EVALUACIÓN DEL RIESGO Y

CONTROL INTERNO

REFERENCIAS TÉCNICAS

NIA 200, 315 Y 330

Lic. Julio César Montes de León

 CONTENIDO
1. Definición
2. Objetivos y clasificación
3. Métodos de evaluación
4. Entendimiento de la entidad y su entorno
5. Componentes del control interno
6. Procedimientos de evaluación del riesgo
7. Condiciones y hechos que puedan
indicar riesgos de representación
errónea de importancia relativa
 8. Evaluación de los riesgos de
representación errónea de importancia
relativa
9. Comunicación de las debilidades de
importancia relativa en el diseño e
implementación del control interno
10. Respuestas globales para atender a los
riesgos de representación errónea
11. Procedimientos de auditoría que
responden a los riegos.
12. Evaluación de lo suficiente y apropiado
de la evidencia de auditoría obtenida
13. Requisitos de documentos tando de
evaluación del control interno como
riesgos.
14. Ejemplos prácticos
La identificación y valorización de los riesgos se
identifican en la norma 315 que tiene como
alcance la responsabilidad que tiene el auditor en
identificar y valorar los riesgos de incorrecciones
materiales en los estados financieros en donde es
importante conocer la entidad, su entorno y su
control interno.

El auditor tiene la responsabilidad de identificarlos

y valorarlos con la finalidad de proporcionar una
base para el diseño e implementación de
respuestas a esos riesgos valorados.

4
Conforme a la NIA 315, Identificación y valoración de
los riesgos de incorrección material mediante el
conocimiento de la entidad y de su entorno, el auditor
obtendrá conocimiento del control interno relevante
para la auditoría.

Para esto el auditor deberá primeramente excluir de

su análisis los controles internos que van
encaminados a temas no relacionados con la
información financiera, y posteriormente identificar
cuáles de los controles internos relacionados con
información financiera son relevantes, conforme su
juicio profesional, para que con base en estos realice
su evaluación. 5
IDENTIFICAR LOS RIESGOS
⚫ El primer paso para el auditor es evaluar el diseño del
control para identificar los riesgos que se busca
mitigar con el control; posteriormente, habrá que
identificar qué controles existen para mitigar esos
riesgos. También, a su vez, deberá determinar si se
han implementado mediante entrevistas con personal
de la empresa y la realización de procedimientos
adicionales.

⚫ La principal consideración del auditor es si, y cómo,

un control específico previene o detecta y corrige
incorrecciones materiales en las transacciones, saldos
de balance o información a revelar y sus
aseveraciones relacionadas.

6
¿Qué es riesgo?

La posibilidad de que ocurra un evento

que tenga impacto sobre el logro de los
objetivos y ejecutar sus estrategias. El
riesgo es medido en términos de
IMPACTO y PROBABILIDAD.

7
¿Por qué Evaluar el riesgo de
Auditoría?

Porque es la base para la

determinación del enfoque de Auditoría
a aplicar:
⚫ La identificación de los distintos
factores de riesgo.
⚫ Su clasificación y evaluación permite
concentrar la labor de auditoría en el
área de mayor riesgo.
8
¿Riesgo de Auditoría?

Es el riesgo de emitir un informe que no

corresponde con la realidad de los
Estados Financieros contables ( se
emite un balance general inadecuado).
El riesgo de emitir una opinión Estándar
o limpia, cuando existen errores
materiales y no se registran las
salvedades en el Dictamen de
Auditoría.

9
EVALUACIÓN DE RIESGOS (NIA 315)

OBJETIVO A LOGRAR:

“El auditor debe obtener un conocimiento

de la entidad y su entorno, incluido su
control interno, suficiente para identificar y
evaluar los riesgos de manifestaciones
erróneas significativas en las cuentas
anuales ya sean por error o fraude, y
suficiente para diseñar y llevar a cabo los
procedimientos de auditoría”.
10
REQUERIMIENTOS:
A. Procedimientos de evaluación de riesgos.

