Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Jorge A. Hernández O.
Agosto de 2018
Expectativas
Necesidad de
controlar sus
pertenencias y las En Antiguos
del grupo del cual imperios se percibía Hacia 1900 llegó a Estados
formaba parte. una forma de control
Napoleón Bonaparte Unidos, se desarrolló un
y cobro de
impuestos. establece Corte de Cuentas concepto diferente, el
Mantenimiento de las que vigilaba asuntos principal objetivo es la
cuentas por dos contables del estado y tenia revisión independiente de
Evolución de los escribanos atribuciones para investigar, los asuntos financieros.
números, uso de los independientes
dedos, uso de evitar desfalcos. juzgar y dictar sentencias.
piedras y palos,
hasta llegar al
desarrollo de
sistemas de
numeración.
La Ley Británica de Sociedades Anónimas
Revolución Francesa perfeccionó de 1862 reconoce la auditoria como
la separación de poderes, profesión. Entre 1862 y 1905, la profesión
estableciendo así un sistema de de auditor creció en Inglaterra y su principal
control apoyado en principios de objetivo entonces era la detección del
especialización y autonomía. fraude.
2002/4
Escándalo e Comienzo de los Ley SOX,
investigación del Caso años 80´s 1992 refuerza uso de
“Watergate” se incrementa el foco Committee Of COSO
en el Control interno Sponsoring Leyes de
y el Cumplimiento Organizations Gobierno
(COSO) publica la corporativo
Estructura
Integrada de
Control interno • UK Anti-bribery Act. (2011)
1977 • Estatuto Anticorrupción
Ley de prácticas de Perú, Colombia, Mexico
corrupción en países • COSO 2013
extranjeros (FCPA – • COSO ERM 2017
USA) 1985
Reporte de la
Comisión Nacional de
Fraudes Financieros
– Treadway
Commission (USA)
Década de los 90´s
Se acentúa el interés en el
Control Interno, la gestión de
riesgos y las responsabilidades
corporativas. 44
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 4
Control Interno y Administración de Riesgos
Algunos Referentes Internacionales
COSO
Control
Interno
COSO
IIA ERM
Administración
de Riesgos y
Control Interno
SOX Basilea
Cobit
Actividades
como Operaciones, Reporte y
Monitoreo
Unidad de Negocios
Cumplimiento
Procesos
División
Información &
Entidad Legal
• 5 Componentes: Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
Actualización en 2017
Gestión de Riesgos Empresariales
• Directorio
realizado • La administración
• Personal de la compañía
Proceso
Reportes de
Operaciones Cumplimiento
información
Reportes de
Operaciones Tanto Cumplimiento
información
Se relaciona con el
reporte de
información
financiera y no
financiera tanto
interna como Se relaciona con el
Se relacionan con
externa, incluyendo cumplimiento de las
la eficacia y
la confiabilidad, leyes y
eficiencia de las
oportunidad, regulaciones a las
Operaciones de la
transparencia y que está sujeta la
entidad,
otras características entidad
definidas por los
reguladores,
organos normativos
o la política de la
entidad
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 13
Características por tipo de objetivos
Misión - Visión
Objetivos estratégicos
Estrategias
Objetivos Relacionados
Eventos
Valoración de Riesgos
Respuesta al Riesgo
Actividades de Control
Actividades
Monitoreo
ESTRUCTURA DE LA
Procesos
Unidad de Negocios
ENTIDAD – En donde se
División
Información & desarrollan los elementos para
Entidad Legal
Comunicación lograr los objetivos
COMPONENTES – Lo que
debe hacer la entidad para
Actividades de Control
lograrlo.
Se deben considerar los
principios Evaluación de Riesgos
Ambiente de Control
OBJETIVOS
NIVELES
Actividades
Monitoreo
interno que necesitan ser
Procesos
Unidad de Negocios
División
Información &
COMPONENTES
interrelacionados para
Entidad Legal
Comunicación
asegurar cada uno de los Actividades de Control
objetivos.
Evaluación de Riesgos
Ambiente de Control
Actividades
Monitoreo
se están llevando a cabo las directivas
Procesos
Unidad de Negocios
División administrativas necesarias para manejar los
Información & riesgos.
Entidad Legal
Comunicación
• Información y Comunicación representa el
proceso por medio del cual se asegura que la
Actividades de Control
información relevante es identificada y
comunicada de manera adecuada y oportuna.
