Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Los diversos roles que los auditores internos tienen en la GRE y el énfasis que ponen en ella
dependen de la madurez del proceso de GRE en la organización. La protección que debe
1
establecerse antes de que los auditores internos lleven a cabo sus roles relacionados con la GRE
consiste en asegurar que toda la organización entienda completamente la responsabilidad que
tiene la gerencia en la gestión de riesgos.
El rol central de los auditores internos en la GRE consiste en proporcionar aseguramiento objetivo
al consejo directivo y a la alta dirección sobre la eficacia de las actividades de GRE en cuanto a
ayudar a asegurar que los riesgos de los negocios clave son manejados apropiadamente y que el
sistema de control interno opera eficazmente.
Los roles y actividades de aseguramiento principales de auditoría interna relacionados con la GRE
son:
Esto incluye:
Desarrollar una estrategia de gestión de riesgos para ser aprobada por el consejo directivo.
2
Consolidar los informes sobre riesgos.
El fraude, no sólo implica estafa, robo de dinero, valores, mercaderías, bienes, suministros, etc. El
fraude puede ser cometido en forma intencional por los funcionarios de una compañía, incluso por
propietarios, accionistas o Gerentes, para presentar una imagen financiera que no corresponde a
la realidad de la empresa, esto con el objetivo de conseguir inversionistas, vender acciones,
contratar préstamos, créditos a sus empresas, incluso para evadir impuestos
Los planes para llevar a cabo un fraude por lo general se dan por un motivo, presión, estímulo para
cometerlos y sobre todo por la percepción de que la carencia o falta de cumplimiento de las
políticas de control interno de la empresa dan o facilitan la oportunidad para cometerlo.
Un ambiente de control fortalecido con políticas de control interno diseñadas para ser aplicadas
consistentemente, así como adherencia a las normas y ética empresarial, permite reducir
significativamente el riesgo de fraude. También el enfoque gerencial y la atención hacia un
adecuado clima organizacional basado en la comunicación, respeto y adecuada compensación, son
disuasivos hacia la comisión de fraudes por parte de los colaboradores.
La política institucional hacia el fraude representa un factor de gran valor para evitar y prevenir el
fraude, ya que mientras más fuertes y sólidas sean las políticas así como las sanciones, menor
disposición o facilidad de propiciar o unirse para cometer un fraude habrá entre los colaboradores.
3
Debe destacarse la función de la Auditoria interna en la detección y prevención del fraude en las
empresas y la necesidad de planificar adecuadamente su trabajo con base en la normativa técnica,
para lograr con sus recomendaciones, fortalecer el control interno de tal forma que permita
reducir hasta su mínima expresión el riesgo de que ocurra del fraude y si llegara a ocurrir, poder
detectarlo oportunamente y así determinar tanto el costo como responsabilidad de los
defraudadores.
El control interno antes de 1992 no tenía el mismo significado para todos, existiendo diversas
definiciones que generaba muchas interpretaciones a nivel personal y entendimiento.
La organización COSO publicó el informe COSO I, integrando los diversos conceptos en una sola
definición: “Es un proceso efectuado por el consejo de administración, la dirección y el resto del
personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable
en cuanto a la consecución de objetivos dentro de las siguientes categorías:
1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión.
4
II.- Conteste:
El impulsor de su formación fueron los acontecimientos de 1985 en Estados Unidos, que debido a
las malas prácticas por parte de las empresas generaron una crisis en el sistema financiero de esa
época. La Comisión Treadway realizó estudios de qué factores llevaron a las empresas a la
presentación de información financiera fraudulenta, elaborando un informe con recomendaciones
y destinado a todo tipo de organizaciones, principalmente a las que son reguladas por la SEC
(Securities and Exchange Commission - Comisión de Mercados y Valores de Estados Unidos).
Para el año 2004 la organización COSO mostró más relevancia posterior a los acontecimientos
sucedidos por Enron, WorldCom y otras empresas en los Estados Unidos, a partir de los años 2001
y 2002, se publicó el Enterprise Risk Management - Integrated Framework (Marco integrado de
Gestión de Riesgos) o conocido como COSO II o COSO-ERM, vino a dar un nuevo enfoque a las
prácticas del concepto de Control Interno e introduciendo la importancia de una gestión de riesgos
adecuada, haciendo que todos los niveles de la organización se involucre.
Para mayo del 2013, la organización COSO publicó la tercera versión Internal Control —
Integrated Framework (Marco de Control Interno Integrado) conocido como COSO 2013, en el
presente modelo se formó por los cinco componentes, como en el COSO I.
5
Lo que diferencia el Coso 2013 con Coso 1992, son los 17 principios que están relacionados con
componentes y que sirve para el establecimiento de un sistema de control interno efectivo que
debe implementarse en toda la organización:
Controles Preventivos: Evita los problemas previo a que estos ocurran, es decir, la clave del
control preventivo esta en tomar medidas antes de que se presente el problema. Los controles
preventivos permiten a los gerentes evitar problemas en lugar de tener que remediarles más
adelante. Estos requieren de información oportuna y exacta la cual muchas veces es difícil de
encontrar, por ello con frecuencia se deben usar otros tipos de control. Ejemplo: letrero de "NO
FUMAR" para salvaguardar las instalaciones, sistemas de claves de acceso, entre otras.
Controles Detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los
detecta luego de ocurridos. En cierta forma sirven para evaluar la eficiencia de los controles
preventivos. Ejemplo: archivos y procesos que sirvan como pistas para la auditoria
(procedimientos de validación).
Controles Correctivos: Es el tipo de control más común, éste se presenta cuando ya ha ocurrido el
problema. El control correctivo lo que busca es la corrección de todos los errores identificados.
Cada control cumple un objetivo principal en donde controla las actividades realizadas,
cumpliendo con los procedimientos y normas legales.
6
del acceso ordenado y autorizado de los usuarios a la información. Ejemplo: sistemas de seguridad
que resguarden la información que se encuentra en las computadoras.
Las limitaciones del control interno hacen referencia a los sucesos que no pueden ser controlados
por medio de la auditoría interna.
Requerimientos de la administración. El control interno no puede costar más de los beneficios que
se reciben, es decir se debe revisar la pendiente del costo-beneficio.
En su mayoría el control interno está dirigido a las cuestiones de rutina y no a situaciones globales;
por tanto, siempre debe ser pensado como un todo que se desprende de la punta de la pirámide
de la empresa –gerencia-administración– y termina en la base –empleados– para evitar esa
limitante del control interno en relación con unas determinadas operaciones de la compañía y no,
unas más globalizadas.
La colusión que se da cuando personas internas o externas se ponen de acuerdo para hacerle daño
a un tercero, por ejemplo el robo, el fraude, etc. Esta es una limitante porque puede suceder que
7
desde el Control Interno haya un gran diseño para el logro de óptimos resultados, pero imposible
resistir la ausencia de principios éticos por parte de las personas que componen el alma de la
empresa.
4 La violación por parte de la administración por abuso de autoridad. Si el control interno funciona
como tal, y se deben cumplir unos parámetros, éstos deben ser respetados; de lo contrario, los
resultados podrían ser inconclusos. Por ejemplo la autorización de la salida de mercancía sin
previa revisión.
5-Que el Control Interno se vuelva inadecuado u obsoleto; lo indicado es que dicho control esté en
constante desarrollo de acuerdo con las necesidades que requiere la empresa y administración
para su prosperidad.
6-Errores humanos, el Control Interno puede obtener fallas cuando hay errores humanos por falta
de información, o sencillamente confusiones normales propias de la interacción, que pueden ser
manejadas desde la asertividad.
Se refiere a los métodos con los cuales las organizaciones intentan gestionar todos los riesgos que
puedan presentar durante su funcionamiento. Esto se hace para anticiparse a eventos y
convertirlos en oportunidades para la organización.
Una vez establecidos los objetivos de una entidad, es necesario marcar que existe estrecha
relación entre éstos y los componentes de la administración del riesgo
El control interno de una organización consta de componentes relacionados entre sí que derivan
del estilo gerencial y están integrados en el proceso de dirección. Éstos se presentan con
independencia del tamaño o naturaleza de la organización. El marco del control interno está
conformado por el contenido descrito como definición según las normas; la clasificación de los
objetivos y los componentes y criterios para lograr la eficacia. Estos elementos, generan una
8
sinergia y forman un sistema integrado que responde de una manera dinámica a las circunstancias
cambiantes del entorno. La gestión de riesgos corporativos consta de ocho componentes
relacionados entre sí, los cuales se derivan de la forma en que la gerencia dirige la empresa y se
integran al proceso de gestión. Representan los elementos necesarios para el logro de los
objetivos y para determinar la efectividad de la administración del riesgo empresarial. Dichos
componentes forman un proceso multidireccional e interactivo ya que cualquiera de ellos puede
influir (y ser influido) por los otros.
9
e.- La evaluación del Riesgo de Fraude y la Prevención del Riesgo.
Para protegerse, tanto a sí misma como a otras partes interesadas, la organización debe entender
y conocer cuál es su riesgo de fraude y cuáles son los riesgos específicos a los que está directa o
indirectamente expuesta. Esta evaluación puede integrase en una evaluación del riesgo en
conjunto, o desarrollarse de forma independiente; pero, como mínimo, debe incluir:
La respuesta al mismo.
Las fuentes internas incluyen entrevistas con el personal adecuado o representante de un amplio
abanico de actividades dentro de la organización; la revisión de las denuncias interpuestas a través
de los mecanismos implantados (canal de denuncias o línea ética) y otros procedimientos
analíticos.
Para que un proceso de identificación y evaluación del riesgo de fraude sea efectivo, debe incluir la
evaluación de los incentivos y las presiones y oportunidades de cometer fraude. Asimismo, la
evaluación del riesgo de fraude debe considerar la potencial eliminación de controles por parte de
la dirección, así como el análisis de aquellas áreas donde los controles son débiles o no existe una
clara segregación de funciones.
10
Evaluar la probabilidad e impacto de los potenciales riesgos de fraude es un proceso en el que hay
que contar con factores monetarios o económicos, financieros, operacionales, reputacionales y
legales. No todos los riesgos potenciales tienen la misma probabilidad y el mismo impacto en
todos los casos.
Una vez mapeados los riesgos, con sus respectivos controles, es posible que exista un
riesgo residual.
Al igual que con la probabilidad de ocurrencia, una vez evaluado el impacto de que un riesgo de
fraude se materialice, éste se categoriza. La forma más común es la que diferencia entre impacto
no significativo, impacto significativo e impacto material.
De forma adicional, las organizaciones deben evaluar los incentivos y presiones de los individuos y
departamentos: qué individuos y departamentos tienen mayores incentivos y, por tanto, mayor
probabilidad de comisión de fraude. Toda esta información permite a la organización diseñar las
respuestas adecuadas.
11
La tolerancia al riesgo varía de una organización a otra. La alta dirección establece el nivel de
tolerancia al riesgo teniendo en cuenta su responsabilidad frente a los socios o accionistas, las
entidades financiadoras y demás partes interesadas.
12
la desalineación entre responsabilidad y autoridad, unido a la ausencia de controles y de
segregación de funciones, tiene un impacto elevado en la comisión de fraude.
F.- Describa el Impacto de los resultados del proceso de gestión de riesgos en el plan de
Auditoria Interna.
13