El propósito es proveer una adecuada base (evidencia)

para la identificación y evaluación de riesgos. (Se deben
de enmarcar dentro del resto de procedimientos de
auditoría).
Los procedimientos para la evaluación de riesgos son:
⚫ Preguntas a la Dirección y a otro personal de la entidad
(efectividad del control interno, proceso de
transacciones, políticas contables, litigios, garantías,
estrategias, etc.) orientadas a identificar riesgos.
⚫ Procedimientos de revisión analítica (a nivel de cuentas
anuales, de más detalle ).
⚫ Observación e inspección (lecturas de informes, visitas
o centros, trazar transacciones, inspeccionar registros,
etc.). 11
EVALUACIÓN DE RIESGOS (NIA 315)

Los procedimientos se llevan a cabo mientras se

obtiene el conocimiento del negocio. Otros
procedimientos también pueden ser útiles:
preguntas a asesores legales y expertos y
obtención de información externa (informes
analistas, prensa, reguladores, etc.)
El auditores debe considerar la información
obtenida en el proceso de aceptación o
continuidad del cliente, o en el desarrollo de
servicios anteriores.

12
La información obtenida de años anteriores debe
ser verificada para determinar posibles cambios.
El socio y el equipo de auditoría deben comentar
los temas relacionados con la posibilidad de
existencia de riesgos. Durante todo el trabajo
deben ir compartiendo la información sobre estos
temas. Estas conversaciones ayudan a ganar
conocimiento de las áreas de trabajo que el
equipo desarrolla y de los resultados de los
procedimientos que se hacen y como pueden
afectar a otras áreas.

13
El conocimiento de la entidad y su entorno,
incluido su control interno.
El conocimiento de la entidad y su entorno
consiste en los aspectos siguientes:

a) Sector o industria, regulación y otros factores

incluido el plan de contabilidad aplicable.

b) Naturaleza de la entidad (dirección,

propietarios, planes, estructura financiera, etc.)

14
c) La selección y aplicación de políticas
contables, incluyendo las razones en sus
cambios e idoneidad y consistencia.

d)Objetivos, estrategias y riesgos

relacionados con el negocio.

e) Medida y revisión de la actuación de la

entidad, ya sean internas (control
presupuestario) o externas (analistas).

15
TIPOS DE RIESGO
Estrategicos
Mercado
Liquidez

Riesgo
Organizaciona
Reputacional
l Legal

Profesional
Operacional
Ambiental

16
Tipos de riesgos al desarrollar una auditoría
externa de estados financieros:
⚫ Riesgo inherente. Está relacionado de manera directa con la
actividad económica de la empresa, independientemente de los
sistemas de control interno.
⚫ Riesgo de control. Para el que influyen los sistemas de control
interno implementados en la empresa, los cuales podrían resultar
insuficientes o inadecuados para la aplicación y detección oportuna
de irregularidades.
⚫ Riesgo de detección. Está directamente asociado con los
procedimientos sobre auditoría. Se trata de la no detección de
errores en el proceso realizado. Una auditoría externa basada en
riesgos se enfoca justamente en evaluar los riesgos del negocio
para comprender en qué aspecto de las actividades de una
organización existe una mayor exposición a que se produzca
información financiera errónea. La auditoría externa basada en
riesgos focaliza los esfuerzos del auditor en evaluar rubros,
transacciones, saldos u operaciones relevantes, dando menos
atención a las de un nivel inferior.
17
“El riesgo final del auditor es una combinación
de tres riesgos diferentes. El primero está
constituido por la posibilidad inherente a la
actividad de la entidad de que existan errores
de importancia en el proceso contable, del cual
se obtienen las cuentas anuales.

El segundo es la posibilidad de que existiendo

estos errores de importancia no fueran
detectados por los sistemas de control interno
de la entidad.

