UNIVERSIDAD AUTÓNOMA DE SANTO DOMINGO. UASD.

Facultad de Ciencias Económicas y Sociales.

Escuela de Contabilidad.
Asignatura: Auditoría Interna. CON-5310.

Unidad 4. Tarea 4.1.- Realice la Siguiente Investigación.

I.- Realice la Siguiente Investigación:

a.- El Riesgo y la gestión de riesgo empresarial.

La gestión de riesgo empresarial es un enfoque de gobierno estructurado y coordinado que abarca

toda la empresa con el fin de identificar, cuantificar, responder y vigilar las consecuencias de
eventos potenciales. Implementada por la gerencia, la GRE es evaluada por los auditores internos
con respecto a su eficacia y eficiencia.

La práctica de manejar riesgos, que es un elemento clave del gobierno, ha recaído

tradicionalmente en las unidades de negocio y/o en partes de esas unidades; y en menor
extensión, a través de la organización. La gestión de riesgo empresarial (GRE) contempla un
enfoque más amplio y maneja riesgos y oportunidades que afectan la creación o preservación del
valor de la organización.

La gestión de riesgo empresarial se define como un proceso, efectuado por el consejo de

dirección, gerencia y demás personal de una entidad; aplicado en un marco estratégico y a través
de la empresa; diseñado para identificar eventos potenciales que puedan afectar a la entidad para
manejar riesgos que estén dentro de lo aceptable con el fin de brindar aseguramiento razonable
respecto del logro de los objetivos de la entidad.

Todos en la organización cumplen un rol en el aseguramiento de una exitosa gestión de riesgos

para toda la empresa, pero la gerencia es la que tiene la responsabilidad principal para identificar y
manejar los riesgos, e implementar la GRE con un enfoque estructurado, consistente y coordinado.
El consejo directivo o su equivalente tiene la responsabilidad general de vigilar los riesgos y
obtener aseguramiento de que son manejados dentro de un nivel aceptable. Los auditores
internos, tanto en sus roles de aseguramiento como de consulta, contribuyen a la gestión de
riesgos de diversas formas. Cumplen un rol al evaluar la eficacia de la GRE y al recomendar
mejoras a la misma. Las Normas del IIA indican que el alcance de auditoría interna debe
comprender la gestión de riesgos y los sistemas de control.

Los diversos roles que los auditores internos tienen en la GRE y el énfasis que ponen en ella
dependen de la madurez del proceso de GRE en la organización. La protección que debe

1
establecerse antes de que los auditores internos lleven a cabo sus roles relacionados con la GRE
consiste en asegurar que toda la organización entienda completamente la responsabilidad que
tiene la gerencia en la gestión de riesgos.

El rol central de los auditores internos en la GRE consiste en proporcionar aseguramiento objetivo
al consejo directivo y a la alta dirección sobre la eficacia de las actividades de GRE en cuanto a
ayudar a asegurar que los riesgos de los negocios clave son manejados apropiadamente y que el
sistema de control interno opera eficazmente.

Los roles y actividades de aseguramiento principales de auditoría interna relacionados con la GRE
son:

  Proporcionar aseguramiento sobre el diseño y eficacia de los procesos de gestión de

riesgos.
 Proporcionar aseguramiento de que los riesgos sean evaluados correctamente.
 Evaluar los procesos de gestión de riesgos.
 Evaluar los informes sobre el estado de los principales riesgos y controles.
 Revisar la gestión de los riesgos principales, incluyendo la eficacia de los controles y otras
respuestas a los mismos.

Otros roles y actividades de consultoría legítimos de parte de la actividad de auditoría interna

pueden ayudar a proteger la independencia y objetividad de los auditores internos cuando vayan
acompañados de las salvaguardas adecuadas.

Esto incluye:

Defender el establecimiento de la GRE dentro de la organización.

Desarrollar una estrategia de gestión de riesgos para ser aprobada por el consejo directivo.

Facilitar la identificación y evaluación de riesgos.

Entrenar a la gerencia acerca de responder a los riesgos.

Coordinar las actividades de GRE.

