivos
Identificación de riesgo
Respuesta a los riesgos
Se puede decir que estos componentes son claves para definir las metas de la
empresa. (logrando establecer los objetivos, sabiendo cuales son los objetivos de la
compañía, identificando los eventos que me puedan entorpecer la actividad)
Si los objetivos son claros se puede decidir qué riegos tomar para hacer realidad
las metas de la organización.
De esta manera se puede hacer una clara identificación, evaluación, mitigación y
respuesta para los riesgos.

El COSO I no consideraba la importancia de la parte de los establecimientos de los

objetivos, la identificación de los riesgos y la respuesta al riesgo.

¿Cómo yo puedo administrar o aplicar lo que conocemos como el ERM?

1. Saber identificar cuáles son los objetivos, que estos estén claros; para poder decir
que riesgos puedo tomar y cuales son los que les puedo crear una política para
que la organización pueda cumplir, sea corto o a largo plazo todas sus metas.
2. Identificar cuáles son los riegos
3. Y luego busca una política de control que te permita que esos objetivos que tu
quieres sean corto o a largo plazo se puedan cumplir.

COSO EN LA ORGANIZACIÓN
Es muy importante que, para el cumplimiento de estos, el gobierno corporativo este
comprometido; es decir, NO EXITE UNA GESTION DE RIESGO, SI EL GOBIERNO
CORPORATIVO NO ESTE COMPROMETIDO.
El compromiso no solo es invertir en dinero para crear ciertos procedimientos o políticas
de riesgo; si no que también a parte de eso el hacer que tanto los directivos, los altos
mandos y todos en general cumplan con lo implantado.
El auditor de control interno – realiza una evaluación de control, monitorea que se estén
cumpliendo.
GOBIERNOS CORPORATIVOS:
Es el conjunto de relaciones, de mejores prácticas, que debe establecer una
empresa entre su Junta de Accionistas, su Directorio y su Administración Superior
para acrecentar el valor para sus accionistas y responder a los objetivos de todos
sus stakeholder (los proveedores, los bancos, el estado, los empleados (gente
interesada en compañía cumpliendo con las metas establecidas)).

COSO Y AUDITORIA INTERNA.

La auditoría interna se considerará entonces como una parte del sistema de control.
Informe COSO es una herramienta utilizada por la Auditoria interna para realizar el
control interno de la empresa.
La responsabilidad de los Auditores Internos en este proceso es la de revisar el
Control implementado.

¿QUE PAPEL JUEGA EL COSO EN LA AUDITORIA INTERNA?

El COSO en la auditoria interna lo que permite es que el auditor interno tenga un método
de trabajo. A través del COSO el auditor lo que hace es utilizarlo como una herramienta
eficaz para que su trabajo se pueda realizar de acuerdo con lo establecido de como se
debe llevar un control.

¿Cuál ES LA RESPONSABILIDAD DE LOS AUDITORES INTERNOS?

Revisar que se cumpla los controles establecidos. Evalúa que los controles estén escritos,
que se realicen y que también sean eficaces. (o REVISOR FISCAL).

COSO III – marco integrado del control interno

Las empresas deben implementar un sistema de control interno eficiente que les permita
enfrentarse a los rápidos cambios del mundo de hoy. Es responsabilidad de la
administración y directivos desarrollar un sistema que garantice el cumplimiento de los
objetivos de la empresa y se convierta en una parte esencial de la cultura
organizacional. El Marco integrado de control interno propuesto por COSO provee un
enfoque integral y herramientas para la implementación de un sistema de control interno
efectivo y en pro de mejora continua. Un sistema de control interno efectivo reduce a un
nivel aceptable el riesgo de no alcanzar un objetivo de la entidad.
El modelo de control interno COSO 2013 actualizado está compuesto por los cinco
componentes, establecidos en el Marco anterior y 17 principios que la administración de
toda organización debería implementar.

PRINCIPIOS QUE DEBEN IMPLEMENTAR TODA ORGANIZACIÓN

1. ENTORNO CONTROL
Principio 1: Demuestra compromiso con la integridad y los valores éticos (aquí las
compañías tienen que crear un código de ética empresarial; esto esta muy asociado con
lo que conocemos los sistemas de administración de riesgo, lo que tiene que ver con el
lavado de activos, la financiación al terrorismo y también con lo que tiene que ver con las
malas practicas empresariales y hasta la parte de corrupción).
Principio 2: Ejerce responsabilidad de supervisión (supervisar que todos estos
compromisos de integridad ética y valores empresariales sean cumplidos)
Principio 3: Establece estructura, autoridad, y responsabilidad (la estructura
organizacional, los puestos de mando (quienes son, donde se tienen que dirigir) también
conocidos como el proveedor interno, el proveedor externo, el cliente interno, el cliente
externo)
Principio 4: Demuestra compromiso para la competencia (aquí la compañía o el
gobierno corporativo tiene que estar en pro de que los empleados sean competentes para
las actividades encomendadas y también demostrar con compromiso de que los
empleados se capaciten continuamente; generalmente los procesos en las compañías no
son como los procesos académicos. Las compañías son muy versátiles y van cambiando
con el tiempo; por tal razón los empleados deben en constante estudio que les permita ser
competentes durante la historia de vida de una compañía.)
Principio 5: Hace cumplir con la responsabilidad (es decir, debe haber una autoridad;
debe haber un compromiso, de que todas las responsabilidades encomendadas sean
aplicadas)

