Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIDAD DIDÁCTICA
CONTROL INTERNO
Nivel: CUARTO
Número de créditos: 4
TUTOR:
Dra. María Angélica García Salazar
Quito – Ecuador
2
ÍNDICE
Introducción .................................................................................................................... 6
Importancia del Control Interno .................................................................................. 8
Relaciones con otras especialidades .............................................................................. 9
UNIDAD 1 ..................................................................................................................... 11
1. Control Interno .................................................................................................... 11
1.1. Definición de Control Interno ................................................................................. 11
1.2. Principios de Control Interno .................................................................................. 11
1.3. Objetivos de Control Interno ................................................................................... 13
1.4. Elementos ................................................................................................................ 14
UNIDAD 2 ..................................................................................................................... 16
2. Modelos de Control Interno................................................................................. 16
2.1. Introducción ............................................................................................................ 16
2.2. Modelo COSO ......................................................................................................... 16
2.2.1. Primer componente: Ambiente de Control ........................................... 17
2.2.2. Segundo componente: Evaluación de los Riesgos ................................ 19
2.2.3. Tercer Componente: Actividades de Control ....................................... 20
2.2.4. Cuarto componente: Información y comunicación ............................... 21
2.2.5. Quinto componente: Monitoreo ............................................................ 21
2.3. Modelo COCO ........................................................................................................ 22
2.3.1. Primer Grupo: Propósito ....................................................................... 24
2.3.2. Segundo grupo: Compromiso ............................................................... 24
2.3.3. Tercer grupo: Aptitud ........................................................................... 25
2.3.4. Cuarto grupo: Evaluación y Aprendizaje .............................................. 25
2.4. Modelo MICIL ........................................................................................................ 26
2.4.1. Primer Componente: Entorno o ambiente de control y trabajo
institucional ........................................................................................................ 27
2.4.2. Segundo componente: Evaluación de riesgos para obtener objetivos .. 28
2.4.3. Tercer Componente. Actividades de control para minimizar riesgos ... 29
2.4.4. Cuarto componente: Información y comunicación para fomentar la
transparencia ....................................................................................................... 31
2.4.5. Quinto componente: Supervisión interna continua y externa periódica 31
3
UNIDAD 3 ..................................................................................................................... 42
3. Métodos de Evaluación de Control Interno ........................................................ 42
3.1. Introducción ............................................................................................................ 42
3.2. Método Descriptivo o Narrativo............................................................................. 43
3.2.1. Ejemplo ................................................................................................. 43
3.3. Método de Cuestionario .......................................................................................... 45
3.3.1. Características de redacción.................................................................. 46
3.3.2. Criterios de apoyo ................................................................................. 46
3.3.3. Tipos de preguntas ................................................................................ 47
3.3.4. Ejemplo ................................................................................................. 48
3.4. Método de Flujograma (Diagrama de Flujo) ........................................................... 50
3.4.1. Técnicas de Diagramación .................................................................... 50
3.4.1.1. Diagramas de flujo de procesos ........................................................ 50
3.4.1.2. Diagramas de causa y efecto (Diagrama de Ishikawa) ..................... 53
3.4.1.3. Diagrama de Ciclo de Ventas............................................................ 53
3.5. Técnicas de Control Interno .................................................................................... 54
3.5.1. ¿Qué entendemos por Técnicas en control?.......................................... 55
3.5.2. ¿Qué beneficios proporciona la aplicación de Técnicas en el ejercicio
del control? ......................................................................................................... 55
3.5.3. Tipos de técnicas de Control Interno .................................................... 55
3.5.3.1. Observación ...................................................................................... 55
3.5.3.2. Inspección ......................................................................................... 56
3.5.3.3. Revisión analítica .............................................................................. 57
3.5.3.4. Examen de exactitud ......................................................................... 59