2
Consolidar los informes sobre riesgos.

Mantener y desarrollar el marco de la GRE.

Los roles que los auditores internos NO deben cumplir son:

 Establecer el nivel de riesgo aceptado.

 Imponer procesos de gestión de riesgos.
 Proporcionar aseguramiento al consejo directivo y a la gerencia
 Tomar decisiones sobre respuestas a los riesgos. Esto es responsabilidad de la gerencia.
 Implementar respuestas a los riesgos en nombre de la gerencia.
 Hacerse responsable de la gestión de riesgos.

b.- El Riesgo de Fraude y el Rol de la A.I. en la Prevención.

El fraude, no sólo implica estafa, robo de dinero, valores, mercaderías, bienes, suministros, etc. El
fraude puede ser cometido en forma intencional por los funcionarios de una compañía, incluso por
propietarios, accionistas o Gerentes, para presentar una imagen financiera que no corresponde a
la realidad de la empresa, esto con el objetivo de conseguir inversionistas, vender acciones,
contratar préstamos, créditos a sus empresas, incluso para evadir impuestos

Los planes para llevar a cabo un fraude por lo general se dan por un motivo, presión, estímulo para
cometerlos y sobre todo por la percepción de que la carencia o falta de cumplimiento de las
políticas de control interno de la empresa dan o facilitan la oportunidad para cometerlo.

La Gerencia es responsable de la prevención del fraude. Auditoria Interna es responsable de asistir

en la prevención del fraude mediante el examen y evaluación de la efectividad del control interno
de acuerdo con el riesgo potencial en las diferentes áreas de la organización.

Un ambiente de control fortalecido con políticas de control interno diseñadas para ser aplicadas
consistentemente, así como adherencia a las normas y ética empresarial, permite reducir
significativamente el riesgo de fraude. También el enfoque gerencial y la atención hacia un
adecuado clima organizacional basado en la comunicación, respeto y adecuada compensación, son
disuasivos hacia la comisión de fraudes por parte de los colaboradores.

La política institucional hacia el fraude representa un factor de gran valor para evitar y prevenir el
fraude, ya que mientras más fuertes y sólidas sean las políticas así como las sanciones, menor
disposición o facilidad de propiciar o unirse para cometer un fraude habrá entre los colaboradores.

3
Debe destacarse la función de la Auditoria interna en la detección y prevención del fraude en las
empresas y la necesidad de planificar adecuadamente su trabajo con base en la normativa técnica,
para lograr con sus recomendaciones, fortalecer el control interno de tal forma que permita
reducir hasta su mínima expresión el riesgo de que ocurra del fraude y si llegara a ocurrir, poder
detectarlo oportunamente y así determinar tanto el costo como responsabilidad de los
defraudadores.

c.- Los Marcos Modernos del Control Interno y su Estructura.

Definición del Control Interno

El control interno antes de 1992 no tenía el mismo significado para todos, existiendo  diversas
definiciones que generaba muchas interpretaciones a nivel personal y entendimiento.

La organización COSO publicó el informe COSO I, integrando los diversos conceptos en una sola
definición: “Es un proceso efectuado por el consejo de administración, la dirección y el resto del
personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable
en cuanto a la consecución de objetivos dentro de las siguientes categorías:

 Eficacia y eficiencia de las operaciones

 Fiabilidad de la información financiera
 Cumplimiento de la leyes y normas que sean aplicables”

La estructura del modelo COSO está conformada por cinco componentes:

1. Ambiente de Control

2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión.

4
II.- Conteste:

a.- Describa los antecedentes y la evolución del Control Interno.

Un poco de historia del informe COSO

El impulsor de su formación fueron los acontecimientos de 1985 en Estados Unidos, que debido a
las malas prácticas por parte de las empresas generaron una crisis en el sistema financiero de esa
época. La Comisión Treadway realizó estudios de qué factores llevaron a las empresas a la
presentación de información financiera fraudulenta, elaborando un informe con recomendaciones
y destinado a todo tipo de organizaciones, principalmente a las que son reguladas por la SEC
(Securities and Exchange Commission - Comisión de Mercados y Valores de Estados Unidos).