Tercer riesgo, consistente en la posibilidad de

que cualquier error de importancia que exista y
no hubiera sido puesto de manifiesto por el
sistema de control interno, no fuera a su vez
detectado por la aplicación de las pruebas
adecuadas de auditoría”. 18
 TIPOS DE RIESGO
OBJETIVO

RIESGO Riesgo que amenaza el cumplimiento

INHERENTE
de un objetivo (más relacionado con la
causa).
A)Mala aplicación de la publicidad en los productos.
B) Doble utilización de documentación de respaldo
RIESGO
DE CONTROL
Riesgo que el control interno no
advierta errores significativos
(consecuencia).
A) Pérdidas por pagos por productos innecesarios
B) Pérdidas por pagos por bienes no recibidos
C) Pérdidas por hurto
19
 CONTROL INTERNO
⚫ Es el proceso diseñado y
efectuado por los
encargados del gobierno
corporativo, la
administración y otro
personal para proporcionar
seguridad razonable sobre
el logro de los objetivos de
la entidad respecto de la
confiabilidad de la
información financiera,
efectividad y eficiencia de
las operaciones y
cumplimientos de las leyes y
reglamentaciones
aplicables”.
Importancia del Control Interno
La importancia del control interno en una
entidad, va en búsqueda de la exactitud de las
operaciones, sino de la transmisión de una
seguridad razonable y crea expectativas de
mejoras continuas para llevar a cabo sus metas.
Éste nace y crece dentro del ámbito de la
organización, por lo tanto su implementación y
supervisión es responsabilidad de la
administración. Por medio de un adecuado
sistema de control interno, la organización
puede medir la eficacia operacional y el grado de
cumplimiento de sus objetivos, además
constituye la base fundamental en la cual
descansa la confiabilidad del sistema contable.
 Característica del Control Interno

⚫ Forma parte integral de los sistemas

contables, financieros, de planeación, de
información y operacionales de la
entidad.
⚫ Corresponde a la máxima autoridad la
responsabilidad de establecer, mantener
y perfeccionar el sistema de control
interno, el cual debe ser adecuado a la
naturaleza, estructura y misión de la
entidad
Características del Control Interno
⚫ En cada área de la entidad, el funcionario
encargado de dirigirla es responsable por
el control interno ante su jefe inmediato
de acuerdo con los niveles de autoridad
establecidos
⚫ El auditor externo, es el encargado de
evaluar en forma independiente el
sistema de control interno y de proponer
a la junta directiva las recomendaciones
para mejorarlo
Características del Control Interno
⚫ Todas las transacciones deberán
registrarse en forma exacta, veraz y
oportuna de forma tal que permita
preparar informes, administrativos y
financieros, necesarios para la toma de
decisiones gerenciales.
OBJETIVOS DEL CONTROL
INTERNO

Toda organización tiene una misión

y visión, éstas determinan los
objetivos y las estrategias necesarias
para alcanzarlos. Los objetivos se
pueden establecer para el conjunto
de la organización o para
determinadas actividades dentro de la
misma.
MÉTODOS DE EVALUACIÓN
La evaluación del sistema de control interno
define una cuantificación de todos sus
recursos. Mediante el examen y objetivos
del control interno, registros y evaluación de
los estados financieros se crea la confianza
que la entidad debe presentar frente a la
sociedad. La evaluación del sistema de
control interno basado en principios, reglas,
normas, procedimientos evaluación del
sistema de reconocido valor técnico son el
fundamento de la realización de una buena
auditoría financiera.
El auditor financiero debe asegurarse
que se cumplan todas las medidas
adecuadas y necesarias en la
implementación del sistema de
evaluación de control interno.
La evaluación del control interno puede
efectuarse por los siguientes métodos:

27
MUESTREO ESTADÍSTICO

En el proceso de evaluación del control

interno un auditor debe revisar altos
volúmenes de documentos, es por esto que
el auditor se ve obligado a programar
pruebas de carácter selectivo para hacer
inferencias sobre la confiabilidad de sus
operaciones. 

28
MÉTODO DE CUESTIONARIO
Consiste en la evaluación con base en
preguntas en forma técnica y por áreas de
operaciones, estas preguntas deben ser
redactadas en una forma clara y sencilla para
que sean compresibles para, las cuales deben
ser respondidas por parte de los responsables
de las distintas áreas bajo examen.

Por medio de las respuestas dadas, el auditor

obtendrá evidencia que deberá constatar con
procedimientos alternativos los cuales
ayudarán a determinar si los controles operan
tal como fueron diseñados.
29
30
La aplicación de cuestionarios ayudará  a
determinar las áreas críticas de una manera
uniforme y confiable. Una respuesta negativa
advierte debilidades en el control interno.