3.5.3.5. Comprobación ................................................................................... 60
3.5.3.6. Conciliación ...................................................................................... 61
4
UNIDAD 4 ..................................................................................................................... 68
4. Caso de aplicación práctica metodología COSO ERM o COSO II .................... 68
4.1. Datos Generales Caso Práctico - Corporación Cable TV ........................................ 68
4.2. Productos y servicios ............................................................................................... 68
Canales Video Estándar .................................................................................. 68
Canales Video Alta definición........................................................................ 68
Canales Audio ................................................................................................ 68
Canales P ........................................................................................................ 68
Estándar .......................................................................................................... 69
Alta definición ................................................................................................ 69
4.3. Mapa de procesos .................................................................................................... 69
4.3.1. Metodología COSO ERM ó COSO II– Aplicación práctica ............... 73
4.3.2. Objetivo ................................................................................................ 73
4.3.3. Alcance ................................................................................................. 73
4.3.4. Proceso de Gestión................................................................................ 74
4.3.4.1. Ambiente Interno .............................................................................. 74
4.3.4.2. Establecimiento de objetivos ............................................................ 74
4.3.4.3. Identificación de eventos .................................................................. 75
4.3.4.4. Evaluación de riesgos........................................................................ 75
4.3.4.5. Respuesta al riesgo ............................................................................ 75
4.3.4.6. Actividades de control ...................................................................... 75
4.3.4.7. Información y comunicación ............................................................ 75
4.3.4.8. Supervisión........................................................................................ 75
4.3.5. Estructura de la Gestión de control interno y riesgo empresariales ...... 75
4.3.6. Recursos ................................................................................................ 76
4.3.7. Estructuras de responsabilidad.............................................................. 76
4.3.7.1. Estructura Estratégica ....................................................................... 76
5
Introducción
Desde este enfoque es importante que las empresas cuenten con herramientas que le
permitan fortalecerse dentro de una cultura de gestión de control interno y riesgo
empresariales, basándose en las mejores prácticas mundiales y teniendo en cuenta
siempre que la gestión de riegos y la gestión de control interno van de la mano y
garantizan la transparencia y confiabilidad en las operaciones, minimizando la posibilidad
de la ocurrencia de fraude y error en la gestión operativa de los procesos, sistemas,
personas y factores externos.
Bajo este contexto, es importante que las compañías comprendan a qué se refiere el riesgo
operativo para poder llevar a cabo una administración y un control efectivo de esta
categoría de riesgo. La administración de este tipo de riesgos requiere sin duda de la
adopción de metodologías y herramientas que ayuden a identificar, evaluar, transferir,
mitigar, aceptar, eliminar y monitorear cada uno de los riesgos.
Haciendo un breve recuento histórico, recordemos como desde 1992, con la publicación
del Informe COSO, ya se indicaba que las compañías necesariamente dentro de su
actividad normal se veían enfrentadas a una variedad de riesgos, los cuales debían
valorarse a través de la identificación y el análisis de riesgos relevantes para la
consecución de los objetivos de la entidad, formando así una base para determinar cómo
administrar los riesgos.
Por otro lado, la metodología COSO se crea con el objeto de ayudar a las entidades a
evaluar y mejorar sus sistemas de control interno, facilitando un modelo en base al cual
pudieran valorar sus sistemas de control interno y generando una definición común de
control interno. Según COSO se define al Control Interno como un proceso llevado a
cabo por la dirección y el resto del personal de una entidad, diseñado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos
dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones, confiabilidad
de la información financiera y cumplimiento de las leyes, reglamentos y normas que sean
aplicables.
Ya en el año 2004, el Comité COSO publica un nuevo marco de gestión integral de Riesgo
COSO Enterprise Risk Management (ERM), capaz de abordar la gestión de riesgo de las
empresas con un enfoque integrador y que genere una verdadera oportunidad de creación
de valor para sus stakeholders.
Por lo tanto, COSO ERM se traduce en una guía para la gestión de control interno y riesgo
empresariales misma que está conformada por ocho componentes: ambiente de control,
8
establezca un control interno, ya que con esto se logra mejorar la situación financiera,
administrativa y legal.
Es la base donde descansan las actividades y operaciones de una entidad; es decir, que las
actividades de producción, distribución, financiamiento, administración, entre otras, son
regidas por el control interno; además, es un instrumento de eficiencia y no un plan que
proporciona un reglamento tipo policíaco o de carácter tiránico.