Los aportes que ha realizado la organización COSO son:

 Ayuda en la implementación del control interno

 Sirve de ayuda en la optimización de recursos y los hace más rentables.
 Ayuda en la implementación de una adecuada gestión de riesgos en todos los niveles de la
organización.
 Sirve de herramienta en la integración de sistemas de gestión de riesgos que se tengan
implementados la organización.
 Es de mucha utilidad para la comunicación dentro de la organización.

Es conocido por todos como COSO I, en 1992 la Comisión Treadway publicó el primer

informe Internal Control - Integrated Framework, destinado para que las organizaciones evalúen
y mejoren los sistemas de Control Interno, generando una definición en común.

Para el año 2004 la organización COSO mostró más relevancia posterior a los acontecimientos
sucedidos por Enron, WorldCom y otras empresas en los Estados Unidos, a partir de los años 2001
y 2002, se publicó el Enterprise Risk Management - Integrated Framework (Marco integrado de
Gestión de Riesgos) o conocido como COSO II o COSO-ERM, vino a dar un nuevo enfoque a las
prácticas del concepto de Control Interno e introduciendo la importancia de una gestión de riesgos
adecuada, haciendo que todos los niveles de la organización se involucre.
Para mayo del 2013, la organización COSO publicó la tercera versión Internal Control —
Integrated Framework (Marco de Control Interno Integrado) conocido como COSO 2013, en el
presente modelo se formó por los cinco componentes, como en el COSO I.

5
Lo que diferencia el Coso 2013 con Coso 1992, son los 17 principios que están relacionados con
componentes y que sirve para el establecimiento de un sistema de control interno efectivo que
debe implementarse en toda la organización:

b.- Defina y Clasifique el Control Interno.

Es un proceso efectuado por el consejo de administración, la dirección y el resto del personal de
una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a
la consecución de objetivos

Los Controles Internos según su finalidad se Clasifican en:

Controles Preventivos: Evita los problemas previo a que estos ocurran, es decir, la clave del
control preventivo esta en tomar medidas antes de que se presente el problema. Los controles
preventivos permiten a los gerentes evitar problemas en lugar de tener que remediarles más
adelante. Estos requieren de información oportuna y exacta la cual muchas veces es difícil de
encontrar, por ello con frecuencia se deben usar otros tipos de control. Ejemplo: letrero de "NO
FUMAR" para salvaguardar las instalaciones, sistemas de claves de acceso, entre otras.

Controles Detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los
detecta luego de ocurridos. En cierta forma sirven para evaluar  la eficiencia de los controles
preventivos. Ejemplo: archivos y procesos que sirvan como pistas para la auditoria
(procedimientos de validación).

Controles Correctivos: Es el tipo de control más común, éste se presenta cuando ya ha ocurrido el
problema. El  control correctivo lo que busca es la corrección de todos los errores identificados.
Cada control cumple un objetivo principal en donde controla las actividades realizadas,
cumpliendo con los procedimientos y normas legales.

Según lo que protegen se clasifican en:

 Controles Físicos: Es la implementación de medidas de seguridad en una estructura

definida usada para prevenir o detener el acceso no autorizado a material o información
confidencial; en pocas palabras utilizadas para proteger el hardware. Ejemplo: cámaras de circuito
cerrado, identificación por fotos, sistemas de alarmas, etc.

  Controles Lógicos: Consiste en la aplicación de barreras y procedimientos que resguarden

la seguridad en el uso del software, la protección de los datos, procesos y programas, así como la

6
 del acceso ordenado y autorizado de los usuarios a la información. Ejemplo: sistemas de seguridad
que resguarden la información que se encuentra en las computadoras.   

 Control Administrativo: Los controles administrativos  comprenden el plan de

organización y todos los métodos y procedimientos relacionados principalmente con eficiencia en
operaciones y adhesión a las políticas de la empresa y por lo general solamente tienen relación
indirecta con los registros financieros.  Incluyen más que todo controles tales como análisis
estadísticos, estudios de moción y tiempo, reportes de operaciones, programas de
entrenamientos de personal y controles de calidad. 