Evaluación de Riesgos • El Monitoreo es el proceso que evalúa la
calidad del desarrollo del Control Interno en el
tiempo, mediante una evaluación continua de
Ambiente de Control
los controles, tomando las acciones correctivas
necesarias.
19
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 19
Evaluación de riesgos
NIVELES
Actividades
Monitoreo
Prerrequisito para evaluación de riesgos es
Procesos
Unidad de Negocios
División
el establecimiento de objetivos Información &
COMPONENTES
Entidad Legal
Comunicación
Es la identificación y el análisis de hechos
relevantes para la consecución de Actividades de Control
objetivos y ayuda a establecer como
reducir el impacto de los riesgos al Evaluación de Riesgos
materializarse
Ambiente de Control
• Irracionalidad
• Complejidad e interconexión
1
Riesgo de Mejora &
Sustain
Operaciones Gente, Credit ejecución Develop and
7 Continuously
continua y Desarrollo
Analytics Improve Deploy de
Procesos, sustentable Strategies
estrategias
Sistemas
Property, Casualty, Factores Monitor, 2
Liability Externos Assure &
Insurance Multiline, Multirisk Monitoreo
Escalate Gestión
Risk Management Insurance Products Risk Intelligence
Identificar
Identify
6 To Create
Integral de & riesgos
Risks
Preserve Value
Seguridad Física Riesgo Definir Riesgos
Seguridad Y de Información Proteccion Operacional yDesign
Test
probar &
Controls
Información De controles Assessyand
Evaluar 3
Activos Cumplimiento Internal Measure
Operations medir
Audit 5 Responder
Responda Risks
Compliance riesgos
Negocio toriesgos
los Risks
4
Profit
SOX Recovery
Financial
Internal Etica
Procesos Control
Cultura
Gestión de Riesgos22 22
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. © 2008 Deloitte Touche Tohmatsu
Mayores riesgos
Evolución del entorno de Negocios
Antes
En el pasado, las organizaciones
estaban aisladas de eventos
externos. Existía una confianza
limitada en los terceros y el
entorno era predecible.
Enterprise
Customer Las organizaciones hoy más
Customer
Content
que nunca están
Technology
Customer
interconectadas,
Outsource Company Provider Competitor exponiéndolas a mayores
Outsource oportunidades así como a
Supplier
Supplier
nuevos factores de riesgo.
License
License
Supplier
Activos Ingresos
Flujo de
Efectivo
Pasivos Gastos
Valor
Desastres
Los negocios prosperan asumiendo riesgos, pero fallan cuando los riesgos son
gestionados ineficazmente. Las organizaciones deben dedicar recursos tanto para
asumir riesgos como para la gestión de riesgos.
28
La generación de valor en el corazón
de la gestión de riesgos
VALOR PARA LOS GRUPOS DE INTERÉS
Atención de
Aumento de Optimización Efectividad de
las
ingresos de costos los activos
expectativas
1
Gobierno Mejora
RIESGOS CORPORATIVOS
Sustain &
Procesos de
PROCESOS DE NEGOCIO
continua y Develop and
Corporativo 7 Continuously
sustentable Desarrollo
Deploy de Gobierno
Improve
estrategias
Strategies Corporativo
Estratégic
Monitor, 2
os Assure &
Monitoreo
Escalate
Risk Intelligence Procesos
Operacional INTELIGENCIA Identificar
Identify
Operacional
6 To Create & riesgos
es
es EN RIESGOS
Risks
Preserve Value
Definir
Financieros y Design
probar&
controles
Test Controls 3
Evaluar
Assessyand
medir
Measure Procesos de
Regulatorios 5 Responder
Respond a Risks
riesgos Apoyo
lostoriesgos
Risks
4
CONTROL Y MONITOREO
Auditoria Interna y Gestión de Riesgos
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 29 29
Creando valor para los grupos de interés
Intereses
Costeo de Distrib. y
Admin. e
Producto venta
impuestos
NIVELES
Actividades
Monitoreo
Prerrequisito para evaluación de riesgos es
Procesos
Unidad de Negocios
División
el establecimiento de objetivos Información &
COMPONENTES
Entidad Legal
Comunicación
Es la identificación y el análisis de hechos
relevantes para la consecución de Actividades de Control
objetivos y ayuda a establecer como
reducir el impacto de los riesgos al Evaluación de Riesgos