El mejor sistema de control interno es aquel que no daña las relaciones de empresa-
clientes y mantiene en un nivel de alta dignidad humana las relaciones de dirigentes y
subordinados; su función es aplicable a todas las áreas de operación de los negocios, de
su efectividad depende que la administración obtenga la información necesaria para
seleccionar las alternativas que mejor convengan a los intereses de la entidad.
A través del control interno contable se planifican varias actividades de control, entre
ellas la planificación de la auditoría, el alcance de las pruebas sustantivas, etc.; en sí toda
la gestión requiere de procedimientos de control y revisión, por tanto el control interno es
transversal en todos los procesos y procedimientos de las empresas, y su aplicación es
macro, relacionándose con algunas asignaturas.
- Con la economía
- Con el marketing
- Con la informática
11
UNIDAD 1
1. Control Interno
Según Santillana el control interno se define como: “El Control Interno comprende el
plan de organización y todos los métodos y procedimientos que en forma coordinada son
adoptados por una entidad para salvaguardar sus activos, verificar la razonabilidad y
confiabilidad de su información financiera y la complementaria administrativa y
operacional, promover la eficiencia operativa y estimular la adhesión a las políticas
prescritas por la administración”1
Para lograr establecer un eficaz sistema de control interno, se debe tomar en cuenta
previamente la organización de la entidad sobre la base de los siguientes principios:
a) División del trabajo: En ningún caso una sola persona tendrá el control íntegro de una
operación, para procesar cada tipo de transacción el control interno debe pasar por cuatro
etapas separadas:
• Autorizada.
• Aprobada.
• Ejecutada.
• Registrada.
De modo tal que garantice que los responsabilizados con la custodia de los medios y la
elaboración de los documentos primarios no tengan autoridad para aprobar los mismos y
que ambos no tengan la función o posibilidad de efectuar anotaciones en los registros
contables de esta forma el trabajo de una persona es verificado por otra que trabaja
independiente y que al mismo tiempo verifica la operación realizada posibilitando la
detección de errores.
1
SANTILLANA, Juan Ramón: Establecimiento de sistemas de Control Interno, 1ra edición, 2001, p3.
12
c) Cargo y descargo: “Debe garantizarse que todo recurso o servicio recibido o entregado
sea registrado, o sea lograr que se contabilicen los cargos de todo lo que entra y descargos
de todo lo que sale, lo cual servirá de evidencia documental que precise quién lo ejecutó,
aprobó, registró y verificó.
Debe quedar bien claro en qué forma y momento una cuenta recibe los créditos y los
débitos, es por ello que toda anotación que no obedezca a las normas de una cuenta se
debe investigar en detalle.
Resulta conveniente además aplicar la práctica de rotar a los trabajadores en sus distintos
puestos de trabajos teniendo en cuenta sus conocimientos y nivel ocupacional, lo que
limita los riesgos de la comisión de fraudes viabilizando su descubrimiento en caso de
producirse éstos y tiene además la ventaja de aumentar la eficiencia del trabajo al
conseguir un entrenamiento más integral.”2
2
LÓPEZ, Toledo Martha; Control Interno, Cuba, 2003, p.38
13
Desde el punto de vista de informe COSO los objetivos del control interno son:
1. Eficacia y eficiencia de las operaciones
2. Fiabilidad de la información financiera
3. Cumplimiento de las leyes y normas aplicables
Con el control interno la entidad podrá cumplir los objetivos de desempeño, podrá
aumentar la capacidad de ganancia y además prevé la pérdida de recursos.
También puede asegurar la cobertura financiera, ayuda a que la empresa se conforme con
las leyes y regulaciones, evitando el daño a su prestigio y otras consecuencias. Es decir,
permite a una entidad llegar a donde quiere ir, evitando fraudes.
De manera más detallada se puede exponer que los objetivos de Control Interno son los
siguientes:
• Prevenir fraudes
• Descubrir robos malversaciones de fondos
14
1.4. Elementos
Para que la administración pueda lograr los objetivos de control interno de la entidad, es
necesario aplicar los siguientes elementos:
Ambiente de control: Está dado por los valores, la filosofía, la conducta ética y la
integridad dentro y fuera de la organización. Es necesario que el personal de la Empresa,
los clientes y las terceras personas relacionadas con la compañía, los conozcan y se
identifiquen con ellos.