2. EVALUACION DE RIESGOS
Principio 6: Especifica objetivos relevantes (es decir, cuales son realmente los
objetivos principales, es decir, que es lo que realmente se quiere hacer en la
organización).
Principio 7: Identifica y analiza los riesgos (esos riesgos que afectaran mis objetivos)
Principio 8: Evalúa el riesgo de fraude (NIA 240; esos fraudes que me pueden llegar a
suceder por que no estoy llevando los controles necesarios. Que tan susceptible es la
compañía de que se cometa un fraude dentro de ella. Y cuando en una compañía ha
habido fraudes, se deben estar cambiando esos controles, porque pueden ser fácilmente
violados)
Principio 9: Identifica y analiza cambios importantes (del negocio, los negocios son
cambiantes.)

3. ACTIVIDADES DE CONTROL
Principio 10: Selecciona y desarrolla actividades de control (se deben seleccionar las
actividades correctamente)
Principio 11: Selecciona y desarrolla controles generales sobre tecnología
(tecnología para los mecanismos de control)
Principio 12: Se implementa a través de políticas y procedimientos (las políticas son
reducir, compartir)
Principio 13: Usa información Relevante (con respecto a esos controles previamente
establecidos para poder determinar cuales son esas actividades de control)

4. SISTEMA DE INFORMACION
Principio 14: Comunica internamente (esa comunicación que se le realiza a todos los
empleados, donde se le establece cuales son los controles)
Principio 15: Comunica externamente (los externos, el publico)

5. SUPERVISION DEL SISTEMA DE CONTROL

Principio 16: Conduce evaluaciones continuas y/o independientes (los conocidos
como los monitoreos
Principio 17: Evalúa y comunica deficiencias (el auditor interno, se hacen comités de
mejoras atreves de las deficiencias encontradas)

Se tiene que hacer un análisis en sí, es adaptable y diseñar buenos controles para la
compañía. Los controles siempre se deben estar evaluando.

NIA 400

Riesgo inherente: es aquel riesgo que por mas que trates de evitarlo, va a pasar. Es la
susceptibilidad que por naturaleza toda partida contable tiene de estar registrada,
valuada, presentada o relevada en forma errónea. Las estimaciones y las provisiones son
las causantes por lo general de este riesgo. (terremotos, cosas que no se puede
controlar)

Riesgo de control: los controles establecido no se ejerzan.

- Riesgo bajo: controles detectan cualquier aseveración errónea
- Riesgo alto: que los controles no detecten los errores

ISO 9000
busca la satisfacción del cliente, los socios, empleados. Todos los interesados deben
estar satisfechos. La calidad no la ve solo en referencia al cliente externo; si no que
también incluye a todo el grupo empresarial.
CERTIFICADO.

13 – ABRIL - 2021

VALORACION DE RIESGOS

Para primero valorar el riego, se deben identificar el riego.

Riego inherente: algo que se logra minimizar – no son fáciles determinarlos (terremotos)

5 categorías de los riegos:

- Estratégico: IMPORTANTE porque de aquí toma las decisiones la alta gerencia
para evaluar los procesos. Habla de esos riesgos que corren las altas gerencia al
tomar decisiones; que pueden afectar de manera operativo y financiero de la
compañía. Estrategia de negocio… se debe saber que decisiones de manera
estratégica pueden afectar a la compañía. (revisar actas de decisiones). Son todos
esos riesgos que pueden suceder por las decisiones tomadas por la alta gerencia.
Riego que corren los negocios cuando se toma una decisión gerencial. Estratégico
- Quien lleva el timón del barco, un rumbo o fin que quiere llegar la compañía.

- Operativo: malos funcionamientos, todo lo que tiene que ver con las operaciones.
Área de producción – área muy compleja donde se podrían aplicar todos los riegos
de manera operativa.

- Tecnología: a través de hacker pueden robar información, dinero de la compañía.

Asociado ajeno o dentro de la compañía (doble vía); es decir, un factor interno o
externo.
- De cumplimiento
- Financieros

NOTA: Clase de riego: y dependiendo a la clase se le aplica una respuesta.

INDENTIFICACION DE LOS RIESGOS:

1. SABER CUAL CARACTERISTICA TIENE EL RIESGO (TODO EVENTO QUE ME

PUEDE AFECTAR EN MI PROCESO Y ENTORPECER LAS OPERACIONES DE
LA COMPAÑÍA).

¿COMO SABER QUE UN RIESGO ES PELIGROSO?

Cuando la afectación es alta.
AREA FINANCIERA:

FACTOR – no control de los activos de la compañía. (activos fijo o inventarios)

DESCRIPCION (definir el riesgo) - perdida de los activos de la compañía por una falta de
control.