materializarse
Ambiente de Control
35
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 35
Ciclo de identificación y análisis de riesgos
• Considerar entidades y
subunidades
• Considerar factores internos
y externos
• Considerar las
respuestas a los
Identificar • Considerar riesgos a nivel de
riesgos entidad y transacción
• Evaluar las
opciones de
respuesta
• Seleccionar las
respuestas • Determinar la
significancia del
riesgo
Responder Analizar • Determinar el
nivel de riesgo
inherente
Riesgos de procesos
Operaciones Ot orgamiento de podere s Financiero
Sa tisfa cción de l cliente Lide ra zg o Pr ecio Tasas d e inte rés
Recurso s humano s Limite s de a uto ridad Mo ned a
Cono cimien to Terce rización Pa trimo nio
Desarrollo d e prod ucto In ce ntivos de de se mpe ño Commodity
Eficiencia Predispo sición a l ca mbio In st rument os finan cie ros
Capa cida d Comu nica cio nes
Brecha de desempeñ o
Tie mpo de ciclo Procesam iento de la inform a- Liquidez Flu jo de fon dos
Orígen es ción/Tecnología Costos de opo rtu nidad
Efe ctivida d de l ca nal Concen tra ció n
Relevancia
Accionistas/ so cios
integrid ad Incobrabilid ades
Cump limien to Credito
Acceso Concen tra ció n
In terrup ció n de l neg ocio
Dispo nibilida d Conven io s/pag os
Fra ca sos en produ ct os/servicios In fra estru ctura
En torno Garan tías
Sa lu d y seg urida d
Desgaste de marcas Int egrida d
Fra ude de la Gerencia
Fra ude de emp le dos o tercero s
Acto s ileg ales
Uso no aut orizad o
Identificar
Alinea miento Impue st os Va lu ació n
Fond os de pe nsio nes Estructura o rg anizativa
Evalua ció n de inversion es Me didas (Estrateg ia )
In formación a en tidad es re gulad oras Asigna ció n de re curso s
Plan eamie nto
Ciclo d e vida
Modelo de Riesgos
Orientación Orientación
funcional Paradigma procesos
38
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 38
Esquema de Clasificación de Procesos
Gestión Juridica
Productos
Procesos
Facturar
Entender Desarrolar Diseñar & Servicios
Mercadear & Brindar
Mercados & Vision & Productos Servicio al
&Vender Producir
Clientes Estrategia & Servicios Cliente
& Entregar
Organización
de Servicio
Incertidumbres sobre la
Riesgo de información relevancia y confiabilidad de la
información que soporta
para toma de decisiones
decisiones de creación de valor
Riesgos de procesos
Financiero
Dirección
Precio
Tecnología/
Operaciones Procesamiento Liquidez
de información
Integridad Crédito
Procesos/
Financieros Estrategia
operaciones
Fuente:
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Enterprise-wide Risk Management: Strategies for linking risk and opportunity Gestión de Riesgos 42
Lenguaje común: Modelo de Riesgos
Riesgos de procesos
Operaciones Ot orgamiento de podere s Financiero
Sa tisfa cción de l cliente Lide ra zg o Pr ecio Tasas d e inte rés
Recurso s humano s Limite s de a uto ridad Mo ned a
Cono cimien to Terce rización Pa trimo nio
Desarrollo d e prod ucto In ce ntivos de de se mpe ño Commodity
Eficiencia Predispo sición a l ca mbio In st rument os finan cie ros
Capa cida d Comu nica cio nes
Brecha de desempeñ o
Tie mpo de ciclo Procesam iento de la inform a- Liquidez Flu jo de fon dos
Orígen es ción/Tecnología Costos de opo rtu nidad
Efe ctivida d de l ca nal Concen tra ció n
Relevancia
Accionistas/ so cios
integrid ad Incobrabilid ades
Cump limien to Credito
Acceso Concen tra ció n
In terrup ció n de l neg ocio
Dispo nibilida d Conven io s/pag os
Fra ca sos en produ ct os/servicios In fra estru ctura
En torno Garan tías
Sa lu d y seg urida d
Desgaste de marcas Int egrida d
Fra ude de la Gerencia
Fra ude de emp le dos o tercero s
Acto s ileg ales
Uso no aut orizad o
Repu tación
Factores de Riesgo
Tasas de interés
Conducta fraudulenta
Comercio ilegal
Additional losses (eg
employers’
Operacional
Reputación corporativa
liability)
Inadecuado entrenamiento
Reclamos de clientes
Inadecuado desarrollo
Ciclo de tiempo en (RD)