UNIDAD 2
2.1. Introducción
A partir de la década de los noventa, los nuevos modelos desarrollados en el campo del
control están definiendo una nueva corriente del pensamiento, con una amplia concepción
sobre la organización, involucrando una mayor participación de la dirección, gerentes y
personal en general de las organizaciones a nivel mundial. Estos modelos han sido
desarrollados con la idea de que representen fuertes soportes del éxito de la organización,
siempre que los mismos sean llevados con el criterio y la perspicacia necesaria de parte
del profesional.
Se han publicado diversos modelos de Control, así como numerosos lineamientos para un
mejor gobierno corporativo. Los modelos más conocidos son: el COSO (USA), el COCO
(Canadá), el Cadbury (Reino Unido), el Vienot (Francia), el Peters (Holanda), King
(Sudáfrica) y MICIL (adaptación del COSO para Latino- américa).
Los modelos COSO, COCO y MICIL son los más adoptados en las empresas del
continente americano; es por ello que el análisis de los fundamentos teóricos de los
modelos contemporáneos de control Interno que se presenta a continuación centra su
atención en los mismos.
Estos componentes son: (1) Ambiente de Control; (2) Evaluación de los Riesgos; (3)
Actividades de Control; (4) Información Y comunicación; y (5) Monitoreo. A
continuación, se muestra en detalle el significado de cada uno de estos componentes.
La evaluación de los riesgos sirve para describir el proceso con que los ejecutivos
identifican, analizan y administran los riesgos de negocio que puede enfrentar una
empresa y el resultado de ello. Mantilla (2005: 39) comenta que el significado de la
valoración de riesgos se orienta en la siguiente idea: “La valoración de riesgos es la
identificación y análisis de los riesgos relevantes para la consecución de los objetivos,
formando una base para la determinación de cómo deben administrarse los riesgos. Dado
que las condiciones económicas, industriales, reguladoras y de operación continuarán
cambiando, se necesitan mecanismos para identificar y tratar los riesgos especiales
asociados con el cambio”.
De acuerdo a Whittington, y Pany (2005; 218), los siguientes factores podrían indicar un
mayor riesgo a la empresa: “- Cambios en el ambiente de operaciones;
- Personal nuevo;
20
Son las políticas y procedimientos que ayudan a asegurar que se están llevando a cabo las
directrices administrativas. Se establecen con el propósito de garantizar que las metas de
la empresa se alcancen. Las actividades de control consideradas en la estructura
conceptual integrada COSO son las siguientes:
Este componente de control interno se refiere a los métodos empleados para identificar,
reunir, clasificar, registrar e informar acerca de las operaciones de la entidad y para
conservar la contabilidad de los activos relacionados.
Se realizan evaluaciones separadas que son necesarias para que la administración tenga
una seguridad razonable respecto de la efectividad del sistema de control interno, se
realizan cada cierto tiempo. Para este tipo de evaluación se debe tener presente:
a) El alcance y frecuencia de la evaluación;
b) El proceso de evaluación;
c) La metodología de evaluación; y;
d) El nivel de documentación.
El modelo COCO (Criteria of Control) de Canadá, fue publicado tres años más tarde que
COSO; éste simplifica los conceptos y el lenguaje para hacer posible una discusión sobre
el alcance total del control, con la misma facilidad en cualquier nivel de la organización
empleando un lenguaje más sencillo, para hacerle accesible para todos los empleados de
una empresa.
23
Los criterios son elementos básicos para entender y aplicar el sistema de control plasmado
en el modelo COCO. Se requiere de un adecuado análisis y comparaciones para lograr
24
Los 20 criterios que prevé el modelo COCO, están agrupados en cuanto a: (1) Objetivos;
(2) Compro- miso; (3) Aptitud y, (4) Evaluación y Aprendizaje. Al respecto Fernández
(2003) categoriza a los criterios definidos para cada grupo, que son:
Los valores éticos de la organización deben ser establecido y comunicados a todos sus
miembros.
• Las políticas y prácticas de recursos humanos deben ser consistentes con los
valores éticos y al logro de los objetivos de la organización.