    Control Contable: Comprenden el plan de organización y todos los métodos y procedimientos

relacionados principal y directamente a la salvaguardia de los activos de la empresa y a la
confiabilidad de los registros financieros.  Generalmente incluyen controles tales como el sistema
de autorizaciones y aprobaciones con registros y reportes contables de los deberes de operación y
custodia de activos y auditoría interna.

c.- Importancia y Limitaciones del Control Interno.

El Control Interno contribuye a la seguridad del sistema contable que se utiliza en la empresa,
fijando y evaluando los procedimientos administrativos, contables y financieros que ayudan a que
la empresa realice su objeto.  Detecta las irregularidades y errores y propugna por la solución
factible evaluando todos los niveles de autoridad, la administración del personal, los métodos y
sistemas contables para que así el auditor pueda dar cuenta veraz de las transacciones y manejos
empresariales

Las limitaciones del control interno hacen referencia a los sucesos que no pueden ser controlados
por medio de la auditoría interna.

Algunas limitaciones son:

Requerimientos de la administración. El control interno no puede costar más de los beneficios que
se reciben, es decir se debe revisar la pendiente del costo-beneficio.

En su mayoría el control interno está dirigido a las cuestiones de rutina y no a situaciones globales;
por tanto, siempre debe ser pensado como un todo que se desprende de la punta de la pirámide
de la empresa –gerencia-administración– y termina en la base –empleados– para evitar esa
limitante del control interno en relación con unas determinadas operaciones de la compañía y no,
unas más globalizadas.

La colusión que se da cuando personas internas o externas se ponen de acuerdo para hacerle daño
a un tercero, por ejemplo el robo, el fraude, etc. Esta es una limitante porque puede suceder que

7
desde el Control Interno haya un gran diseño para el logro de óptimos resultados, pero imposible
resistir la ausencia de principios éticos por parte de las personas que componen el alma de la
empresa.

4 La violación por parte de la administración por abuso de autoridad. Si el control interno funciona
como tal, y se deben cumplir unos parámetros, éstos deben ser respetados; de lo contrario, los
resultados podrían ser inconclusos. Por ejemplo la autorización de la salida de mercancía sin
previa revisión.

5-Que el Control Interno se vuelva inadecuado u obsoleto; lo indicado es que dicho control esté en
constante desarrollo de acuerdo con las necesidades que requiere la empresa y administración
para su prosperidad.

6-Errores humanos, el Control Interno puede obtener fallas cuando hay errores humanos por falta
de información, o sencillamente confusiones normales propias de la interacción, que pueden ser
manejadas desde la asertividad.

d.- Describa el Riego y la Gestión de Riesgo Empresarial. ERM. Sus componentes y

enfoques.

Se refiere a los métodos con los cuales las organizaciones intentan gestionar todos los riesgos que
puedan presentar durante su funcionamiento.  Esto se hace para anticiparse a eventos y
convertirlos en oportunidades para la organización.

Una vez establecidos los objetivos de una entidad, es necesario marcar que existe estrecha
relación entre éstos y los componentes de la administración del riesgo

Objetivos que la empresa busca conseguir se representan en columnas verticales

 Componentes  se representan en filas
(todos ellos son relevantes para cada categoría de objetivos)
 Unidades o actividades se representan en la tercera dimensión de la matriz, e indica la
relevancia que tiene el control interno para la totalidad de la entidad

El control interno de una organización consta de componentes relacionados entre sí que derivan
del estilo gerencial y están integrados en el proceso de dirección. Éstos se presentan con
independencia del tamaño o naturaleza de la organización. El marco del control interno está
conformado por el contenido descrito como definición según las normas; la clasificación de los
objetivos y los componentes y criterios para lograr la eficacia. Estos elementos, generan una

8
sinergia y forman un sistema integrado que responde de una manera dinámica a las circunstancias
cambiantes del entorno. La gestión de riesgos corporativos consta de ocho componentes
relacionados entre sí, los cuales se derivan de la forma en que la gerencia dirige la empresa y se
integran al proceso de gestión. Representan los elementos necesarios para el logro de los
objetivos y para determinar la efectividad de la administración del riesgo empresarial. Dichos
componentes forman un proceso multidireccional e interactivo ya que cualquiera de ellos puede
influir (y ser influido) por los otros.