Comercial
producción
Pobre IT estrategia
Cambios en
comportamiento mercado Relación cliente/proveedor
Auditores
Inteligencia al
Riesgo
Estrategia y Operaciones /
Gobierno Cumplimiento Reporte
Planeación Infraestructura
Responsabilidad y
Sostenibilidad Factores Externos Planeación Estrategia
Corporativa
Categorías de Riesgo
Operaciones /
Estrategia y
Gobierno Infraestructur Cumplimiento Reporte
Planeación
a
Responsabilid y
Factores
Sostenibilidad Planeación Estrategia
Corporativa Externos
Administració
n Continuidad
del Negocio
Planeación del
Capital
Administració
n del
Conocimiento
Subcategorías de Riesgo
Planeación
Operacional
Administració
n del
Desempeño
Planeación por
Escenarios
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 47
Risk Intelligence Map
Inteligencia al
Riesgo
Estrategia y Operaciones /
Gobierno Cumplimiento Reporte
Planeación Infraestructura
Responsabilidad
Factores
y Sostenibilidad Planeación Estrategia
Externos
Corporativa
Administración Administración
Planeación del Planeación Administración Planeación por
Continuidad del del
Capital Operacional del Desempeño Escenarios
Negocio Conocimiento
Inadecuada representación
de departamentos en la
preparación del plan
Establecimiento de planes
Riesgos Específicos inalcanzables
Inapropiada asignación de
recursos
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 48
Risk Intelligence Map
Inteligenci
a al Riesgo
Operaciones
Estrategia y / Cumplimient
Gobierno Reporte
Planeación Infraestructu o
ra
Cumplimiento con
Gobierno Responsabilidad Activos Comunicaciones y
Principios
Corporativo Social Corporativos Capacitación
Contables
Cultura de Revelaciones
Etica Factores Externos Finanzas
Cumplimiento Financieras
Administración Disponibilidad de
Recursos
Planeación Información de Información
Humanos
Cumplimiento Financiera
Fraude en
Tecnología Organización para
Estrategia Estados
Informática Cumplimiento
Financieros
Reportes de Reportes
Aspectos Legales
Cumplimiento Gerenciales
Reportes
Supervisión
Sostenibilidad
Reportes
Tributarios
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 49
Identificando riesgos en Procesos
Entendimiento del
Identificación de Identificación de
Proceso (Objetivos,
riesgos inherentes riesgos clave
Metas e Indicadores)
Riesgos de procesos
Operaciones Ot orgamiento de podere s Financiero
Sa tisfa cción de l cliente Lide ra zg o Pr ecio Tasas d e inte rés
Recurso s humano s Limite s de a uto ridad Mo ned a
Cono cimien to Terce rización Pa trimo nio
Desarrollo d e prod ucto In ce ntivos de de se mpe ño Commodity
Eficiencia Predispo sición a l ca mbio In st rument os finan cie ros
Capa cida d Comu nica cio nes
Brecha de desempeñ o
Tie mpo de ciclo Procesam iento de la inform a- Liquidez Flu jo de fon dos
Orígen es ción/Tecnología Costos de opo rtu nidad
Efe ctivida d de l ca nal Concen tra ció n
Relevancia
Accionistas/ so cios
integrid ad Incobrabilid ades
Cump limien to Credito
Acceso Concen tra ció n
In terrup ció n de l neg ocio
Dispo nibilida d Conven io s/pag os
Fra ca sos en produ ct os/servicios In fra estru ctura
En torno Garan tías
Sa lu d y seg urida d
Desgaste de marcas Int egrida d
Fra ude de la Gerencia
Fra ude de emp le dos o tercero s
Acto s ileg ales
Uso no aut orizad o
Repu tación
Herramientas y Técnicas
de Identificación de riesgos
Técnicas de análisis y
Técnicas de Recopilación de
Información diagramación
• Lluvia de Ideas
• Flujos de proceso
• Entrevistas
• Inventario de Riesgo
• Cuestionarios y
encuestas • Diagramas
causa/efecto
• Análisis FODA
Registro de Riesgos
• Riesgo: Hace referencia al evento qué podría
ocurrir, positivo o negativo
• Causas: Hace referencia a por qué podría
ocurrir el evento
• Consecuencias: Hace referencia a cuál sería el
impacto de dicho evento
• Objetivos afectados: Relaciona a qué
objetivos impacta el evento.
• Categoría del riesgo: Otorgada por la
clasificación de la compañía.