MÉTODO NARRATIVO

También llamado “descriptivo”, consiste en la

descripción detallada por escrito de los
procedimientos más importantes y las
características del sistema de control interno
para las distintas áreas, mencionando los
registros y formularios que intervienen en el
sistema. El método narrativo, es ideal para
aplicarlo a pequeñas empresas.
MÉTODO GRÁFICO

También llamado de flujogramas, consiste

en revelar o describir la estructura orgánica
de las áreas en examen y de los
procedimientos utilizando símbolos
convencionales y explicaciones que dan una
idea completa de los procedimientos de la
entidad. Tiene como ventajas lo siguiente:

33
✔ Identifica la ausencia de controles financieros y
operativos.

✔ Permite una visión panorámica de las operaciones

o de la entidad.

✔ Identifica desviaciones de procedimientos.

✔ Identifica procedimientos que sobran o que faltan.

✔ Facilita el entendimiento de las recomendaciones

del auditor a la gerencia sobre asuntos contables
o financieros. 

✔ La evaluación debe asegurar la integridad y

técnicas de evaluación.
34
35
PROGRAMA DE AUDITORÍA

Son documentos de Auditoría en el cual se

detallan todas las actividades a realizar en el
proceso de auditoria.

Describe en forma práctica de aplicar las

técnicas y procedimientos de Auditoría.

36
37
Componentes del
Control Interno
con Enfoque
–COSO-
 Origen COSO I Y COSO II ERM

⚫ El Informe COSO es una herramienta que puede asistir en la

evaluación, auditoría, documentación, mejora y da seguimiento al
sistema de control interno, permite facilitar las actividades de los
encargados del control interno, auditores internos y externos, y
gerencias de las organizaciones preocupadas por mejorar sus
resultados.

⚫ En el año 2004, debido a la preocupación y aumento del interés

en la gestión del riesgo, surge el Marco de Gestión ERM
(Administración de Riesgos Empresariales), el cual amplia la
versión inicial de COSO I, diseñado para detectar eventos
potenciales que puedan afectar a la entidad e incluye una guía
actualizada que proporciona herramientas de ayuda a empresas
en la administración de sus riesgos. (Ver anexo 1) Gráfica No. 4
Diferencias entre COSO I y COSO II.
 Origen COSO ERM

⚫ Debido a la preocupación y al aumento del interés en la

gestión de riesgo durante la segunda mitad de los años 90,
el comité de las organizaciones que patrocinaban la
Comisión de Treadway (COSO) determinó que había una
necesidad de un marco común de Gestión Integral de
Riesgo.

⚫ En el 2001 la Comisión contrató a PricewaterhouseCoopers

para desarrollar un marco para evaluar y mejorar la gestión
de riesgo en las organizaciones.

⚫ COSO - ERM se crea ampliando a COSO I para la gestión

integral de riesgo pero no para sustituir el marco de control
interno.

⚫ En Septiembre de 2004 se publicó el estudio ERM

(Enterprise Risk Management).
¿Qué es COSO II-ERM?
⚫ Es un proceso…
⚫ realizado por la junta directiva, la gerencia y
demás personal de la entidad,…
⚫ basado en el establecimiento de estrategias
para toda la empresa, …
⚫ diseñadas para identificar eventos
potenciales que puedan afectar a la entidad,
y gerenciar los riesgos dentro del apetito de
riesgo…
⚫ para proporcionar una seguridad razonable
referente al logro de los objetivos del
negocio.
41
 OBJETIVOS DE COSO

• Integrar las diversas definiciones y

conceptos.
• Reconocimiento general.
• Satisfacer las demandas de los sectores.
• Importancia del C. I.

42
 DEFINICIÓN
Previ
C. oPosteri
I.
-Actividades secuenciales or
para lograr los objetivos.
- Medio / Fin
? ?
El control interno Limitaciones
es un
proceso ?
(afectado por las personas
y niveles de la organización)
destinado a proporcionar una
razonable seguridad
para alcanzar los objetivos del negocio

43
 OBJETIVOS DE CONTROL
INTERNO
* Confiabilidad de la información financiera.

* Eficacia y eficiencia de las operaciones.

* Cumplimiento de leyes y normas.