• La autoridad y responsabilidad deben ser claramente definidos y consistentes con
los objetivos, de tal manera que el proceso de toma de decisiones sea llevado a
cabo por el personal apropiado.
• Se debe fomentar una atmósfera de confianza para apoyar el flujo de la
información.
25
La estructura del control interno propuesta por el modelo COCO, Estupiñán (2006: 13),
plantea que el control comprende los elementos de una organización que tomados en con-
junto, apoyan al personal en el logro de sus objetivos organizacionales los cuales se
ubican en las categorías generales siguientes:
El Modelo MICIL incluye cinco componentes de control interno que presentados bajo un
esquema que parte del ambiente de control como pieza central, que promueve el
funcionamiento efectivo de los otros cuantos componentes que encajan en él como una
pieza central de un rompecabezas asegurando su funcionamiento efectivo en todos los
niveles de la organización. Estos componentes son:
La base de los modelos de con- trol interno COSO y COCO, son los valores, la ética y la
integridad, en MICIL marca la pauta en el comportamiento de una organización y tiene
igual influencia directa en el nivel de conciencia de control y en la consecución de los
objetivos organizacionales. En este componente de control al igual que en el modelo
COSO, se establecen una serie de factores que se describen a continuación:
Los riesgos que afectan de manera directa las habilidades de las organizaciones para su
operación, para competir con éxito en su entorno, para mantener una posición financiera
sólida, para disponer de una imagen pública positiva, para la producción de bienes o
servicios de buena calidad y para contar con el personal apropiado. El nivel directivo de
la empresa debe determinar el nivel de riesgo que considera aceptable y esforzarse por
mantenerlos en los límites marcados o bajo control. Al igual que el COSO, el modelo
MICIL considera que el establecimiento de los objetivos es una condición previa para la
evaluación o valoración de los riesgos organizacionales.
de riesgos que podrían afectar el logro de dichos objetivos. MICIL considera los
siguientes factores aplicables al marco integrado de control institucional:
A Finales del año 2004, como respuesta a una serie de escándalos, e irregularidades que
provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés,
nuevamente el Committee of Sponsoring Organizations of the Treadway Commission,
publicó el Enterprise Risk Management - Integrated Framework y sus Aplicaciones
técnicas asociadas, en el cual amplía el concepto de control interno, proporcionando una
guía un poco más detallada sobre la identificación, evaluación y gestión integral de riesgo.
Conocido con el nombre de COSO II.
Este nuevo enfoque no se emitió para sustituir el marco de control interno plasmado en
el modelo COSO, sino que lo incorpora como parte de él, permitiendo a las empresas
mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más
completo de gestión de riesgo. Adicionalmente, dado que COSO II Enterprise Risk
Management - Integrated Framework se encuentra completamente alineado con el
Internal Control - Integrated Framework, las mejoras en la gestión de riesgo permitirán
mejorar, aún más, sobre la inversión ya realizada en control interno bajo las disposiciones
de la Ley Sarbanes-Oxley. Esta nueva metodología proporciona la estructura conceptual
33
2.5.1. Definición
2.5.2. Componentes
Principio No. 1.- Responsabilidad Alta Gerencia: El Directorio debe ser consciente de
responsabilidad de los principales aspectos de los riesgos de operación del banco, como
una categoría de riesgo distinta que debe ser gestionada, y debe aprobar y revisar
periódicamente el esquema de gestión del riesgo operativo del banco. El esquema debe
proporcionar una definición a nivel corporativo del riesgo operativo y establecer los
principios sobre la manera como los riesgos de operación serán identificados, evaluados,
monitoreados, y controlados/mitigados.
Principio No. 2.- Aseguramiento efectivo del control: El Directorio debe asegurar que el
esquema de gestión del riesgo operativo del banco esté sujeto a una auditoría interna
efectiva e integral por parte de personal competente, operativamente independiente y
apropiadamente entrenado. La función de auditoría interna no debe ser directamente
responsable de la gestión de los riesgos de operación.