• Protección o Generación de valor
Fraude en Errores y/o información fraudulenta en Que los hechos Reporte Preservar
reporte la información financiera reportada, económicos
financiero debido a una inadecuada revisión y reportado del
análisis de las cifras contables, período son
incumplimiento de las políticas y/o registrados en
procedimientos y la normativa forma exacta e
aplicable y supeditaje gerencial, lo cual integra y
puede afectar la toma de decisiones de corresponden a la
los usuarios de la información y el operación del
correcto análisis de la situación negocio.
económica de la compañía
Falta de Afectación de la competitividad debido Maximizar el uso Operacion Generació
competitivid a altos costos operacionales superiores de los recursos al n
ad de a estándares de la industria originados productivos
costos por modelos operacionales ineficientes,
operativos por mala planeación, limitaciones en
de contratación, falta de estandarización,
producción falta de gestión eficientes, lo cual
puede generar sobre costos, afectar la
sostenibilidad financiera de algunas
operaciones de la Empresa
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. 57 57
Gestión de Riesgos
Identificando riesgos en Procesos
¿Qué se hace para evitar este ¿Qué se hace para controlar Lo que está en su lugar para
riesgo que se produzcan y las estadísticas de riesgo y asegurar la corrección oportuna y
garantizar la preparación adecuada detectar este riesgo en caso eficaz o recuperación que
en caso de producirse: de que se produzca: deberían ocurrir si este evento de
• Propiedad de la Gestión de • Indicadores de riesgo riesgo se materializa:
riesgos / responsabilidad • Análisis de tendencias • Planes de contingencia
• Entrenamiento y desarrollo de • Procedimientos de análisis • Sistema redundante
habilidades de eventos • Procedimientos de emergencia
• Diseño de procesos • límites de escalamiento • Proceso de resolución de
• Mecanización y automatización errores
• Políticas, procedimientos y
normas
La mitigación del riesgo que se necesita en cada uno: Prevención, Detección y Corrección
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos63 63
Evaluación de Riesgos
Una vez identificados los riesgos, se debe realizar su valoración en términos de la
probabilidad de que ocurra el evento y el impacto generado, para determinar aquellos que
pueden tener un mayor incidencia sobre el logro de objetivos.
De la valoración del riesgo sin tener en cuenta el efecto que pueden tener los controles se
deriva el concepto de Riesgo Inherente.
Riesgo Inherente
Es la pérdida derivada
del peor escenario
posible
Evitar Retirode
Retiro deactividades
actividadescausantes
causantesde deriesgos
riesgos.enSelas
presenta entratamiento
cuales su situaciones
riesgos donde el no
adicional retorno no es en
es efectivo atractivo
costo yenelrelación
retorno al
noriesgo involucrado
es atractivo en relación al
riesgo involucrado (ej: avisos de devolución, revocación de proyectos).
• Considerar entidades y
subunidades
• Considerar factores internos y
externos
• Considerar las • Considerar riesgos a nivel de
respuestas a los Identificar entidad y transacción
riesgos
• Evaluar las opciones
de respuesta
• Seleccionar las
respuestas
• Determinar la
significancia del
riesgo
• Determinar el
Responder Analizar
nivel de riesgo
inherente
Impacto:
Bruto o Efectividad en la Vulnerabilidad o Riesgo
– Administración de Riesgos =
Riesgo Inherente Residual
– Capacidad de prevención
– Capacidad de detección
– Capacidad de Corrección / Recuperación
Considerando el impacto, velocidad de materialización, probabilidad y
Vulnerabilidad efectividad en la administración de riesgo cuál es la vulnerabilidad a este
riesgo por parte de la Compañía ?
– Nivel de Exposición
– Magnitud e incidencia a eventos de riesgo
• El evento de riesgo puede ocurrir en los próximos tres años pero solo en
Medio ciertas condiciones.
• El evento ha sucedido en los últimos 5 años
Los controles son apropiados para prevenir y detectar la ocurrencia del riesgo; costos
<$6.000 u otras situaciones de materialización con impacto BAJO según los criterios de
Bajo ingresos, margen, operacional, penetración de mercado; transacciones: el riesgo afecta
una cantidad BAJA de transacciones, de procesos o de Unidades de Negocio.