44
 o
Riesg
l de
t e gra
ó n In nt)
me
t i
es e
G g
o d Mana
e
C r c
: Ma e Risk
rco E RM rpris
M a II - te
e r no - SO (En
t
ol In tegrado CO
o n t r
O I: C ptual In
COS Conce
El Ambiente de Control
“El ambiente interno abarca el talento de una
organización, que influye en la conciencia de sus
empleados sobre el riesgo y forma la base de los
otros componentes de la gestión de riesgos
corporativos, proporcionando disciplina y
estructura. Los factores del ambiente interno
incluyen la filosofía de gestión de riesgos de una
entidad, su riesgo aceptado, la supervisión
ejercida por el consejo de administración, la
integridad, valores éticos y competencia de su
personal y la forma en que la dirección asigna la
autoridad y responsabilidad y organiza y
desarrolla a sus empleados”.

46
 AMBIENTE DE CONTROL
Ambiente (Sinónimos)
=
Atmósfera Ámbito Entorno Habitación Cuarto Aire

Ambiente (Significado)
=
Actitud de un grupo social o conjunto de personas
respecto de algo

Actitud del personal de una entidad respecto del control

 AMBIENTE DE CONTROL
Características
☞Provee disciplina sobre el personal.
☞Refleja el espíritu ético de la gerencia.
☞Influye la conciencia de control de la gente.
☞Evidencia la importancia hacia los C.I.
En resumen
Es la base de los otros componentes, ya que en el A.C. se
evalúan los riesgos y se definen las ......................................
................................ actividades de control y
simultáneamente se capta información comunica bajo un
................... y se ...............
supervisado y corregido oportunamente.
proceso ......................
 AMBIENTE DE CONTROL FACTORES

Riesgos institucionales
FILOSOFÍA DE LA GERENCIA Información gerencial
Planificación

✔ Ejecución y supervisión
VALORES DE INTEGRIDAD Y ✔ Tentaciones ilegales
ÉTICA
✔ Comunicación de valores
✔ Ejemplo

⬂ Marco de acción
ESTRUCTURA ⬂ Responsabilidad y autoridad
ORGANIZATIVA ⬂ Canales de información

ASIGNACIÓN DE RESP. Y
★Descrip. de func. y resp.
AUTORIDAD ★Interrelación de funciones
★Relaciones de información
★Rendición de cuentas
 AMBIENTE DE CONTROL
FACTORES (Cont.)
Competencia
AUDITORÍA Independencia

✔ Contratación
✔ Entrenamiento
POLÍTICAS DE RECURSOS HUMANOS ✔ Evaluación
✔ Compensación

⬂ Objetivos
PROGRAMACIÓN DE OPERACIONES ⬂ Metas
⬂ Ind. de
rendimiento

“El ambiente de control será tan bueno, regular o malo,

como lo sean los factores que lo determinan y,
consecuentemente, el tono de la institución.”
AMBIENTE DE CONTROL

“Aporta disciplina y estructura,

desde la fijación de objetivos hasta la
supervisión”

“CONCIENCIA DE
CONTROL”

51
Establecimiento de Objetivos
⚫ La gestión integral del riesgo asegura
que la gerencia cuente con un proceso
para definir objetivos que estén
alineados con la misión y visión, con el
apetito de riesgo y niveles de tolerancia
⚫ Los objetivos se clasifican en cuatro
categorías:
⚫ Estratégicos
⚫ Operacionales
⚫ De Reporte o presentación de resultados
⚫ De Cumplimiento
52
Establecimiento de Objetivos
“Los objetivos se fijan a escala estratégica, se
debe establecer con ellos una base para los
objetivos operativos, de información y de
cumplimiento. Cada entidad se enfrenta a una
gama de riesgos procedentes de fuentes
externas e internas y una condición previa
para la identificación eficaz de eventos, la
evaluación de sus riesgos y la respuesta a
ellos es fijar los objetivos, que tiene que 24
estar alineados con el riesgo aceptado por la
entidad, que orienta a su vez los niveles de
tolerancia al riesgo de la misma
53
Establecimiento de Objetivos
(Ejemplo)
⚫ Vinculación de la misión y visión con
los objetivos estratégicos y objetivos
específicos
⚫ Objetivos alineados con el apetito de
riesgo de la organización
⚫ Los objetivos a alto nivel se vinculan e
integran con los objetivos específicos
⚫ Determinación de la tolerancia al
riesgo
54
Identificación de eventos
Identificación de eventos “La dirección identifica los
eventos potenciales que, de ocurrir afectarán a la
entidad y determina si representan oportunidades o si
pueden afectar negativamente a la capacidad de la
organización para implantar la estrategia y lograr los
objetivos con éxito. Los eventos con impacto negativo
representan riesgos, que exigen la evaluación y
respuesta de la dirección. Los eventos con impacto
positivo representan oportunidades, que la dirección
reconduce hacia la estrategia y el proceso de fijación de
objetivos. Cuando identifica los eventos la dirección
contempla una serie de factores internos y externos
que pueden dar lugar a riesgos y oportunidades en el
contexto del ámbito global de la organización”.