Gráficamente, las relaciones anteriormente planteadas (y su evolución):

Esta herramienta refleja la capacidad de centrarse sobre la totalidad de la gestión de riesgos de

una entidad; o bien focalizarse por cualquier subconjunto deseado (categoría de objetivos,
componente, unidad). Por lo tanto su aplicación depende de los riesgos considerados como
prioritarios en cada una de las organizaciones, y por lo tanto los responsables de la gerencia deben
determinar la naturaleza del ERM en función a su tamaño, objetivos, estrategia, cultura, apetito al
riesgo, entorno competitivo y financiero, entre otros.

9
e.- La evaluación del Riesgo de Fraude y la Prevención del Riesgo.

Para protegerse, tanto a sí misma como a otras partes interesadas, la organización debe entender
y conocer cuál es su riesgo de fraude y cuáles son los riesgos específicos a los que está directa o
indirectamente expuesta. Esta evaluación puede integrase en una evaluación del riesgo en
conjunto, o desarrollarse de forma independiente; pero, como mínimo, debe incluir:

La identificación del riesgo concreto.

La probabilidad de ocurrencia e impacto.

La respuesta al mismo.

Identificación del riesgo de fraude concreto

Para identificar un riesgo, la organización puede utilizar fuentes de datos externas o

internas. Entre las externas están los organismos reguladores, el propio sector, las
principales guías como COSO, y organizaciones profesionales como The Institute of Internal
Auditors (IIA), American Institute of Certified Public Accountants (AICPA), Association of
Certified Fraud Examiners (ACFE), etc.

Las fuentes internas incluyen entrevistas con el personal adecuado o representante de un amplio
abanico de actividades dentro de la organización; la revisión de las denuncias interpuestas a través
de los mecanismos implantados (canal de denuncias o línea ética) y otros procedimientos
analíticos.

Para que un proceso de identificación y evaluación del riesgo de fraude sea efectivo, debe incluir la
evaluación de los incentivos y las presiones y oportunidades de cometer fraude. Asimismo, la
evaluación del riesgo de fraude debe considerar la potencial eliminación de controles por parte de
la dirección, así como el análisis de aquellas áreas donde los controles son débiles o no existe una
clara segregación de funciones.

La tecnología proporciona a la organización muchos beneficios, como la velocidad en

las comunicaciones y la accesibilidad a la información, pero también incrementa la exposición al
riesgo de fraude. Por tanto, una evaluación del riesgo debe considerar tanto los accesos a los
sistemas como las amenazas internas y externas a la integridad de los datos, la seguridad de los
sistemas y el robo de información confidencial y sensible.

Probabilidad de ocurrencia e impacto

10
Evaluar la probabilidad e impacto de los potenciales riesgos de fraude es un proceso en el que hay
que contar con factores monetarios o económicos, financieros, operacionales, reputacionales y
legales. No todos los riesgos potenciales tienen la misma probabilidad y el mismo impacto en
todos los casos.

La organización debe considerar en primer lugar aquellos riesgos inherentes a su negocio. Evaluar

la probabilidad y el impacto de estos riesgos le permite gestionar su riesgo de fraude e
implementar y aplicar procedimientos preventivos y de detección de una forma racional.

Una vez mapeados los riesgos, con sus respectivos controles, es posible que exista un
riesgo residual.

La dirección evalúa el potencial impacto de los riesgos y decide la naturaleza y alcance de

los controles preventivos y de detección así como los procedimientos para su gestión.

Probabilidad de ocurrencia. La evaluación de la probabilidad de ocurrencia de un

determinado riesgo de fraude considera factores como la ocurrencia en la organización de ese
riesgo en el pasado, su frecuencia en las organizaciones del mismo sector, la complejidad del
riesgo y el número de personas involucradas en la revisión y aprobación del proceso, entre otros
factores.