10
alto
9
8 Cuadrante II Cuadrante I
(Identificar y Monitorear) (Prevenir en la fuente)
7
6
I m p a c t o
5
4
Cuadrante IV Cuadrante III
3 (Bajo Control) (Monitorear)
2
bajo1
baja alta
1 2 3 4 5
ProbabIlIdad
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 76
Valorando (Eje): Compras
Acceso de Concentración
proveedores al sistema Funciones Director de
de información Compras
I
Excesos o faltantes de
inventarios y
IMPORTANCIA
preparación de
declaraciones de suministros
impuestos
Subutilización del
sistema de
Información información
desempeño del
proceso
IV
Depurar base de datos
proveedores
Registro de
proveedores
Manuales de
funciones III
PROBABILIDAD
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 77
Evaluar el impacto y la probabilidad
Guía Básica
Categoría de Riesgos
ID
Claves
Mapear los riesgos de acuerdo con los factores de A Estrategia internacional
riesgo para visualizar la priorización de los riesgos B Acciones competitivas
empresariales claves. C Demanda del consumidor
D Riesgo País
A E
Desarrollo de nuevos
productos
E B F Recuperación de desastres
C G Cadena de abastecimiento
G F
Impacto en valor
A H Seguridad de la información
J I Impuestos
Cambios legales y/o
J
regulatorios
D
I Días o semanas
H Meses
B A
Años
Vulnerabilidad
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 79
Cómo se reporta el Riesgo –
Ejemplo
Según el nivel de riesgo a quien se reporta y que medidas se deben tomar
Oc - C = E
Control/
Entender Exposición
Administración
Objetivos Aceptable
de Riesgos
Identificar
Riesgos
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos 82
Gestión de Riesgos 82
Identificación de objetivos de control – Ejemplos
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos Gestión de Riesgos 83
Mapa de Riesgo / Control
May be
Under-Controlled Appropriate Level
of Control
High
Assess Process
Performance
Level of and control
Risk Gaps
Low
Low High
Appropriate Level May be
of Control Over-Controlled
Control Effectiveness
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos Gestión de Riesgos 84
Ejemplo de actividades de control
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos Gestión de Riesgos 85
Actividades de Control
Identificar
actividades Políticas y procedimientos que ayudan a asegurar que se están
de control llevando a cabo las directivas administrativas necesarias para
apoyar el cumplimiento de los objetivos de control.
Naturaleza
• Revisiones de Alto Nivel
• Preventivos • Procesamiento de
• Detectivos información
• Controles Físicos
Tipo • Indicadores de desempeño
• Manuales • Segregación de funciones
• Automáticos • Políticas y Procedimientos
• Acceso al sistema
Relevancia
• Clave • Listas de chequeo
• Suplementar • Otros
ios
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 86
Actividades de Control
Procesos
Controles
Manual manuales
Tipo de control
Tecnología
Controles Informática
manuales
basados en TI
Automático Controles de
aplicación
Previene Detecta
Soportan el
funcionamiento
continuo de controles
Errores en los Estados Financieros automáticos
Objetivo de control
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos Gestión de Riesgos 87
Integrated control environment.
Sistemas de información y control interno
e. g. HR process
- Salary Expense - Payroll Related
- Wages Expense Accruals
- Payroll Related - Payroll Related
Affected accounts Expenses Provisions
Impact
Terminate
Personnel
General
ledger
Controles
Impact
automáticos
Payroll Application System
Hiring
Pers onnel Maintaining
Payroll
Master File
Application and
database layer
Terminating
Personnel
Recording
Time
Calculating
Payroll
Database
Disbursing
General
Payroll
Ledger
Controles Impact
generales de TI
Host/Servers
Infrasturcture
layer
Networks
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 88
Tipología de controles
CLAVE
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos Gestión de Riesgos 89
Tipología de controles
Información
para toma de
decisiones
Supervisión
Controles generales
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos Gestión de Riesgos 90
Controles específicos
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos • Realizar conciliaciones. Gestión de Riesgos 91
Controles generales
• Revisar conciliaciones y la
disposición de partidas conciliatorias
• Revisión de indicadores
Diseño
Recorrido /
Implementación
Operatividad
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos Gestión de Riesgos 94
Evaluación de los controles
Documentar
los procesos
Validación Evaluación de
las
deficiencias y
reporte
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos Gestión de Riesgos 95
Evaluación de los controles
Documentar
los procesos
Identificar Transacciones no
riesgos y autorizadas
controles Controles de acceso
Documenta mediante uso de perfiles
r controles
Evaluar la Perfiles son adecuados a
Documentació efectividad funciones y cargo
n y Evaluación del diseño*
Evaluación
de las
eficiencias y
reporte
Validar la
eficacia Revisión de Perfiles
operacional
Validación Evaluación de
las
deficiencias y
reporte
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos Gestión de Riesgos 96
Preguntas / Comentarios .
Jorge Alfredo Hernández
jorgehernandez@deloitte.com
@JAHernandezO