Principio No. 3.- Gestión integral de toda la Organización: La Alta Gerencia debe tener
la responsabilidad de implementar la toda la organización esquema de gestión del riesgo
operativo aprobado por el Directorio. El esquema debe ser implementado en toda la
organización bancaria, y todos los niveles del personal deben entender sus
responsabilidades con relación a la gestión de los riesgos de operación. La alta gerencia
también debe tener la responsabilidad de desarrollar políticas, procesos y procedimientos
para la gestión de los riesgos de operación en todos los productos, actividades, procesos
y sistemas del banco. La gestión de control interno y riesgo empresariales implica:
Identificación, Evaluación, Monitoreo, y Mitigación/ Control.
37
Principio No. 4.- Tanto para las actividades actuales como las nuevas: Los bancos
deben identificar y evaluar el riesgo operativo inherente a todos los productos,
actividades, procesos y sistemas relevantes. Los bancos también deben asegurar que antes
de introducir o emprender nuevos productos, actividades, procesos y sistemas, el riesgo
operativo inherente a los mismos esté sujeto a procedimientos de evaluación adecuados.
Principio No. 5.- Gestión permanente sistemática y proactiva: Los bancos deben
implementar un proceso para monitorear regularmente los perfiles de riesgos de
operación y su exposición material a pérdidas. Debe existir un reporte permanente de
información pertinente a la Alta Gerencia y al Directorio que apoye la gestión proactiva
de los riesgos de operación
Principio No. 6.- Coherencia entre estrategias y objetivos: Los bancos deben tener
políticas, procesos y procedimientos para controlar o mitigar los riesgos de operación
significativos. Los bancos deben evaluar la viabilidad de estrategias alternativas de
control y limitación de riesgos, y deben ajustar su perfil de riesgo operativo empleando
estrategias apropiadas, de conformidad con su apetito y perfil integral de riesgo.
Principio No. 7.- Existencia de planes de Contingencia: Los bancos deben implementar
planes de contingencia y de continuidad del negocio a fin de garantizar su capacidad para
operar en forma continua y minimizar las pérdidas en caso de una interrupción severa del
negocio.
Principio No. 8.- Supervisión obligada a todo tipo de entidades: Los supervisores
bancarios deben exigir a todos los bancos, sin importar su tamaño, que implementen un
esquema eficaz para identificar, evaluar, monitorear y controlar o mitigar los riesgos de
operación, como parte de un enfoque integral para la gestión de control interno y riesgo
empresariales.
38
Principio No. 9.- Supervisión, periódica e independiente: Los supervisores deben llevar
a cabo, de manera directa o indirecta, una evaluación periódica independiente de las
políticas, procedimientos y prácticas de un banco relacionadas con los riesgos de
operación. Los supervisores deben asegurarse de contar con mecanismos apropiados de
reporte que les permitan mantenerse informados de los avances en los bancos.
Principio No. 10.-. Transparencia y divulgación: Los bancos deben hacer suficiente
divulgación pública para permitir que los participantes del mercado evalúen su enfoque
para la gestión de los riesgos de operación.
La norma define a los factores de riesgo operativo como la causa primaria o el origen de
un evento de riesgo operativo, siendo estos: procesos, personas, tecnología de
información y eventos externos y establece requisitos mínimos para la administración de
cada de ellos propiciando un ambiente adecuado de gestión del riesgo operativo,
conforme lo establecido en el Nuevo Acuerdo de Capital de Basilea (NACB), conocido
también como Basilea II.
A continuación, se analiza los lineamientos mínimos, para cada uno de los factores del
riesgo operativo:
• La definición del riesgo de operativo y los requisitos mínimos que deben cumplir
las entidades respecto a los factores del riesgo operativo
• La exigencia de un esquema de administración del riesgo de operativo; y;
• El establecimiento de las responsabilidades en la administración del riesgo de
operativo.
A continuación, se analiza los lineamientos mínimos, para cada uno de los factores del
riesgo operativo.
39
• Gobernantes o estratégicos;
• Fundamentales, productivos, de negocio u operativos; y,
• Habilitantes, de soporte o de apoyo.
2. Administración del Recurso Humano: Consiste en el proceso a través del cual las
instituciones planifican y gestionan el recurso humano para promover su
desempeño eficiente y alcanzar los objetivos individuales de las personas y los
objetivos institucionales.