55
Identificación de Eventos
⚫ La gerencia reconoce que la
incertidumbre existe, lo cual se
traduce en no poder conocer con
exactitud cuándo y dónde un evento
pudiera ocurrir, así como tampoco sus
consecuencias financieras
⚫ En este componente se identifican los
eventos con impacto negativo
(riesgos) y con impacto positivo
(oportunidades)
56
Evaluación del riesgo
La evaluación de riesgos permite a una
entidad considerar la amplitud con que
los eventos potenciales impactan en la
consecución de objetivos. La dirección
evalúa estos acontecimientos desde una
doble perspectiva probabilidad e impacto
y normalmente usa una combinación de
métodos cualitativos y cuantitativos. Los
impactos positivos y negativos de los
eventos potenciales deben examinarse,
individualmente o por categoría, en toda
la entidad
57
 VALORACION DEL RIESGO
El éxito en lograr los objetivos de una entidad
depende, entre otras cosas, de los factores críticos que
afectan al mismo.
EN ESTE SENTIDO:

El control interno ha sido pensado esencialmente para

limitar o minimizar los riesgos que afectan las
actividades programadas para lograr los objetivos de
la entidad.
PARA LO CUAL ES NECESARIO:

Efectuar una evaluación de los riesgos que

afectan el logro de los objetivos de una entidad
 ¿Qué hacer con los riesgos
evaluados por el auditor?

Durante el proceso de una auditoría de estados financieros, el

auditor debe evaluar y diseñar los procedimientos que den
respuesta a los riesgos identificados de errores en su auditoría,
que afecten a los estados financieros auditados en su
conjunto, o bien, a una aseveración en específico.

Un riesgo significativo es la alta posibilidad de que ocurra un

error de importancia identificado y evaluado que, en caso de
ocurrir, afectaría a los estados financieros o a una
aseveración, de manera significativa. Por lo tanto, en opinión
del auditor, se requiere de una respuesta adecuada en su
auditoría, mediante la aplicación de procedimientos
específicos.
59
El auditor puede identificar
riesgos ya sea a niveles globales o
de aseveración; los primeros,
están relacionados con los estados
financieros, y los segundos, a
errores de aseveración o a una
cuenta en específico.

60
Respuestas a riesgos identificados a nivel global

Cuando se identifica y determina la existencia de riesgos

a nivel global, el auditor debe diseñar procedimientos de
auditoría que respondan a ellos; asimismo, debe
documentar el resultado del diseño y las conclusiones de
los procedimientos ejecutados. Algunos ejemplos de
respuestas a los riesgos globales son los siguientes:

61
• Enfatizar al equipo de auditoría la necesidad de mantener el escepticismo
profesional, así como el incorporar elementos de impredecibilidad en la
selección de los procedimientos de auditoría que se vayan a realizar.

• Asignar personal con más experiencia o con habilidades especiales en la

industria, usar expertos, dar mayor supervisión, etcétera.

• Si se determinan debilidades en el entorno de control, el auditor puede

responder de la siguiente manera: Realizando cambios generales en la
naturaleza, oportunidad y alcance de los procedimientos de auditoría; por
ejemplo, se pueden efectuar procedimientos al final del ejercicio

• y no en una fecha intermedia, buscando evidencia de auditoría más amplia,

mediante procedimientos sustantivos, incrementando el número de
localidades que se han de incluir en el alcance de la auditoría, etcétera.

• Un entorno de control efectivo, permite al auditor tener más confianza en el

control interno y en la confiabilidad de la evidencia de auditoría generada
dentro de la entidad y, con ello, realizar algunos procedimientos de
auditoría en una fecha intermedia más que al final del ejercicio.

62
 PASOS A SEGUIR
Establecer (en función de los objetivos, conocimiento de la
entidad y el medio) los riesgos potenciales a los cuales se
encuentra expuesta la operación o actividad bajo evaluación
(riesgo inherente)

Valorar la importancia de los riesgos determinados

anteriormente (riesgo de control o impacto).

Determinar la probabilidad de ocurrencia de los riesgos

definidos anteriormente.

Diseñar la estrategia para evitar, minimizar o transferir el

riesgo (actividades de control).

63
Actividades de control
“Las actividades de control son las
políticas y procedimientos que ayudan a
asegurar que se llevan a cabo las
respuestas de la dirección a los riesgos.
Las actividades de control tienen lugar a
través de la organización, a todos los
niveles y en todas las funciones. Incluyen
una gama de actividades tan diversas
como aprobaciones, autorizaciones,
verificaciones, conciliaciones, revisiones
del funcionamiento operativo, seguridad
de los activos y segregación de
funciones”. 64
 ACTIVIDADES DE CONTROL
¿Qué son?
Son políticas y procedimientos establecidos para responder
a los riesgos identificados y así asegurar razonablemente el
logro de los objetivos.
¿Como se diseñan?

Analizando las causas que generan los riesgos

identificados se establecen las actividades destinadas a
contrarrestarlos.
¿Para qué sirven?
Están orientados principalmente a minimizar los riesgos
que afectan los objetivos y, consecuentemente, sirven
como retroalimentación para el cumplimiento de los
mismos.
¿Quién es el responsable?
Al ser parte del control interno, el máximo ejecutivo es el
responsable por su mantenimiento y los distintos niveles
de la organización por su ejecución.
65
 ACTIVIDADES DE CONTROL
EJEMPLOS

{
Análisis de la Dirección
Comparaciones
Relaciones
Investigaciones
Revisión de los responsables { Supervisión
Seguimiento

Comprobación de las transacciones

{ Integridad
Exactitud
Autorización

{Arqueos
Controles físicos Recuentos
Inspecciones

Dispositivos de seguridad { Restricciones de acceso físico

Restricciones de acceso lógico
Autorización
Segregación de funciones
{ Registro

Medidores de rendimiento { Eficiencia

Eficacia
Economía
Custodia

66
 CARACTERÍSTICAS
✔ Sencillos y comprensibles

✔ Aplicados por quien corresponde

✔ Oportunos

✔ Costo – beneficio

✔ Deben generar “valor agregado”

67
Información y Comunicación
“La información relevante se identifica,
capta y comunica de una forma y en
un marco de tiempo que permiten a
las personas llevar a cabo sus
responsabilidades. Una comunicación
efectiva debe producirse en un sentido
amplio, fluyendo hacia abajo, a través,
y hacia arriba de la entidad

68
 INFORMACION Y COMUNICACION
La calidad de la información afecta la habilidad de la gerencia

para tomar decisiones dirigidas al adecuado cumplimiento de

objetivos.

Contenido
Oportunidad
Actualización Tipo
Exactitud De control
Integridad De alerta
Accesibilidad Para riesgos

69
 INFORMACION Y COMUNICACION

A tal efecto la información debe ser identificada,

captada, procesada y divulgada oportunamente para
que todos los sectores asuman las responsabilidades
que les competen.

La información que no es utilizada presenta un alto

riesgo de “no ser confiable”.

70
 La comunicación es inherente a los
sistemas de información
☞ Como se relacionan sus actividades
El empleado debe con el trabajo de los demás.
Conocer… ☞ Sus funciones y responsabilidades
en cuanto al C.I.
☞ El significado de las “excepciones”.