Evaluada la probabilidad de ocurrencia, ésta se categoriza de varias formas. La tres más utilizadas

son probabilidad remota, probabilidad posible y probabilidad probable.

Impacto en la organización. La evaluación del impacto de que un riesgo de fraude finalmente se

materialice no solo tiene en cuenta factores monetarios en los estados financieros, sino también
factores operacionales, el valor de la marca, la reputación, aspectos legales y regulatorios.

Al igual que con la probabilidad de ocurrencia, una vez evaluado el impacto de que un riesgo de
fraude se materialice, éste se categoriza. La forma más común es la que diferencia entre impacto
no significativo, impacto significativo e impacto material.

De forma adicional, las organizaciones deben evaluar los incentivos y presiones de los individuos y
departamentos: qué individuos y departamentos tienen mayores incentivos y, por tanto, mayor
probabilidad de comisión de fraude. Toda esta información permite a la organización diseñar las
respuestas adecuadas.

Respuesta al riesgo residual de fraude

11
La tolerancia al riesgo varía de una organización a otra. La alta dirección establece el nivel de
tolerancia al riesgo teniendo en cuenta su responsabilidad frente a los socios o accionistas, las
entidades financiadoras y demás partes interesadas.

Algunas organizaciones prefieren gestionar únicamente los riesgos de fraude con impacto material

en los estados financieros; otras, implantan programas de respuesta al fraude más estrictos, con
políticas de “tolerancia cero”.

LA PREVENCIÓN DEL FRAUDE

Las técnicas de prevención de fraude no garantizan que el fraude no se cometa, pero son la

primera línea de actuación para minimizar el riesgo.

Un elemento importante en un programa de prevención de fraude es la existencia de una política

escrita que establezca quién es el responsable de gestionar el riesgo dentro de la organización en
sus diferentes ámbitos y circunstancias (prevención, detección, e investigación). Un documento
oficial que detalle claramente cuáles son los derechos y obligaciones de todos los directivos y
empleados frente a la potencial irregularidad y sus consecuencias, independientemente de su
categoría o nivel profesional, o de su vinculación a la organización. De hecho, el 64% de los
encuestados por el Instituto de Auditores Internos de España manifiesta que su organización
cuenta con una política antifraude de este tipo.

Entre otros de los muchos elementos trascendentales en la prevención del fraude, se

encuentran los procedimientos de Recursos Humanos, los límites de la autoridad y los
procedimientos transaccionales.

Procedimientos de Recursos Humanos. La función de Recursos Humanos juega un papel muy

importante en la prevención del fraude en los siguientes procedimientos:

– Desarrollo de investigaciones de antecedentes, o conocimiento y verificación del perfil de un

empleado.

– Impartición de cursos anti-fraude.

– Evaluación del desarrollo y establecimiento de programas de compensación.

– Realización de entrevistas de salida del personal.

Límites de la autoridad. La comisión de un fraude es menos probable cuando el nivel de autoridad

de una persona en la organización es proporcional a su nivel de responsabilidad. En este sentido,

12
la desalineación entre responsabilidad y autoridad, unido a la ausencia de controles y de
segregación de funciones, tiene un impacto elevado en la comisión de fraude.

Procedimientos transaccionales. Las revisiones de terceros, incluso de otras partes relacionadas,

ayuda a prevenir el fraude. Las medidas preventivas son especialmente necesarias para
transacciones con partes relacionadas controladas por miembros de la alta dirección o por
empleados con autoridad y con interés especial en compañías externas relacionadas con la
organización.

F.- Describa el Impacto de los resultados del proceso de gestión de riesgos en el plan de
Auditoria Interna.

Proporciona aseguramiento alrededor del proceso de administración de riesgo de principio a fin

refuerza el impacto y la influencia de la auditoria interna, al traer claridad a un área que
frecuentemente sufre de falta de ella. La fragmentación de la administración del riesgo crea el
costo, brechas y redundancia, además puede exponer a las organizaciones a consecuencia de
riesgo imprevista. Esta actividad no solo se mantiene firmemente dentro del ámbito de la
auditoria interna, sino que también debe ser intensamente comprometida con la auditoria interna

13