• Incorporación,
• Permanencia y;
• Desvinculación.
• Atentados;
• Otros actos delictivos;
UNIDAD 3
3.1. Introducción
Una manera más sencilla de obtener información sobre el funcionamiento del sistema de
control interno en una entidad será la indagación, la observación, la revisión de los
manuales de organización y funciones, manuales de contabilidad y auditoría interna,
reglamento interno de trabajo, los procedimientos e instrucciones internas y otras
disposiciones adoptadas por la administración o gerencia; así como conversaciones o
entrevistas con ejecutivos sobre la constitución, organización, capital social de la
empresa, los procesos judiciales, cantidad de trabajadores, etc. Sin embargo, los medios
o los métodos más utilizados para documentar adecuadamente la evaluación del sistema
de control interno en la empresa y que al mismo tiempo puedan servir para dejar
constancia de haber efectuado la evaluación son los siguientes métodos: descriptivo,
cuestionario, gráficos o flujogramas; además de las técnicas del control interno. Cabe
destacar que:
3.2.1. Ejemplo
Los cuestionarios abordan asuntos que los participantes deberán considerar, centrando su
reflexión en los factores internos y externos que han dado, o pueden dar lugar, a eventos
negativos.
Pueden dirigirse a un individuo o a varios, o bien pueden emplearse en conexión con una
encuesta de base más amplia, ya sea dentro de una Organización o dirigida a clientes,
proveedores o terceros.
3.3.4. Ejemplo
Fecha:
Sí No
Revisado por:
Fecha:
1. ¿Se usa el sistema de fondo fijo?
2. ¿Es una sola persona responsable principalmente de cada fondo?
3. Justificantes de caja chica:
a) ¿Se exigen siempre en cada desembolso del fondo?
b) ¿Están numerados?
c) ¿Los firma el que recibe el efectivo desembolsado?
d) ¿Están escritos con tinta?
e) ¿Llevan el importe en cifras y en letras?
f) ¿Los aprueba una persona responsable?
g) ¿Se cancelan, juntamente con los documentos justificantes, de forma que
no puedan usarse nuevamente?
4. ¿Se extienden los cheques para renovar el fondo a la orden del cajero del
fondo?
5. El cajero del fondo:
a) ¿Tiene acceso a los ingresos en efectivo?
b) ¿Tiene acceso a los libros generales de contabilidad?
6. Cuando se cambian cheques usando el efectivo del fondo, ¿debe primeramente
aprobar el cheque alguna otra persona que no sea el cajero de caja chica?
7. ¿Se aprueban oficialmente los adelantos hechos del fondo?
8. ¿Se depositan puntualmente en el banco los cheques pagados con las
existencias del fondo?
9. ¿Existe un buen sistema de auditoría interna para los justificantes de caja
chica, que actúe cuando se renueva el fondo?
10. ¿Es razonable el importe del fondo de caja chica?
11. ¿Hay cheques posfechados en el fondo?
12. ¿Son las erogaciones de apariencia razonable?
49
13. ¿Cuál es la cantidad máxima que puede pagarse con el fondo por un
justificante $ 25,00 aislado de caja chica?
14. ¿Se practica una auditoría interna de sorpresa en la caja chica y en sus
operaciones?
Preparado por:
Fecha:
Sí No
Revisado por:
Fecha:
1. ¿Existe un departamento organizado de compras?
2. ¿Opera este departamento independientemente de los que se enumeran a
continuación?
a) El departamento de recepción
b) El departamento de embarques
c) El departamento de contabilidad
3. ¿Se hacen por escrito todas las órdenes de compra?
4. ¿Están numeradas consecutivamente por anticipado todas las órdenes de
compra?
5. ¿Se aprueban en las órdenes de compra los detalles siguientes?
a) Precio
b) Cantidad
e) Proveedor
6. ¿Recibe directamente el departamento de contabilidad los documentos
siguientes?
a) Una copia de la orden de compra
b) Una copia del informe de recepción
7. ¿Obtiene el departamento de recepción copias de las órdenes de compra
para contar con autorización para aceptar materiales suministros, etc.?
8. ¿Se numeran consecutivamente por anticipado los informes de recepción?
a) ¿Comprueba el departamento de contabilidad la secuencia en esta
numeración?