M D
e i
d
i f
o u
s s
i
ó
n
• Manuales de: políticas, funciones y
procedimientos. • Formal
• Memorias, normas y reglamentos. • Informal

71
Monitoreo o Supervisión
“La totalidad de la administración de riesgos
corporativos es monitoreada y se efectúan las
modificaciones necesarias. Este monitoreo se
lleva a cabo mediante actividades
permanentes de la dirección, evaluaciones
independientes o ambas actuaciones a la vez.
La administración de riesgos corporativos no
constituye estrictamente un proceso en serie,
donde cada componente afecta solo al
siguiente, sino un proceso multidireccional e
interactivo en el cual casi cualquier
componente puede e influye en otro.

72
 VIGILANCIA O SUPERVISION

“Es necesario evaluar el diseño y funcionamiento del

CI, así como la adopción de medidas necesarias para
mantener su eficacia”
¿Por qué?

Ausencia de controles Debilita la entidad y aumentan los

riesgos
¿Cómo evitar?

Supervisiones continuas

Conciencia de control

Evaluaciones puntuales
73
•Antes. •Después (diseño y cumplimiento).
•Actividades regulares. •Funcionamiento íntegro del CI.
•Tiempo real y respuestas •Aptitud para los fines
dinámicas. perseguidos.

Control interno previo Control posterior

Ejecutores

Funcionarios Responsables del área.

y servidores •UAI
•Auditoría Externa
74
 Ejemplo de un cuestionario aplicando
COSO II

El objetivo primordial de la Gestión de Riesgo Empresarial (Enterprise

Risk Management – ERM) es identificar y coordinar el manejo de los
múltiples riesgos que afectan a la empresa, proporcionando a la alta
dirección toda la información necesaria para conocer las alternativas
de respuesta al riesgo. Este cuestionario puede ser utilizado cuando
se estén evaluando las estrategias de gerencia de riesgo empresarial
de una organización. Esta evaluación se enfoca en los componentes
del sistema de Control Interno –COSO: El Ambiente Interno,
Establecimiento de Objetivos, Identificación de Eventos, Evaluación
de Riesgo, Respuesta al Riesgo, Actividades de Control e Información
y Comunicación. Las preguntas las debe contestar el Consulto Senior,
con base en el conocimiento del entorno, en la información recibida
previamente y en las demás evidencias a disposición. Coordinar con
los responsables de los procesos para que respondan aquellas
preguntas sobre las que no tengamos evidencias o información previa
y para validar cualquier pregunta sobre la que haya dudas. La
información de respaldo relevante debe adjuntarse, de ser necesario.
Una respuesta negativa indica generalmente una situación susceptible
de mejora y debe ser sustentada y documentada para respaldar
adecuadamente la respectiva recomendación.
Cuestionario COSO - Evaluación Gestión Riesgo Empresarial
ERM.pdf

75
ALGUNAS CONDICIONES
DE HECHOS QUE PUEDEN
INDICAR RIESGOS DE
REPRESENTACIONES
ERRONEAS DE
IMPORTANCIA RELATIVA

76
⚫ Expansión de nuevos mercados

⚫ Operaciones expuestas a mercados y

regulaciones legales volátiles

⚫ Falta de personal calificados en áreas

especificas (contable e información
financiera)

⚫ Aplicación de nuevos pronunciamiento

contables

⚫ Cambios en la tecnología informática.

77
RESPUESTAS GLOBALES
PARA ATENDER A LOS
RIESGOS DE
REPRESENTACIÓN
ERRÓNEA

78
⚫ Mantener en el equipo de auditoria el
escepticismo profesional.

⚫ Colaboradores con experiencia o recurrir

a expertos

⚫ La supervisión debe ser constante

⚫ Implementación de procedimiento
adicionales imprevisibles

⚫ Obtener evidencia más convincente al

momento de la realización o de la
extensión de los procedimientos de
auditoria.
79
 AUDITORIA INTERNA

Responsable
C.I. Supervisión

Máximo Auditor
Ejecutivo interno
Designa un responsable por la supervisión

80
AUDITORIA EXTERNA

Control Auditoría Auditoría

interno interna externa

“ La función de auditoría externa tiene una visión más

amplia e independiente sobre el control interno” 81
82
GRACIAS POR SU
ATENCIÓN
Preguntas ?

84