Smart decisions.

Lasting
value.
"Esquema integral de control
interno para lograr la prevención
de fraude y aseguramiento de la
Función Pública”

Lic. Eduardo Cabrera Alvarez

 Estructura del Modelo
El objetivo primordial del modelo en una Organización, es
determinar la situación actual del sistema de control interno y
mejorar su enfoque de administración de riesgos.

El diseño del modelo

Ajustable
perfecto que se ajuste a la
empresa depende de varias Debe contener, las regulaciones
variables, riesgos y emitidas por los supervisores y
normativas que cada reguladores propios de cada sector
empresa tiene de acuerdo económico, las mejores practicas
con el sector económico. los mundiales en materia de Control
convenios y contratos Interno, Riesgo, Fraude y Gobierno
existentes. Corporativo, es una combinación
que se ajusta a las necesidades de
Gestión de la empresa.
Riesgo
 Estructura de Gobierno
Corporativo

Asamblea de Socios

Consejo de Administración / Junta Directiva

Comité de
Comité de Mercadeo y
Comité de Vigilancia Comité de Compras Comité de Auditoría Planificación Comité Director
Ventas
Financiera

Administración de Riesgo Auditoría Interna

Gerencia General
ASESORIA
CROWE
 Que es el Fraude, según los
expertos
ACFE: Serían las actividades con un propósito de
enriquecimiento personal a través de un uso
inapropiado o la sustracción de recursos/activos de
una organización.

AICPA: El uso de acciones que buscan presentar

ante los Inversores, analistas y/o el mercado, una
situación no realista de la Compañía, con el fin de
cumplir las expectativas de alguno o algunos de los
grupos de interés.
IIA: Cualquier acto ilegal caracterizado por el
engaño, el ocultamiento o la violación de
confianza. Los fraudes son perpetrados por
individuos y organizaciones para: obtener dinero,
propiedades o servicios; evitar pagos o pérdida de
servicios; asegurarse una ventaja personal o del
negocio.
FRAUDE
4
 TEORÍA DEL COMPORTAMIENTO
DE LAS PERSONAS

SIEMPRE SE COMPORTA DE SIEMPRE

DESHONESTO ACUERDO A LAS HONESTO
(15% - 20%) CIRCUNSTANCIAS 15% - 20%)
(60% - 70%)
Hay más de
3,300
millones de
personas en
la fuerza
laboral global

Comportamiento de las personas en una organización

TRIÁNGULO DEL FRAUDE
 EVALUACIÓN DEL SISTEMA
DE CONTROL INTERNO (CI)

Confiabilidad
5 Componentes, 17 de la Cumplimiento
Información del Marco
Principios y 87 puntos que se Jurídico y
Eficiencia y
de enfoques Publica Normas
Eficacia en Establecidas
Fundamentales COSO las
2013 Operaciones
CI es un proceso,
efectuado por todo el
personal de una entidad,
diseñado con el objeto de
proporcionar un grado de
seguridad razonable en
cuanto a la consecución de
objetivos dentro de las
siguientes categorías:
7
 EVALUACIÓN DEL
SISTEMA DE CONTROL INTERNO

• La Gestión de Riesgos
Resumen COSO ERM 2017
debe de aplicarse a Nivel
Estratégico alineada a la
MISIÓN, MEJORA
Misión, Visión y Valores. VISIÓN DESEMPEÑO
&VALORES

• La Gestión de Riesgos
Riesgo
estrategia
& desempeño

Protege los Objetivos

Flujo Proceso COSO ERM 2017
Estratégicos de la
Organización. FORMULACIÓ AUMENTAR
MISIÓN, DESARROLLO IMPLEMENTACIÓ
  VISIÓN ESTRATEGIA N N & DESEMPEÑO VALOR
• Apoya al desarrollo y el &VALORES OBJETIVO &
NEGOCIO

logro de Metas Estratégicas

5 Componentes y 20 Principios Fundamentales COSO ERM 2017
y Operacionales (Procesos
Gobierno Estrategia & Desempeño Evaluación Información,

Operativos) & Cultura Establecimiento

Objetivo.
& Revisión Comunicación
& Reporte
 VISIÓN HOLÍSTICA COSO
CONTROL INTERNO
Sector Público
Sector
OCDE
Sector Financiero
CGR
Privado SUDEBAN (“Lineamientos
BASILEA Generales para el
SOX análisis de presuntos
hechos irregulares”)

Auditoria
Financiera
(NIA 315)