9. ¿Conserva permanentemente el departamento de recepción una copia de
los informes de recepción?
10. ¿Recibe el departamento de compras una copia del informe de recepción?
50
El diagrama de flujo de procesos es un tipo de diagrama que aclara las relaciones entre
los principales componentes de una empresa. Se utiliza en los ámbitos de una ingeniería,
sin embargo, sus conceptos se pueden aplicar en diferentes procesos. Se usa para
documentar o mejorar un proceso o también presentar uno nuevo. Dependiendo de su uso
se puede denominar como un diagrama de flujo de procesos, diagrama de flujo de
bloques, diagrama de flujo esquemático, diagrama de flujo de macro, diagrama de flujo
vertical, diagrama de sistemas o diagrama de tuberías e instrumentación. Estos se utilizan
con un conjunto de notaciones o símbolos que descifran y describen un proceso.
Simbología:
Características:
El diagrama de flujo de procesos de venta es aquel que detalla todos los pasos, tareas y la
toma de decisiones con el fin de lograr máxima eficacia y eficiencia. Este flujo de proceso
de venta debe ser simple y bien definido, ya que esa es la clave para manejar con éxito
sus vendedores y su canal de ventas. La mayoría de veces se refiere al conjunto de pasos
repetitivos que el equipo de ventas sigue desde un momento determinado para identificar
un lead hasta el momento de cerrar una venta. Y que es el lead, pues el lead es un
54
1. Identificar el lead
2. Clasificar el lead
3. La propuesta de solución y prueba de concepto
4. Negociación
Son los métodos y medios que se utilizan para la obtención y análisis de información,
hechos y circunstancias de una situación y para conocer la existencia o no de controles
internos y evaluar su efectividad en cualquier área o proceso.
El conocimiento directo de las técnicas, por quien ejerce el control, proporciona más
seguridad y confiabilidad para el examen de cómo se están realizando las operaciones en
la realidad que con la sola verificación de la Información que normalmente fluye en la
Entidad.
3.5.3.1. Observación
Es una técnica de verificación ocular, permite mirar y observar todos los hechos
relacionados con los procesos.
Ejemplo:
3.5.3.2. Inspección
Ejemplo:
57
DESCRIPCIÓN VALOR
PLACA NÚMERO DE PLACA ESTADO
ELEMENTO HISTÓRICO
BRÚJULA NO EA 9501102-133 $4.876,00 Dañada
IMPRESORA
NO EA 0201 97-1 $695.000,00 Dañada
MATRIZ DE PUNTO
LIMNIGRAFO NO EA 9501 102-731 $90.000,00 Dañada
MIRA
TOPOGRÁFICA DE SÍ 15790 $100.000,00 Dañada
5 TRAMOS
No se encuentra en
PLANTA
uso, para dar de
TELEFONÍA SÍ 15555 $533.303,00
baja por cambio de
CELULAR
tecnología
No se encuentra en
PLANTA
uso, para dar de
TELEFONÍA SÍ 15518 $459.744,00
baja por cambio de
CELULAR
tecnología
Ejemplo:
Objetivo: Analizar las variaciones en los saldos del Balance general con el fin de detectar
rubros con saldos o variaciones en los saldos anormales que pueden indicar la existencia
de posibles errores o rubros con saldo poco significativo o sin saldo.
59
Se verifica cualquier documento, transacción o proceso que tengan numeración, que sea
correcto: el número de cuenta, los cálculos matemáticos, los valores, así mismo, que se
lleven una numeración secuencial.
Ejemplo:
La cuenta bancaria del mayor general debería ser debitada mensualmente en base al
registro de ingresos y acreditada una vez al mes en base al registro de cheques, se débito
a CREACIONES LUDY LTDA se débito el valor de 26223.326,00.
60
3.5.3.5. Comprobación
Se debe a comprobar los documentos con los registros (lo que se tiene en documentos
debe estar registrado), de igual forma, estos registros deben ser confiables y tener
aprobaciones, firmas correctas, es decir, se verifica que la transacción sea correcta y tenga
suficientes documentos que la justifiquen.
Ejemplo:
3.5.3.6. