Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRABAJO NACIONAL
TÌTULO:
“La Auditoria Interna motor del cambio organizacional en la gestión de riesgos”
Tema: 2.3 Ubicación de la auditoria interna como una unidad interna de gestión – nuevo paradigma: la auditoria y la
gestión de riesgos – (auditoria interna)
Autor:
Lorena María Martires Luzkevich
María Guillermina Mercapidez Abalos
RESUMEN EJECUTIVO
El presente trabajo parte de la premisa de que todas las organizaciones tienen una misión determinada y para
cumplirla se plantean objetivos. Para lograrlos, sus directivos deberían diseñar un sistema de control interno
efectivo, y también analizar los riesgos a los cuales se encuentran expuestos, y luego hacer “algo” con ello, es
decir gestionar dichos riesgos para aumentar las probabilidades de cumplir los objetivos.
A partir de lo dicho, investigamos ¿cómo puede el auditor interno colaborar con la empresa en el mejoramiento
de sus sistemas de control interno y gestión de riesgos? y ¿cuál sería el nuevo rol de la auditoria frente a estos
conceptos, para poder agregar valor a las organizaciones en las cuales desempeña su labor?
En este trabajo se desarrolla un marco teórico con los temas mencionados y se propone una metodología a
aplicar por el auditor interno, pero que también podría usar el auditor externo o la dirección de la empresa, para
intervenir proactivamente en la gestión de riesgos. Se trata de una matriz que permite efectuar un diagnóstico
del control interno existente en la empresa, para luego efectuar un análisis de riesgos y una propuesta de
gestión de los mismos, en post de ayudar a la organización a cumplir sus objetivos. El trabajo incluye la
aplicación a un caso real de dicha metodología.
PALABRAS CLAVE: auditoria interna, gestión de riesgos, control interno, desarrollo de un caso real de
gestión de riesgos.
I. INTRODUCCIÓN
El presente trabajo pretende profundizar sobre las injerencias de la auditoria interna respecto al control interno
y la gestión de riesgos.
La propuesta es presentar un modelo práctico de análisis del control interno de la empresa, que le permita al
auditor identificar los riesgos de incumplimiento de objetivos, y a partir de ello recomendar acciones o
procedimientos conducentes a gestionar dichos riesgos; convirtiéndose así el auditor interno en una pieza clave
del cambio organizacional en este sentido.
Podemos entender al “control interno”, de una forma simplificada, como el conjunto de directrices y normas
emanadas de los dueños o máximos directivos y aplicadas por todo el personal, para dirigir, coordinar y
controlar, con el propósito de que se “cumplan los objetivos” de la empresa.
Bajo esta definición, el análisis del control interno lleva al auditor a identificar aquellos procesos o actividades
que por no realizarse de acuerdo a los parámetros de un control interno eficaz y eficiente, tienen más riesgo de
alejar a la empresa del cumplimiento de sus objetivos.
Nuestra propuesta es proporcionar una herramienta práctica al auditor interno, mostrando su aplicación a una
empresa real, en la cual a partir de un diagnóstico del control interno, efectuado sobre la base de una matriz
conformada por los parámetros establecidos en el tratado de control interno “informe COSO”, pueda determinar
aquellas deficiencias que aumentan los riesgos de no lograr los objetivos de la empresa, y a partir de este
relevamiento, proponer recomendaciones, facilitar la implementación de mejoras, proporcionar entrenamiento,
realizar capacitaciones y coordinar acciones que lo llevarán a cumplir con un rol de auditor interno más
proactivo, agregando valor a la empresa en el mejoramiento de sus sistemas de control interno y gestión de
riesgos; y por lo tanto colaborando con el cumplimiento de sus objetivos.
2
Con el paso del tiempo ha ido cambiando la función de la Auditoria Interna dentro de las organizaciones. Hace
muchos años el auditor interno era visto como un inspector que buscaba los errores de los demás miembros
de la empresa e investigaba las denuncias acontecidas sobre ellos, validando un check list y elevando informes
que rara vez eran considerados de valor para el resto de la organización, pero su ámbito de actuación fue
mutando hacia un rol más proactivo y de generación de valor agregado.
Actualmente se la considera como una actividad independiente y objetiva de aseguramiento y consulta,
concebida para añadir valor y mejorar las operaciones de una organización. Colabora con ella en cumplir sus
objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de los procesos
de gestión de riesgos, control y gobierno (The Institute of Internal Auditors).
Para poder cumplir con este nuevo rol, al auditor se le presenta un gran desafío, ya que debe ayudar a la
organización a alcanzar sus objetivos, y esta función colaborativa implica que debe encontrar la forma de utilizar
sus habilidades y capacidades en materia de control y riesgo para hacer aportes valiosos que promuevan la
mejora de la organización.
Todas las organizaciones tienen una misión determinada y para cumplirla se plantean objetivos. Para lograrlos,
sus directivos deberían diseñar un sistema de control interno efectivo, y también analizar los riesgos que podrían
afectar el cumplimiento de estos objetivos, y luego hacer “algo” con ello, es decir gestionar estos riesgos para
aumentar las probabilidades del cumplimiento de los objetivos.
Entonces, ¿cuál sería el nuevo rol de la auditoria interna frente al control interno y la gestión de riesgos?
Para responder el interrogante, analizamos los roles legítimos de auditoria interna publicados por The Institute
of Internal Auditors (IIA), enumerados a continuación:
1. Roles fundamentales de la Auditoría Interna respecto a la Gestión de Riesgos
Brindar aseguramiento sobre procesos de Gestión de Riesgos.
Brindar aseguramiento de que los riesgos son correctamente evaluados.
Evaluación de los procesos de Gestión de Riesgos.
Evaluación de reporte de riesgos claves.
Revisión del manejo de los riesgos claves.
Del análisis de cada uno de ellos, surge que además de evaluar los procesos de gestión de riesgos y control,
instaurados por los directivos, la auditoria interna debe ayudar a mejorar la efectividad de dichos procesos, y
para ello debe involucrarse de manera proactiva en la gestión de los cambios que sean necesarios. Esta
3
intervención en la gestión, tiene que ser muy cuidadosa para evitar perder su esencia de objetividad e
independencia, para ello, el auditor interno puede ser un facilitador para identificar riesgos, capacitar y
proporcionar entrenamiento a la gerencia, coordinar actividades de gestión de riesgos y hasta proponer
estrategias para gestionar riesgos, pero lo que de ninguna manera puede hacer es tomar la responsabilidad de
la gestión de riesgos. Todas estas nuevas injerencias de la auditoria interna, entendemos que representan un
cambio de paradigma de su función.
Ahora bien, en Argentina, donde el 99% de las empresas son pequeñas y medianas (PYMES)1 y en la mayoría
de ellas no hay una cultura instaurada sobre la importancia del sistema de control interno y de gestión de
riesgos, el nuevo rol del auditor interno se revela como doblemente desafiante, se desdibuja la función de
evaluador y toma más fuerza la función de consultor y colaborador. El Auditor se convertirá en el motor del
cambio, en un elemento fundamental de la transformación organizacional para lograr la efectividad de los
procesos de gestión de riesgos, control y gobierno.
Pensando en el desarrollo de la profesión en nuestro País, donde la mayoría de las empresas son pequeñas y
medianas, elaboramos el presente trabajo, aplicando a una empresa real una metodología que parte de una
evaluación de control interno, como disparador para efectuar un análisis de riesgos y una propuesta de gestión
de los mismos, en post de ayudar a éstas PYMES a cumplir sus objetivos.
Cabría empezar por definir ¿qué es el riesgo? Si buscamos en el diccionario encontramos que es una medida
de la magnitud de los daños frente a una situación peligrosa, esta definición la tenemos internalizada cuando
nos encontramos diciendo frases del tipo “si andamos caminando solos de noche por la calle corremos el riesgo
de que nos roben”. Ahora bien, si tratamos de ir hacia una definición de riesgos empresariales, podemos acudir
a “La International Organization for Standarization” (ISO 31.000) quien define al riesgo como “el efecto de la
incertidumbre sobre los objetivos” y al “The Institute of Internal Auditors” (The IIA) quien lo define como “La
posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se
mide en términos de impacto y probabilidad. Como vemos ambas definiciones coinciden en que para que haya
riesgo tiene que haber incertidumbre sobre el futuro y esa incertidumbre tiene implícita la probabilidad de que
ocurra algo que impacte en los objetivos de la empresa.
De lo anterior se desprende que todas las organizaciones están expuestas a diversos riesgos ya que el futuro
es incierto. En algunos casos los riesgos provendrán del medio ambiente (riesgo de sufrir un terremoto) y en
otros de la propia empresa (riesgo de que los empleados roben). En cualquier caso, los dueños del negocio
que están interesados en cumplir sus objetivos (obtener ganancias, producir mercadería de calidad, cumplir
con las leyes, etc.) deben analizar cuáles son esos riesgos a los que están expuestos y que podrían perjudicar
el cumplimiento de objetivos. Una vez identificados los riesgos deben “hacer algo con eso” es decir gestionarlos,
tomar decisiones y acciones tendientes a reducirlos, eliminarlos, compartirlos o simplemente aceptarlos.
Por “Gestión de Riesgos” se entiende al proceso de identificar acontecimientos posibles, cuya materialización
afectará al logro de los objetivos, y a la aplicación de las medidas destinadas a reducir la probabilidad o el
impacto de esos acontecimientos. Un factor fundamental para la Gestión de Riesgos es la eficacia de los
controles internos.
En el año 2004, el Comité COSO (Committee Of Sponsoring Organizations) publicó un Marco de Gestión
Integral de Riesgo conocido como ERM o “COSO 2”, en este marco se trata a la gestión de los riesgos en las
empresas con un enfoque integrador persiguiendo la creación de valor para los stakeholders o partes
interesadas.
COSO 2 define a la gestión de riesgos como un proceso efectuado por el directorio, la administración superior
y otros miembros de la organización, aplicable a la definición de estrategias en toda la empresa y diseñado para
identificar potenciales eventos que puedan afectar a la entidad y administrar el riesgo dentro de los rangos de
aversión al riesgo aceptados por la entidad, para proveer una razonable seguridad en el logro de sus objetivos.
1
Dato extraído de la página WEB del ministerio de Producción: www.produccion.gob.ar
4
Este marco amplía la visión del riesgo a eventos negativos o positivos, o sea, a amenazas u oportunidades; a
la localización de un nivel de tolerancia al riesgo; así como al manejo de estos eventos mediante portafolios de
riesgos.
Dentro del contexto de misión o visión establecida en una entidad, su dirección establece los objetivos
estratégicos, selecciona la estrategia y fija objetivos alineados que fluyen en cascada en toda la entidad.
Los objetivos de la entidad, se pueden clasificar en cuatro categorías: Estrategia, Operaciones, Información y
Cumplimiento.
El modelo ERM o COSO 2 relaciona cada uno de estos 4 objetivos con cada uno de los siguientes 8
componentes:
Ambiente interno: es la base sobre la que se sitúan el resto de los componentes e influye de manera significativa
en el establecimiento de la estrategia y los objetivos. En este ambiente la dirección define la filosofía que
pretende establecer en materia de gestión de riesgos, en función de su cultura y su “apetito” de riesgo
Establecimiento de objetivos: los objetivos deben establecerse con anterioridad a que la dirección identifique
los posibles acontecimientos que impidan su consecución. Deben estar alineados con la estrategia de la
compañía, dentro del contexto de la misión y visión establecidas
Identificación de acontecimientos: La incertidumbre existe y por lo tanto se deben considerar aspectos externos
(económicos, políticos, sociales) e internos (infraestructura, personal, procesos, tecnología) que afecten a la
consecución de objetivos ya sea negativamente (amenazas) o positivamente (oportunidades)
Respuesta al riesgo: La dirección debe evaluar la respuesta al riesgo en función de 4 categorías: evitar, reducir,
compartir y aceptar. Luego de establecida la respuesta al riesgo más adecuada para cada situación, se deberá
efectuar una revaluación del riesgo residual
Actividades de control: se trata de las políticas y procedimientos que son necesarios para asegurar que la
respuesta al riesgo ha sido la adecuada. Las actividades de control deben estar establecidas en toda la
organización a todos los niveles.
Supervisión: la metodología ERM debe ser monitoreada para asegurar su correcto funcionamiento y la calidad
de sus resultados a lo largo del tiempo
Cabe comentar que COSO se encuentra en proceso de actualización del Marco ERM. Después de un arduo
análisis y discusión se identificaron los retos y requerimientos actuales para las empresas, se desarrolló un
primer documento que se publicó con el fin de recibir los comentarios y sugerencias. Todo este proceso permitió
llegar a la conclusión de presentar un nuevo título al Marco, Administración de Riesgos Empresariales –
Alineación el Riesgo con la Estrategia y el Rendimiento.
El nuevo documento se enfoca al rol de la administración del riesgo empresarial en la definición y ejecución de
la estrategia de la empresa, realzando la necesidad de una alineación entre el rendimiento organizacional y la
administración del riesgo. El marco actualizado comprende dos partes o secciones; la primera presenta una
perspectiva de los conceptos y aplicaciones actuales y emergentes de la administración del riesgo empresarial,
y la segunda sección introduce diferentes puntos de vista y estructuras organizacionales.
5
El nuevo marco, que se espera sea publicado en 2017, brindará herramientas para mejorar la toma de
decisiones, permitiendo así un crecimiento y mejor rendimiento a través de la alineación de la estrategia de la
empresa y los objetivos con el riesgo y la oportunidad. En este sentido, el Marco ERM presenta definiciones de
los conceptos más relevantes y 23 principios organizados en 5 componentes, que abarcan: 1- Gobierno y
cultura del riesgo, 2-Riesgo, estrategia y definición de objetivos, 3-Riesgo en la ejecución, 4-Información,
comunicación y reporte del riesgo y 5-Monitoreo del rendimiento de la administración del riesgo empresarial.
La Gestión de Riesgos puede realizar una enorme contribución ayudando a la organización a alcanzar sus
objetivos. Asimismo, crea mayor enfoque de la gerencia en asuntos que realmente importan; ayuda a prevenir
sorpresas negativas, aporta información valiosa para la toma de decisiones, y aumenta la credibilidad y
confianza ante los mercados y los diversos grupos de interés.
La medida del riesgo abarca dos dimensiones básicas: la probabilidad de que se produzca la amenaza, que se
puede expresar en términos de frecuencia o, mejor en términos de frecuencia relativa, y la severidad con que
se produzca dicha amenaza.
Para terminar, ejemplificamos las 4 estrategias de respuesta al riesgo negativo (amenazas):
RESPUESTA AL RIESGO
Evitar: Será siempre la primera alternativa a considerar. Se logra cuando hay un cambio de proceso o rediseño
o mejoramiento de los mecanismos de control interno. Por ejemplo, ante el riesgo de robo de documentación
importante se resguarda la misma en una caja fuerte ignifuga.
Reducir o Controlar el Riesgo: Sí el riesgo no puede ser evitado porque crea grandes dificultades operacionales,
el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método
más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se
consigue mediante la optimización de los procedimientos y la implementación de controles. Un ejemplo de
reducir los riesgos es capacitar a los empleados de embalaje para disminuir el riesgo de roturas de mercadería
frágil.
Compartir / Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo. Ésta
técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. Asimismo, el riesgo
puede ser minimizado compartiéndolo con otro grupo o dependencia. Como, por ejemplo, traspasar el riesgo
de incendio a una compañía aseguradora.
Aceptar / Retener el Riesgo: Después de que los riesgos han sido reducidos, podría haber residuos del riesgo
(riesgo residual) los cuales serán aceptados. Los planes deben manejar las consecuencias de estos riesgos si
ellos ocurrieran, incluyendo la identificación de los medios de financiar el riesgo. Tomando el mismo ejemplo
de la necesidad de capacitar al personal de embalaje, siempre quedará un riesgo de que luego de la
capacitación igualmente algunos empleados produzcan roturas de la mercadería frágil, este es el riego residual
que se debe asumir.
También vale la pena también mencionar las 4 estrategias de respuesta al riesgo positivo (oportunidades), las
que exponemos a continuación:
Explotar: Eliminar la incertidumbre de que no suceda y potenciarlo para que ocurra.
Compartir: compartir un riesgo positivo con terceros aumenta la capacidad para que salga adelante.
Mejorar: Aumentar la posibilidad de la oportunidad.
Aceptar: implica aceptar que puede venir una oportunidad y prepararse para recibirla.
IV. LA AUDITORIA INTERNA COMO ÚLTIMA LINEA DE DEFENSA
El IIA (The Institute of Internal Auditors) en su declaración de Posición de enero 2013 bajo el nombre “Las tres
líneas de defensa para una efectiva gestión de riesgos y control” desarrolla un modelo en donde distingue
cuales son los tres grupos (o líneas) que participan en la gestión de riesgos, y cuáles son los roles de cada uno:
6
Primera línea de defensa: Cada gerencia operativa es responsable de efectuar controles internos de manera
constante en el día a día, para asegurar el cumplimiento de metas y objetivos. Son quienes se sitúan al frente.
Segunda línea de defensa: Son aquellas funciones establecidas por la gerencia para ayudar a crear y/o
monitorear los controles internos y sobre riesgos de la primera línea de defensa, denominadas también
funciones de soporte. Podrían incluirse aquí, una función de gestión de riesgos (y/o comité), una función de
cumplimiento para monitorear riesgos específicos como el incumplimiento de leyes y regulaciones aplicables;
y una función de control que monitorea riesgos financieros y la emisión de la información financiera. Cada una
de estas funciones tiene algún grado de independencia respecto de la primera línea de defensa, pero son por
naturaleza funciones gerenciales.
Tercera línea de defensa: es la Auditoria Interna. Los auditores internos proporcionan a los organismos de
gobierno corporativo y a la alta dirección un aseguramiento basado en el más alto nivel de independencia y
objetividad sobre la efectividad de la gestión de riesgos y del control interno.
En un mundo perfecto, quizás solo una línea de defensa sería suficiente para asegurar una gestión de riesgos
efectiva. En el mundo real, suele ser difícil lograrlo aún con las tres líneas de defensa activas, si éstas no
trabajan en forma coordinada.
Bajo este modelo se pone a la auditoría interna como la última línea de defensa, es decir cae sobre sus espaldas
una responsabilidad mayor en la búsqueda de la efectividad de la gestión de riesgos, toda vez que tendría que
cubrir las debilidades de las dos líneas de defensa anteriores, es decir si falla en su función, ya no tiene
contención.
Por lo dicho entendemos que la auditoria interna debe redefinir su rol, así como propusimos en el capítulo II,
debe ir hacia un rol donde disminuye un poco el peso de la función de “evaluador” y toma más fuerza la función
de “consultor y colaborador”, con actividades como participar activamente en el proceso de identificación de
riesgos, proporcionar entrenamiento a la gerencia sobre respuesta a riesgos, coordinar actividades de Gestión
de Riesgos, defender el establecimiento de Gestión de Riesgos y desarrollar estrategias de gestión de riesgo
para aprobación de la junta.
El antiguo comerciante y luego los primeros industriales, atendían su negocio en forma personal, por lo cual no
tenían la necesidad imperiosa de practicar un control sobre las operaciones, ya que ellos mismos las
efectuaban, y si detectaban algún error localizaban su origen y lo corregían. Esto ocurría porque en una sola
persona se agrupaban las funciones de adquisición de insumos, elaboración de la producción, la venta, la
cobranza y la rudimentaria administración.
Con el paso del tiempo y debido al desarrollo industrial y económico, los comerciantes o industriales propietarios
no pudieron seguir atendiendo personalmente los problemas productivos, comerciales y administrativos, y se
vieron obligados a subdividir o delegar funciones dentro de la organización y la respectiva responsabilidad de
los hechos operativos o de gestión.
Pero dicha delegación de funciones y responsabilidades no estuvo sola en el proceso, ya que en forma paralela
se debieron establecer sistemas o procedimientos que previeran fraudes o errores, que protegieran el
patrimonio, que dieran información coherente y que permitieran una gestión eficiente.
Así nace el control como una función gerencial, para asegurar y constatar que los planes y políticas
preestablecidas se cumplan tal como fueron fijados.
La expresión “control interno” es generalmente utilizada para enunciar el conjunto de directrices y normas
emanadas de los dueños o máximos ejecutivos, para dirigir, coordinar y controlar a sus subordinados, con el
propósito de que se cumplan los objetivos de la empresa.
Si bien existen varias definiciones sobre “control interno” entendemos que la más universalmente aceptada, es
la incluida en el informe COSO publicado en 2013 (Committee of sponsoring Organizations of the Treadway
Commission) CONTROL INTERNO - MARCO INTEGRADO, que reemplazo al COSO I, vigente desde 1992
7
4. INFORMACIÓN Y COMUNICACIÓN
La información es necesaria para que la entidad pueda llevar a cabo sus responsabilidades de control interno.
Hay que identificar, recopilar y comunicar información pertinente en tiempo y forma que permita cumplir a cada
10
empleado con sus responsabilidades. Los sistemas de información generan informes, que contienen
información operativa, financiera y la correspondiente al cumplimiento, que posibilitan la dirección y el control
del negocio. Dichos informes contemplan, no sólo, los datos generados internamente, sino también información
sobre incidencias, actividades y condiciones externas, necesaria para la toma de decisiones y para formular
informes financieros. Debe haber una comunicación eficaz en un sentido amplio, que fluya en todas las
direcciones a través de todos los ámbitos de la organización, de arriba hacia abajo y a la inversa. Las
responsabilidades de control han de tomarse en serio. Los empleados tienen que comprender cuál es su papel
en el sistema de control interno y cómo las actividades individuales están relacionadas con el trabajo de los
demás. Asimismo, tiene que haber una comunicación eficaz con terceros, como clientes, proveedores,
organismos de control y accionistas.
Además de recibir la información necesaria para llevar a cabo sus actividades, todo el personal, debe recibir
una eficaz comunicación sobre sus funciones comprometidas en el control interno. Cada función concreta ha
de especificarse con claridad, cada persona tiene que entender los aspectos relevantes del sistema de control
interno, cómo funcionan los mismos, saber cuál es su papel y responsabilidad en el sistema. Al llevar a cabo
sus funciones, el personal de la empresa debe saber que cuando se produzca una incidencia conviene prestar
atención no sólo al propio acontecimiento, sino también a su causa. De esta forma, se podrán identificar la
deficiencia potencial en el sistema tomando las medidas necesarias para evitar que se repita. Asimismo, el
personal tiene que saber cómo sus actividades están relacionadas con el trabajo de los demás, esto es
necesario para conocer los problemas y determinar sus causas y la medida correctiva adecuada, El personal
debe saber los comportamientos esperados, aceptables y no aceptables. Los empleados también necesitan
disponer de un mecanismo para comunicar información relevante a los niveles superiores de la organización,
los empleados de primera línea, que manejan aspectos claves de las actividades todos los días, generalmente
son los más capacitados para reconocer los problemas en el momento que se presentan. Debe haber líneas
directas de comunicación para que esta información llegue a niveles superiores, y por otra parte debe haber
disposición de los directivos para escuchar.
Además de una comunicación interna, ha de existir una eficaz comunicación externa. Los clientes y proveedores
podrán aportar información de gran valor sobre el diseño y la calidad de los productos o servicios de la empresa,
permitiendo que la empresa responda a los cambios y preferencias de los clientes. Por otra parte, toda persona
deberá entender que no se tolerarán actos indebidos, tales como sobornos o pagos indebidos.
5- ACTIVIDADAES DE SUPERVISIÓN
El sistema de control interno requiere supervisión, es decir, un proceso que compruebe que se mantiene el
adecuado funcionamiento del sistema a lo largo del tiempo. Esto se consigue mediante evaluaciones continuas,
evaluaciones independientes o una combinación de ambas. La supervisión continua se da en el transcurso de
las operaciones. Incluye tanto las actividades normales de dirección y supervisión, como otras actividades
llevadas a cabo por el personal en la realización de sus funciones. El alcance y frecuencia de las evaluaciones
dependerá de la evaluación de riesgos y de la eficiencia de los procesos de supervisión. Los sistemas de control
interno y, en ocasiones, la forma en que los controles se aplican, evolucionan con el tiempo, por lo que
procedimientos que eran eficaces en un momento dado, pueden perder su eficacia o dejar de aplicarse. Las
causas pueden ser la incorporación de nuevos empleados, defectos en la formación y supervisión, restricciones
de tiempo y recursos y presiones adicionales. Asimismo, las circunstancias en base a las cuales se configuró
el sistema de control interno en un principio también pueden cambiar, reduciendo su capacidad de advertir de
los riesgos originados por las nuevas circunstancias. En consecuencia, la dirección tendrá que determinar si el
sistema de control interno es en todo momento adecuado y su capacidad de asimilar los nuevos riesgos.
COMPONENTES Y PRINCIPIOS
El marco COSO establece 17 principios que representan los conceptos fundamentales asociados a cada uno
de los 5 componentes. Una entidad podrá alcanzar un control interno efectivo si aplica todos estos principios.
Para construir la matriz de evaluación del sistema de control interno aplicable a la empresa real, base del
presente trabajo, tuvimos en cuenta además de los 5 componentes con sus 17 principios asociados, los que el
Marco COSO define como “puntos de interés” o puntos de enfoque, que son características importantes de
cada principio, los que suman 84 y se detallan en el cuadro siguiente:
11
Nuestra propuesta parte de la hipótesis de que si la empresa posee un control interno eficiente, aumenta sus
probabilidades de cumplir con los objetivos. Por este motivo proponemos que el auditor interno utilice la matriz
del cuadro anterior, para efectuar el diagnóstico del control interno de la empresa, con el propósito de determinar
13
deficiencias, evaluar riesgos y proponer mejoras y actividades concretas tendientes a que la empresa logre una
eficiente gestión de los riesgos.
La metodología propuesta consiste en efectuar los siguientes pasos:
1. Evaluar los 5 componentes y los 17 principios del sistema de control interno propuestos por
COSO a partir de calificar los 84 puntos de foco. Luego de calificar los puntos de foco asociados
a cada principio, se llegará a un puntaje por principio (promedio ponderado del puntaje asignado
a los puntos de foco) y de la sumatoria de los puntajes de cada principio relacionado a cada
componente, se arriba al puntaje del componente. El Resultado final será un puntaje total
(sumatoria del puntaje de los 5 componentes) para el sistema de control interno, entre 0 y 100
puntos.
2. Para cada punto de foco calificado con un puntaje menor al ideal se identificarán deficiencias de
control interno
3. A cada deficiencia encontrada se la relacionará con una categoría de objetivo al que podría
afectar, y en función a la probabilidad de incumplimiento de este objetivo se evaluará el riesgo
(alto-medio-bajo)
4. Se confeccionará una hoja de seguimiento de deficiencias, donde se detallará la descripción de
la deficiencia, como afecta a los objetivos de la organización, y la propuesta de cambio (gestión
del riesgo)
Explicamos cómo desarrollamos la metodología:
Punto 1 de la metodología: en el primer paso de la metodología propuesta intervienen tres conceptos:
a) Puntos de foco o puntos de interés: que son características importantes de los principios y deben ser
calificados. Si bien el Marco define 84 puntos de foco, de acuerdo a la naturaleza de la organización el
evaluador puede suprimir, incorporar o adecuar los puntos de foco para mostrar la realidad empresaria.
Antes de comenzar el análisis se debe definir un puntaje a asignar a cada punto de foco. Siendo la puntuación
mínima 0 y la máxima 5, se definió el siguiente puntaje basado en nuestro criterio profesional:
Puntaje Concepto
0 No cumple con el punto de foco
1 Cumple regularmente con el punto de foco
2 Cumple moderadamente el punto de foco
3 Cumple aceptablemente el punto de foco
4 Cumple adecuadamente el punto de foco
5 Cumple 100 % el punto de foco
b) Principios: El puntaje que recibe cada principio es el promedio ponderado de la puntación de los puntos
de foco asociados a ese principio. En el caso de los principios todos deben estar presentes y
funcionando para arribar a la conclusión de que el sistema de control es efectivo.
c) Componente: de la sumatoria de los principios relacionados a cada componente se arriba a la
puntuación del componente. Cada componente tiene un puntaje ideal de 20 puntos para que la
sumatoria de los 5 componentes arribe a un puntaje final de 100 Puntos. Puntajes menores a 20 implican
deficiencias de control interno que luego de ser evaluadas permitirán concluir si los componentes se
encuentran presentes y funcionando y además si los 5 componentes funcionan juntos de forma
integrada
La información descripta arriba se desarrolló en una planilla de cálculo, sobre la base de la matriz de página
11 y 12, que permitió puntuar los puntos de foco y arribar a la puntación de los principios y de los componentes.
Punto 2 de la Metodología:
En la última columna de la planilla de cálculo descripta más arriba, se definen y codifican las deficiencias de
control detectadas producto del análisis, para luego ser tratadas en la hoja de seguimiento de deficiencias
14
Punto 3 de la Metodología:
Se elabora aquí una hoja de seguimiento de deficiencias para cada uno de los principios. Para el desarrollo del
caso real del punto VII, solo elaboramos la hoja de seguimiento de deficiencias del primer componente del
Marco: Entorno / Ambiente de control. En ella se identifican y codifican para cada uno de los principios del
componente 1 las deficiencias de control, los objetivos a los cuales puede afectar esa deficiencia de control y
la evaluación del riesgo tomando para el análisis la probabilidad o frecuencia de que ocurra el evento.
Punto 4 de la Metodología:
Una vez definido esto, nos propusimos ir más allá del Marco, convencidas de que la Auditoría Interna es un
motor del cambio organizacional en la gestión de riesgos.
Siendo conscientes de los roles legítimos que posee la Auditoría Interna en la gestión de riesgos y llevándolos
a cabo con el debido cuidado profesional, es que decidimos facilitar, identificar y evaluar los riesgos que atentan
contra la consecución de los objetivos, defendiendo y desarrollando estrategias de gestión de riesgo para que
sean aprobadas por el Directorio de la sociedad.
Es por ello que dentro de la gestión de riesgo recomendamos una respuesta al mismo. Asimismo, asociamos a
cada deficiencia detectada una recomendación y un plan de acción que permita implementar esa
recomendación. En la metodología propuesta, Auditoría Interna actúa como un facilitador, coordinando las
actividades de gestión de los riesgos, definiendo responsables que permitan luego de su aprobación por parte
del directorio, establecer parámetros para evaluar el desempeño en este sentido.
El resultado final de la metodología propuesta se puede observar en el Anexo Nº 1 Hoja de seguimiento de
deficiencias, donde se aplica la metodología descripta a un caso real
Si bien no es objetivo de este trabajo, el análisis del control interno aplicando el Marco, finalizaría con planillas
que se denominan evaluación de los principios y evaluación de los componentes, donde se evalúan las
deficiencias asociadas a cada principio. Para la evaluación se tendrá en cuenta si existen controles de
compensación y deficiencias relacionadas con otro principio que pudieran incidir sobre la deficiencia evaluada.
A partir de este análisis se estará en condiciones de concluir si los principios y luego los componentes se
encuentran presentes y funcionando. Este análisis debe completarse al finalizar la evaluación de los cinco
componentes y permitirá concluir si el sistema de control es eficiente.
La empresa produce y comercializa energía eléctrica a través de la operación de sus cuatro centrales ubicadas
en la costa atlántica bonaerense. Como agente generador la empresa forma parte del Mercado Eléctrico
Mayorista, y sus operaciones están integradas al Sistema Interconectado Nacional.
Se decidió aplicar el Marco Integrado de Control Interno (COSO) en la empresa donde una de las investigadoras
forma parte del equipo de trabajo del Área de Auditoría Interna. Se necesitaba tener una visión integral del
control interno de la organización, para luego definir estrategias y líneas de acción que llevaran a la organización
a poseer un control interno eficiente. Para ello, mediante reuniones de trabajo, se comenzó a planificar como
implementar el Marco integrado en la compañía, en base a la experiencia, informes de auditoría, informes de
monitoreo del cumplimiento de las recomendaciones y reuniones de trabajo con responsables de algunos
circuitos críticos.
Se muestra la implementación de la metodología solo para el primer componente “entorno/ambiente de control”
por un tema de restricción de extensión del presente trabajo.
Punto 1 de la Metodología aplicada a la empresa Centrales de la Costa Atlántica SA
Comenzamos analizando cada uno de los puntos de foco con el fin de asignar un puntaje previamente definido.
Para el primer principio denominado Compromiso con la integridad y los valores éticos se arribó a un puntaje
15
de 0,6 sobre un puntaje ideal de 4 (5 principios con valor 4 suman 20 puntos que es el puntaje ideal para cada
componente). Recuerden que existen 5 componentes de control interno, en una empresa con control interno
ideal, cada componente tendrá un valor de 20 puntos, por lo tanto, el valor total llegaría a los 100 puntos.
Se muestra la hoja de cálculo para el primer principio.
PUNTAJE (
Promedio
PUNTAJE
ponderad Código
PRINCIPIO PUNTOS DE FOCO ( de 1 a Deficiencias
o de los Deficiencias
5)
Puntos de
Foco)
Establece el "tone at the top" en toda la organización -
El Directorio y la dirección a todos los niveles de la
No existe un programa de formación formal que
entidad demuestran a través de sus instrucciones,
1 EC 1.1 contribuya a sensibilizar a los empleados sobre la
acciones y comportamiento la importancia de la
importancia de la integridad y los valores éticos
integridad y de los valores éticos a la hora de apoyar
el funcionamiento del sistema de control interno 3
a) Ausencia de normas de conducta.
Define y asegura la comprensión de las normas de b) Ausencia de una política de recursos humanos que
conducta - Las expectativas del Directorio y de la alta asegure la comprensión de las normas a todos los
dirección en relación con la integridad y los valores niveles de la organización ( a traves de la inclusión de
Compromiso con la 2 éticos se definen en las norma de conducta de la EC 1.2 a), b) y c) esta política en el Manual de Procedimientos
1 integridad y los 0,6 entidad y son comprendidas a todos los niveles de la Administrativos y de controles).
valores éticos organización así como por parte de los proveedores c) Ausencia de un canal de comunicación para que
de servicios externalizados y socios comerciales proveedores y socios comerciales comprendan las
0 normas de conducta de la organización
Evalúa el cumplimiento de las Normas de Conducta -
Se dispone de procesos para evaluar el desempeño Ausencia de procesos para evaluar desempeño de todo
3 EC 1.3
de profesionales y equipos con respecto a las normas el personal con respecto a normas de conducta
de conducta que se esperan de la entidad 0
Gestiona cualquier desviación de manera oportuna -
las desviaciones que se pueden producir con
Ausencia de procesos para gestionar apartamiento a las
4 respecto a las normas de conducta que se esperan de EC 1.4
normas de conducta
la entidad son remediadas de forma oportuna y
sistemática 0
El resultado del principio Nº 1 es 0,6 (sobre un ideal de 4). Los cálculos son los siguientes:
Puntaje máximo que pueden recibir los cuatro puntos de foco: 20 (si todos fueran puntuados con 5)
Puntaje máximo que puede recibir el principio: 4
Denominador que hace que el cociente entre 20 y ese denominador de 4: 5 (20/4)
Cálculos: 3/5: 0,6
En el caso del principio Nº 2 Responsabilidad del Directorio por la supervisión del funcionamiento del control
interno decidimos suprimir dos puntos de foco por entender que no reflejaban la realidad económica de la
empresa quedando evaluado de la siguiente manera:
PUNTAJE (
Promedio
PUNTAJE
ponderad Código
PRINCIPIO PUNTOS DE FOCO ( de 1 a Deficiencias
o de los Deficiencias
5)
Puntos de
Foco)
El resultado del principio Nº 2 es 1,6 (sobre un ideal de 4). Los cálculos son los siguientes:
Puntaje máximo que pueden recibir los dos puntos de foco: 10
Puntaje máximo que puede recibir el principio: 4
Denominador que hace que el cociente entre 10 y ese denominador de 4: 2,5 (10/4)
16
PUNTAJE (
Promedio
PUNTAJE
ponderad Código
PRINCIPIO PUNTOS DE FOCO ( de 1 a Deficiencias
o de los Deficiencias
5)
Puntos de
Foco)
Considera todas las estructuras de la entidad - La
Organigrama incompleto; b) Manual de Misiones y
Dirección y el Directorio tienen en cuenta las
Funciones Incompleto ( debe recoger la nueva
7 múltiples estructuras utilizadas ( incluidas sus EC 3.7,a), b) y c)
estructura del Organigrama); c) Auditoria Interna
unidades operativas, entidades jurídicas, distribución
depende del Gerente General
geográfica y proveedores de servicios 2
Establece líneas de reporting - La Dirección designa y
Establecimiento de evalúa las líneas de reporte para cada estructura de la a) Manual de Procedimientos Administrativos y de
Estructura, 8 entidad, haciendo posible la ejecución de las EC 3.8 a) y b) Controles desactualizado; b) Falta de establecimiento
3 2,13 autoridades y responsabilidades correspondientes y
Facultades y de líneas de reporting formales
Responsabilidades el flujo de información para gestionar las actividades
de la entidad 3
Define, asigna y limita niveles de autoridad y
responsabilidades - La Dirección y el Directorio
delegan autoridad, definen responsabilidades y a) Definición de puestos y responsabilidades de manera
9 EC 3.9 a) y b)
utilizan tecnologías y procesos apropiados para informal; b) Ausencia de parámetros de desempeño
asignar responsabilidades y segregar funciones en
caso necesario a distintos niveles de la organización 3
El resultado del principio Nº 3 es 2,13 (sobre un ideal de 4). Los cálculos son los siguientes:
Puntaje máximo que pueden recibir los tres puntos de foco: 15
Puntaje máximo que puede recibir el principio: 4
Denominador que hace que el cociente entre 15 y ese denominador de 4: 3,75 (15/4)
Cálculos: 8/3,75: 2,13
La evaluación del principio 4 se observa en el siguiente cuadro:
El resultado del principio 4 es 0,8 (sobre un ideal de 4). Los cálculos son los siguientes:
Puntaje máximo que pueden recibir los tres puntos de foco: 20
Puntaje máximo que puede recibir el principio: 4
Denominador que hace que el cociente entre 20 y ese denominador de 4: 5 (20/4)
Cálculos: 4/5: 0,8
PUNTAJE (
Promedio
PUNTAJE
ponderad Código
PRINCIPIO PUNTOS DE FOCO ( de 1 a Deficiencias
o de los Deficiencias
5)
Puntos de
Foco)
Establece políticas y prácticas - Las políticas y a) Ausencia de una Política escrita de reclutamiento de
prácticas reflejan las expectativas de competencia personal que asocie objetivos con habilidades; b)
10 EC 4.10 a) y b)
necesarias para respaldar la consecución de los Ausencia de soportes para reaccionar de manera
objetivos 1 dinámica ante los cambios
Evalúa las competencias disponibles y aborda las
deficiencias de las mismas - El Directorio y la
Dirección evalúan las competencias existentes en la
Ausencia de evaluación de competencias disponibles
11 organización y en los proveedores de servicios EC 4.11
en la organización y externamente
externalizados en relación con las políticas y prácticas
Compromiso con la
establecidas, y actúan según sea necesario para
4 competencia de 0,8
abordar las deficiencias identificadas 0
profesionales
Atrae, desarrolla y retiene a profesionales - La
organización proporciona orientación y formación a
Ausencia de una política de capacitación que incluya el
12 sus profesionales para atraer, desarrollar y retener a EC 4.12
atraer y retener a profesionales
personal y proveedores de servicios externalizados
competentes y apropiados para respaldar la 2
Planifica y prepara la sucesión - la alta Dirección y el
Directorio desarrollan planes de contingencia para la
13 EC 4.13 Ausencia de planes de contingencia formales
asignación de resposabilidades importantes para el
control interno 1
17
El resultado del principio 5 es 0,48 (sobre un ideal de 4). Se arribó como sigue:
Puntaje máximo que pueden recibir los cinco puntos de foco: 25
Puntaje máximo que puede recibir el principio: 4
Denominador que hace que el cociente entre 25 y ese denominador de 4: 6,25 (25/4)
Cálculos: 3/6,25: 0,48
PUNTAJE (
Promedio
PUNTAJE
ponderad Código
PRINCIPIO PUNTOS DE FOCO ( de 1 a Deficiencias
o de los Deficiencias
5)
Puntos de
Foco)
Para aquellos puntos de foco que obtuvieron una calificación menor a la ideal se les asignó una o varias
deficiencias de control interno para lo cual se debieron identificar y codificar. La codificación es alfanumérica,
compuesta por las letras EC (entorno de control), el primer punto expresa el principio y el segundo número el
número de deficiencias
A modo de ejemplo concluimos que la deficiencia EC 1.1 afecta dentro del objetivo operativo a la salvaguarda
de activos y asimismo afecta al objetivo de información en lo que hace a la falsificación de la información
financiera.
Por otro lado, a partir de analizar la probabilidad de incumplimiento del objetivo, se valoró el riesgo llegando a
una valoración de riesgo medio para todas las deficiencias detectadas.
Una vez evaluado el riesgo nos focalizamos en la parte más importante del trabajo que es la gestión de los
riesgos.
La gestión de riesgo incluye:
a. Una recomendación de respuesta al riesgo que en todos los casos coincidió en Reducir o controlar el
riesgo. Las alternativas disponibles se pueden observar en la página 5 de este trabajo
b. Recomendaciones de control interno con el objetivo de dar tratamiento a la deficiencia detectada y que
a partir de la implementación de la recomendación se reduzca el riesgo a un nivel mínimo y/o aceptable
c. Acciones para poder cumplir con las recomendaciones donde la Auditoría interna se ubica en el rol de
facilitador, coordinando talleres, reuniones, llevando a cabo el seguimiento de las tareas que permitan
cumplir con la recomendación
d. Definición de uno o varios responsables, que permita luego un seguimiento de la implementación de las
recomendaciones
Siguiendo con el caso del ejemplo, para la deficiencia EC 1.1: No existe un programa de formación escrito que
contribuya a sensibilizar a los empleados sobre la importancia de la integridad y de los valores éticos, se
recomienda elaborar e implementar un programa formal sobre la importancia de un Código de Ética y Conducta
(R EC 1.1 – Recomendación para la deficiencia Entorno de Control correspondiente al principio Nº 1)
Para ello se definieron tres cursos de acción que constan de llevar a cabo un benchmarking de las empresas
del ramo y/o industria para identificar programas eficientes que propicien la internalización del Código de ética
y Conducta; elaborar un programa formal de capacitación a incluir en la Política de Capacitación General de la
Empresa; y por último auditoría interna en su rol de facilitador desarrollando talleres para transmitir el contenido
del Código de Ética y Conducta a todo el personal de la sociedad.
Se definió como responsable para los dos primeros cursos de acción a la Coordinación de Recursos Humanos
y para la tercera acción la responsabilidad es compartida con Auditoría Interna dado que Auditoría facilita los
talleres para que el personal internalice las bondades del Código
Así se trabajó para cada uno de los principios asociados al primer componente del marco.
El desarrollo de este punto 4 para los 5 principios del componente “Ambiente de Control” se observa en las
planillas adjuntas bajo la denominación: Hoja de Seguimiento de Deficiencias
Una vez finalizada la evaluación del primer componente a través de la hoja de seguimiento de deficiencias, se
debe llevar a cabo una evaluación de cada uno de los principios asociados al componente Entorno de Control.
De los 5 principios se evaluará el principio Nº 1 “Compromiso con la integridad y los valores éticos”.
En este momento del análisis de la matriz, donde no se finalizó con la evaluación de los restantes componentes,
se lleva a cabo una evaluación preliminar de los principios que puede cambiar al finalizar la valoración de la
matriz. Esto es así porque pueden existir controles de compensación (controles que se encuentran presentes
en otro principio y que pueden mitigar las deficiencias detectadas en el principio bajo análisis) y a su vez, se
pueden identificar deficiencias de control interno relacionadas con otro principio que pueden incidir sobre la
deficiencia analizada
Se concluye que las deficiencias de control asociadas al principio Nº 1 no son graves dado que existen controles
de compensación en la organización.
El control de compensación más importante está dado por el Manual de Procedimientos Administrativos y de
Controles, que para las deficiencias analizadas desarrolla procedimientos para la salvaguarda de activos y
procedimientos tendientes a disminuir el riesgo de falsificar la información financiera. Complementando lo
19
anterior, la organización cuenta con un área de Auditoría Interna que audita los circuitos administrativos y lleva
a cabo un seguimiento del cumplimiento de la implementación de las recomendaciones
Por lo expuesto, en una primera instancia se concluye que el principio Compromiso con la integridad y los
valores éticos está presente y en funcionamiento.
Luego de evaluados los principios asociados al componente, se debe evaluar el componente con el objetivo de
arribar a las mismas conclusiones (componente presente y funcionando)
Cuando se finalice con la evaluación de los cinco componentes, se estará en condiciones de concluir si los
principios se encuentran presentes y en funcionamiento. En caso de que un principio no funcione, implica que
el componente no se encuentra presente y funcionando y debe concluirse que el control interno de la empresa
no es eficiente. Esto es así porque el Marco requiere que los cinco componentes funcionen juntos en forma
integrada. Funcionar juntos se refiere a la determinación de que los cinco componentes reducen colectivamente,
a un nivel aceptable, el riesgo de no alcanzar un objetivo
VIII. CONCLUSIÓN
Con el paso del tiempo ha ido cambiando la función de la Auditoria Interna dentro de las organizaciones. Hace
muchos años el auditor interno era visto como un inspector que buscaba errores y elevaba informes que rara
vez eran considerados de valor para el resto de la organización.
Pero su ámbito de actuación fue mutando hacia un rol más proactivo y de generación de valor agregado.
Actualmente la auditoria interna es considerada como una actividad independiente y objetiva de aseguramiento
y consulta que colabora con la organización en el cumplimiento de sus objetivos.
Para poder cumplir con este nuevo rol, al auditor se le presenta un gran desafío. Esta función colaborativa
implica que debe encontrar la forma de utilizar sus habilidades y capacidades en materia de control y riesgo,
para hacer aportes valiosos que promuevan la mejora de la organización
Todas las organizaciones tienen una misión determinada y para cumplirla se plantean objetivos. Para lograrlos,
sus directivos, deberían diseñar un sistema de control interno efectivo y también analizar los riesgos que podrían
afectar el cumplimiento de estos objetivos, para luego hacer “algo” con ello, es decir gestionar estos riesgos.
Esto es, tomar decisiones y acciones tendientes a reducirlos, eliminarlos, compartirlos o simplemente
aceptarlos.
Tanto el diseño del sistema de control interno como la gestión de los riesgos que afectan a la empresa, son
responsabilidad de sus máximas autoridades (el directorio en el caso de una sociedad anónima), el interrogante
es ¿cómo puede el auditor interno colaborar con la empresa en el mejoramiento de sus sistemas de control
interno y gestión de riesgos?, lo que indirectamente supondría colaborar con el logro de objetivos, ya que esta
es la finalidad de ambos sistemas.
La respuesta proviene de desmenuzar las injerencias de su función de colaboración, que le implicará algún
grado de intervención en la gestión. El auditor interno debe ser muy cuidadoso para evitar perder su esencia
de objetividad e independencia, para ello, puede recomendar mejoras de control interno desarrollando
propuestas concretas y prácticas, puede ser un facilitador para identificar riesgos, capacitar y proporcionar
entrenamiento a la gerencia, coordinar actividades y hasta proponer estrategias para gestionar riesgos, pero lo
que de ninguna manera puede hacer es tomar la responsabilidad del sistema de control interno, como así
tampoco de la gestión de riesgos. Todas estas nuevas injerencias de la auditoria interna, entendemos que
representan un cambio de paradigma de su función.
En Argentina, donde el 99% de las empresas son pequeñas y medianas, y en la mayoría de ellas no hay una
cultura instaurada sobre la importancia del sistema de control interno y de gestión de riesgos, el Auditor interno,
como última línea de defensa, se convertirá en el motor del cambio, en un elemento fundamental de la
transformación organizacional para lograr la efectividad de los procesos de gestión de riesgos, control y
gobierno.
Desarrollamos en el presente trabajo una metodología aplicada a un caso real, que parte de una matriz
elaborada sobre la base de los componentes y principios establecidos en el informe de control interno COSO,
lo que permite arribar a un diagnóstico del control interno y a la identificación de las deficiencias del mismo. Una
20
vez definido esto, nos propusimos ir más allá del Marco, convencidas de que la Auditoría Interna es un motor
del cambio organizacional en la gestión de riesgos. Por ello es que presentamos como resultado final del trabajo
una segunda matriz llamada “hoja de seguimiento de deficiencias” que permite al auditor, a través de
recomendaciones y planes de acción concretos, involucrarse de manera proactiva en la gestión de riesgos.
Para la elaboración del presente trabajo nos inspiramos en el lema de la Conferencia “Emprendimiento,
competitividad y creación de valor: retos de la profesión contable”. En este sentido buceamos en los nuevos
roles del auditor interno y propusimos una metodología de trabajo que entendemos apoya la idea de crear valor
para las organizaciones donde el auditor desarrolla su labor. Por lo tanto pensamos que la guía de discusión
debe versar sobre las injerencias del auditor interno en la gestión de riesgos, y la delgada línea que separa la
“facilitación y colaboración” de la “responsabilidad y toma de decisiones”.
¿Qué acciones entiende que incluye el rol de “facilitador” para el auditor en la gestión de riesgos? ¿Lo considera
un rol legítimo de la auditoria?
El auditor puede desarrollar estrategias de gestión de riesgos para aprobación del Directorio, pero ¿también
puede definir el apetito de riesgo que se está dispuesto a asumir?
Si parte de la estrategia de gestión de riesgo recomendada por el auditor consiste en que él mismo dicte un
curso a la gerencia con entrenamiento sobre control interno, esto ¿puede entenderse como una responsabilidad
en la gestión y por lo tanto no sería un rol legítimo para asumir?
¿Qué entiende por el rol del auditor “Defender el establecimiento de Gestión de Riesgos”?
¿Por qué el auditor no debería decidir la estrategia a seguir en respuesta a los riesgos identificados?
X. REFERENCIAS BIBLIOGRÁFICAS
Committee of sponsoring Organizations of the Treadway Commission. (2013). COSO. Control interno –
Marco integrado – Traducción al Español editado y publicado por el Instituto de Auditores Internos de
España.
http:// www.coso.org/Publications/erm/coso-erm
http://www.theiia.org
http://www.iaia.org.ar
https://www.isaca.org: ISO 31000. Gestión de Riesgos
IFAC (2009). Normas internacionales de auditoria. Versión oficial en español. Argentina. Editorial
Buyatti. Ed. 2012. NIA 315: Identificación y valoración de los riesgos de incorrección material mediante
el conocimiento de la entidad y de su entorno.
Slosse C. A, Gordicz J.C, Gamondés S F, Túnez F.A, (2015) .Auditoria. Argentina. Ed. La ley. Tercera
Edición.
guillerminamercapidez@hotmail.com
lorenamartires@yahoo.com.ar
Anexo I Hoja de seguimiento de deficiencias 21
No existe un programa de R EC 1.1 a) Llevar a cabo un benchmarking de las empresas del ramo Coordinación
Elaborar e implementar un y/o de la industria para identificar programas eficientes que
formación escrito que contribuya de Recursos
programa formal sobre la propicien la internalización del código de ética y conducta
EC 1.1 a sensibilizar a los empleados 1y 2 MEDIO REDUCIR R EC 1.1 Humanos/
importancia de un Código de R EC 1.1 b) Elaborar un programa formal de capacitación a incluir en
sobre la importancia de la Auditoría
Ética y Conducta la Política de Capacitación General de la Empresa
integridad y los valores éticos Interna
R EC 1.1 c) Auditoría Interna facilita talleres para transmitir
contenido del Código de Ética y Conducta
Completar el organigrama de la
Organigrama
EC 3.7 a) 1, 2 y 3 MEDIO REDUCIR R EC 3.7 a) Sociedad recogiendo toda la
incompleto
estructura R EC 7.1) y 7.2) Auditoría Interna
Coordinación de
Coordina una mesa de trabajo con
Recursos Humanos
integrantes de la Coordinación de
/Area Calidad y
Manual de Misiones y Recursos Humanos y el Área de
A partir de un Organigrama de la Control de Gestión
Funciones Incompleto Calidad y Control de Gestión
sociedad actualizado, se debe
EC 3.7 b) ( debe recoger la 1, 2 y 3 MEDIO REDUCIR R EC 3.7 b)
completar el Manual de Misiones y
nueva estructura del
Funciones
Organigrama)
Ausencia de evaluación de
competencias disponibles en
EC 4.11 1,2 y 3 MEDIO REDUCIR R EC 4.11 Recomendación abordada en REC 4.10 a)
la organización y
externamente
Ausencia de parámetros de
de las Recomendaciones con
EC 5.15 medición del desempeño con 1, 2 y 3 MEDIO REDUCIR R EC 5.15
puntaje que implica definir
respecto al control interno
previamente parámetros de
medición
EDUCACION
Contador Público (03/03/1995). Universidad Nacional de La Plata
Post-Grado: Especialización en procedimiento fiscal y ley penal tributaria y previsional
(25/06/1997). Universidad Nacional de La Plata
EXPERIENCIA DOCENTE
UNIVERSIDAD NACIONAL DE LA PLATA
2015 a la fecha: Jefe de Auxiliares Docentes de la Cátedra de Auditoria
1999 a la fecha: Docente de la cátedra Auditoria
2014 Docente del Seminario “Auditoria del Siglo XXI”
2016 Docente del Seminario “Auditoria: Un enfoque práctico enmarcado en las nuevas normas”
CURSOS DICTADOS
Jornadas Anuales De Cátedras De Auditoria-Bahia Blanca: 03/2015 En carácter de Expositora sobre el
tema “el control interno, nuevos enfoques”
Unidad de Información financiera (UIF): 11/2015 Curso sobre contabilidad y Auditoría.
LIBROS Y PUBLICACIONES
2013- Coautora del LIBRO e-book, de la colección “60 aniversario Libros de Cátedra de la Facultad de
Ciencias Económicas UNLP”. Título: AUDITORIA. Editorial: Edulp – ISBN 978-987-1985-11-1
2016- Coautora LIBRO “AUDITORIA: temas relevantes a la luz de las nuevas normas” Editorial Edulp – ISBN
978-950-34-1349-4
MARIA GUILLERMINA MERCAPIDEZ
Formación Académica
Contadora Pública. Año 1998. Universidad Nacional de La Plata. Facultad de
Ciencias Económicas
Magíster en Finanzas Públicas. Año 2005. Universidad Nacional de La Plata. Facultad de Ciencias
Económicas.
Especialista en Sindicatura Concursal. Año 2007. Convenio Facultad de Ciencias Económicas UNLP y el
Consejo Profesional de Ciencias Económicas de la Provincia de Buenos Aires.
Otros estudios superiores:
Michigan State University. Railway Management Programs The Eli Broad College of Business. Railways and
Government: The U.S. Experience Program for the Argentinian Ministry of Interior and Transport Washington
DC. Diciembre 2013
Posición Actual
Profesor Adjunto interino. Facultad de Ciencias Económicas. Universidad Nacional de La Plata
Posiciones Anteriores
Jefe de Auxiliares Docentes por concurso. Facultad de Ciencias Económicas. Universidad Nacional de La
Plata
Docente en la Especialización Contabilidad Superior y Auditoría. Convenio Facultad de Ciencias
Económicas y Consejo Profesional de Ciencias Económicas de la Provincia de Buenos Aires, dictado junto
al Dr. Carlos Slosse Modulo VI - Auditoría de Estados Contables. Año 2013
Seminario Auditoría Siglo XXI. Facultad de Ciencias Económicas. Universidad Nacional de La Plata. Año
2014
Categoría en el Programa de Incentivos a los Docentes – Investigadores
Investigador Categoría V (CONEAU. Comisión Regional de Categorización. Ministerio Nacional de
Educación, Ciencia y Tecnología
Tesis y publicaciones
Autora: Tesis: Análisis Costo – Beneficio del Subprograma Asistencia Alimentaria a niños y embarazadas.
Provincia de Neuquén. Maestría en Finanzas Públicas. Año 2005
Co-autora: El Auditor y la Ley Nº 25.246. Encubrimiento y Lavado de Activos de Origen Delictivo. Migoya
María, Rodríguez Jimena, Mercapidez María Guillermina. Año 2007 -Versión ampliada y actualizada a
octubre de 2014 –
Actividad Profesional
Auditora Interna Centrales de a Costa Atlántica S.A.(2003-Actual)
Integrante Programa de Capacitación y Asistencia Técnica Facultad de Ciencias Económicas de la
Universidad Nacional de La Plata. Convenio con el Ministerio del Interior y Transporte de la Nación, Año
2013/2014 y Convenio con el Instituto de Lotería y Casinos de la Provincia de Buenos Aires. Año 2010/2011
Asesoramiento profesional a Empresas en el ámbito privado