Auditoría
Interna
Auditoría
Forense

Fuente: Crowe CR
 Como conocer a una organización y sus
estrategias para hacer frente a los riesgos ?
Modelo de las Cuatro Líneas de Defensa
Gobierno Corporativo

Consejo de Administración / Junta / Comité de

Auditoría
Gerencia General Gobierno TI

                         Supervisores
2° Línea de 3° Línea de
y
  1° Línea de Defensa  
  Defensa     Defensa   Reguladores
   
       
  Funciones que poseen     Funciones que     Funciones  
  y administran riesgos   supervisan los  
  internas que  
      riesgos   proporcionan un  
    Auditoria
    aseguramiento
  Cumplimiento     Externa
      independiente
   
       
  Control de riesgos      
  Medidas       4° Línea de
Controles     Defensa
  de gestión de control     Contraloría    
 
  interno       Auditoría  
 
  Oficial de Seguridad   Interna   Auditoría
     
    externa y
     
    Calidad  
  supervisión
   
         
       
         Fuente: Instituto de Estabilidad
Financiera de Basilea
 FUNCIONES PRIMERA LINEA DE
DEFENSA

 Mantener un Sistema de Control

Interno efectivo.
 Ejecutar procedimientos de control
constantemente.
 Identificación, medición y control de
riesgos.
 Desarrollar políticas consistentes con
las metas y objetivos de la
organización.
 Implementación de acciones
correctivas.
 FUNCIONES SEGUNDA LINEA DE
DEFENSA

Como segunda línea de defensa, la

gerencia establece diversas funciones de
gestión de riesgos y cumplimiento para
soportar y supervisar la primera línea de
defensa, y de esta manera determinar si
está diseñada, implementada y operando
adecuadamente.
La composición de la línea depende de las
características de la organización, como
su estructura organizativa, sus procesos,
los robustos de su sistema de control
interno y industria en la que opera.
 FUNCIONES TERCERA
LINEA DE DEFENSA
Actividad independiente y
MISIÓN
objetiva de aseguramiento y VISIÓN
consulta que ayudara a la
organización: Actuar en concordancia
  con las Normas
 Administrar los riesgos, Internacionales para la
alinear la planificación práctica de la Auditoria
estratégica y ayudar a cumplir Interna y contar con la
sus objetivos. debida documentación.
 Agregar valor y mejorar las
operaciones de la ASEGURAMIENTO
organización.
 Aportar un enfoque
sistemático y disciplinado.
 Evaluar y mejorar la eficacia
de los procesos de gestión de
riesgos, Sistema de Control
Interno y Gobierno
Corporativo.
 Evaluación de la efectividad del diseño de control
(algunos aspectos a considerar)

.
 Código de Gobierno Corporativo ó Mejores Prácticas Corporativas
(CMPC)
 Comité Directivo, de Auditoría y otros comités de apoyo.
 Código de Ética y conducta establezca pautas de actuación y sana
prácticas de negocios (Fraude y Cultura Tributaría).
 Existe un mapa o matriz general de todos los riesgos principales y
críticos de la organización.
 Existe una alineación entre la administración de riesgos y el
gobierno corporativo
 El plan estratégico de la organización esta alineado con la misión,
visión y valores.
Finalizar la Comprensión del
Evaluar la Efectividad del
Dirigir Reunión Inicial Proceso y el Entorno de
Control
Control
DOCUMENTACIÓN DE CONTROL INTERNO
DOCUMENTACIÓN DE CONTROL INTERNO
 DOCUMENTACIÓN DE CONTROL
INTERNO

• Mapa Estratégico
• Narrativa del
Proceso
• Mapa de Proceso

• Matriz FODA
• Flujograma Detallado del
Proceso
• Matriz de Control y Riesgo
MAPA ESTRATÉGICO
 Cadena de valor de la organización
(Resultado del Análisis de Riesgos del Negocio)

CA
DE CA
NADEN
Estratégicos
Gestión de Investigación Gobierno

DE A D
estrategia y Desarrollo Corporativo

VA E VA
LO LO
R R
Gestión de
Gestión de Gestión de Gestión de Gestión de
Core Abastecimiento
Producción
Logística Distribución Calidad

EM PR
E
Gestión de
Gestión Recursos Gestión de Gestión de Gestión Gestión

SA
Soporte Control
Humanos Información Tecnología Financiera Jurídica
Interno

Riesgo Alto Riesgo Moderado Riesgo Bajo

FLUJOGRAMA DEL PROCESO
 MATRIZ DE CONTROL y RIESGO

MATRIZ DE CONTROL y RIESGO DESEMBOLSOS EN TESORERÍA

ID PUNTO DE DESCRIPCIÓN DEL PUNTO DE OBJETIVO DEL PUNTO DE

ID RIESGO RIESGO ASOCIADO ACCIONES RECOMENDADAS RESPONSABLE
CONTROL CONTROL CONTROL
Las facturas firmadas por la
gerencia que recibio el servicio o
Verificar en el Modulo del sistema bien se encuentre adjunta a los Desembolsos podrían no
C11 Verificar oportunamente la Asistente de Tesorería
de cuentas por cobrar SAP los R9 Cheques o solicitud de corresponder a obligaciones de
documentación soporte. Gerente del Area
desembolsos. transferencia y que los mismos la Compañía.
esten firmados por dos personas
autorizadas.
Debe definirse formalmente los
Dejar evidencia que los pasos son
Verificar que la ordenes de pago Carencia de integridad de los procedimientos que contemplen Asistente de Tesorería
C12 exactos y registrados
sean registrada en el Sistema SAP. R10 saldos de las cuentas por pagar. el registro, revisión y seguimiento Gerente del Area
oportunamente en la contabilidad.
de las cuentas por pagar.
CLASIFICACIÓN DE LOS NIVELES DE
PROBABILIDAD DEL RIESGO
CLASIFICACIÓN DE LOS NIVELES DE
PROBABILIDAD DEL RIESGO
EJEMPLO DE MAPA DE RIESGO
 CLASIFICACIÓN
DE LOS RIESGOS DEL NEGOCIO

RIESGO RIESGO
FINANCIERO OPERACIONA
L

Estructura del Daño a los

Balance Activos
Riesgo de Fallas en los
Mercado Controles
Riesgo de Internos
Liquidez
Fraude Interno y
Riesgo de Externo
Interrupción del
Crédito Negocio
Riesgo de y Fallas en los
Operaciones Sistemas
Ilícitas de Información
Falta de Ética y
Riesgo de Tasa de Abuso
Interés de Autoridad

RIESGOS DEL
NEGOCIO
 COVID 19
Trabajo remoto
 Se ha capacitado a los empleados para la seguridad de la información en sus
computadoras
 Los dispositivos y sistemas estén completamente protegidos
 Asegúrese de cifrar los dispositivos
 Asegúrese de crear una red privada virtual (VPN) para garantizar que todos los
datos transferidos entre el empleado y la red de la oficina estén encriptados y
protegidos
 Administre el uso de almacenamiento de los dispositivos extraíble y otros
periféricos
 Implemente soluciones de Endpoint para controlar dispositivos móviles
 COVID 19
Continuidad del Negocio
 Se han identificado las actividades esenciales de la organización
que tienen que seguir operativas. COVID 19
 Se ha identificado los proveedores, suministros y servicios que
tienen que estar operativos para esas actividades críticas y
esenciales.
 Se midió el impacto y consecuencias sobre los volúmenes de
venta, en los bienes que comercializa y en los servicios que
prestan.
 Se ha analizado el impacto financiero en el flujo de caja, la
morosidad y la rentabilidad del negocio.
 Se han tomado medidas para asegurar la relación con nuestros
clientes.
 Asegúrese de gestionar adecuadamente la comunicación interna
con todo el personal de la organización; asimismo con el resto de
partes interesadas que se relacionen con la actividad de la
empresa.
 Asegúrese que en la comunicación se incluyan recomendaciones
sanitarias para minimizar los riesgos y posibles contagios. 
 Documentación de los vacíos
y recomendaciones de la Efectividad
del Diseño de Control

 Qué controles faltan o podrían mejorarse?

 Cuales son las deficiencias importantes y debilidades materiales que

deben reportarse por escrito al comité de auditoría o a la
administración?

 Cuál es nuestra recomendación para el comité de auditoría o para la

administración?
 Recomendaciones finales para
el informe del Sistema de Control Interno
de la Organización

 Desarrolle un informe que tenga un impacto significativo en el

lector en la primera o segunda pagina a través del resumen
ejecutivo.
 Sea breve, presente únicamente temas cruciales para su
trabajo y que le permitan lograr sus objetivos de negocio de
forma efectiva.
 Divida el informe en secciones de forma tal que permita al
lector profundizar dentro de más detalles y explicaciones
dependiendo de sus necesidades, separe cada componente
del Control Interno.
 En las recomendaciones incluya un plan de acción para que la
administración establezca responsables y tiempo para
corregirlas.
 Se le debe dar un seguimiento efectivo a los planes de
acciones correctivas.
 LOGO DE LA EMPRESA Nivel de Madurez del Sistema de Control Interno

RAZÓN SOCIAL: NOMBRE DE LA EMPRESA CIUDAD: Costa Rica

FECHA DE EJECUCIÓN 15/1/2019 FECHA SEGUIMIENTO:

NOMBRE DEL CONSULTOR: CROWE HORWATH CR, S.A

CONTACTO: Lic. EDUARDO CABRERA ALVAREZ EMAIL: [email protected]

D IA G N O S T IC O

8% 11%
Inmaduro
N IV E L D E M A D U R E Z D E L S IS T E M A D E C O N T R O L IN T E R N O

In ma d u ro 1 1 % # ¡R E F ! # ¡R E F ! # ¡R E F ! # ¡R E F !

23%
R e p e tic ió n

34% 2 3 % # ¡R E F ! # ¡R E F ! # ¡R E F ! # ¡R E F !

D e fin ic ió n 2 4 % # ¡R E F ! # ¡R E F ! # ¡R E F ! # ¡R E F !

Repetición
M a d u ro 3 4 % # ¡R E F ! # ¡R E F ! # ¡R E F ! # ¡R E F !

N iv e lÓ p tim o 8 % # ¡R E F ! # ¡R E F ! # ¡R E F ! # ¡R E F !

T O T A L

24%
9 9 % # ¡R E F ! # ¡R E F ! # ¡R E F ! # ¡R E F !
Definición

Maduro

Nivel Óptimo

NIVEL DE MADUREZ DEL SISTEMA DE CONTROL INTERNO

 PROCESO DE AUDITORÍA INTERNA
DE CROWE GLOBAL
• Cuestiones pendientes Reevaluación
• Encuestas de y
satisfacción seguimiento.
• Comité de • Gerencia.
• Expertos Crowe • Dueños de • Dueños de
Auditoría. procesos.
Horwath. procesos.
• Gerencia
• Comité de Auditoría. • Nuestros Riesgos • Auditores.
• Coordinación de • Evaluados y
Auditores Externos.
Auditoría Interna. • Regulaciones. Auditores.

ENTRADA

1. 2. 3. 4.
Entendimient Evaluació Desarrollo Reporte de
o de n de de la hallazgos
Expectativas riesgos Auditoría

• Guías. • Modelo de • Metodología • Plantillas

riesgos de basada en estándar.
negocio. riesgos • Web de
HERRAMIENTAS • Marco de • Papeles de comunicació
clasificación trabajo n segura.
de procesos. automatizados
.
• Evaluación del
Auto-Control.

SALIDA

 Acuerdo de  Riesgos Clave.  Papeles de  Resumen ejecutivo.

expectativas  Procesos Trabajo.  Principales
del cliente. Clave.  Ideas de mejora conclusiones.
 Plan de de procesos y
Auditoría. controles.
EVALUACIÓN DE CONTROLES A NIVEL DE
ENTIDAD, SOX Y OPERATIVOS CROWE
GLOBAL
 COMUNICACIÓN EFECTIVA ENTRE
AUDITORÍA INTERNA Y EL RESTO DE LAS ÁREAS

Comité de
Auditoría

Comité
Operaciones Ejecutivo
Jefe
Ejecutivo
Auditoría
Interna
Factores Auditores
externos Externos

Función de
Auditoría
Interna

Fuente : Crowe Cybersecurity Risk

Framework
Guía de estudio para Auditores Internos

Aspectos únicos de la
auditoría interna en el
sector público
Octubre 2019
 Certificaciones para Auditores Internos

Calificación en Liderazgo de Auditoría Certificación en Aseguramiento de

Interna (QIAL) la Gestión de Riesgos (CRMA)
Certificaciones para Auditores Internos
 Muchas Gracias
Eduardo Cabrera Alvarez Samuel Márquez
Socio Socio Director
Risk Business, Internal Audit
& Process Consulting [email protected]
 
CARACAS
[email protected] Urb. Los Ruices. Calle Los Laboratorios. Edificio Ofinca, piso 4.
Oficina Nº 43.
Apartado 899, Caracas 1010-A.
www.crowe.cr TEL: +58.212.235.0147
TEL: +58.212.235.4306
[email protected]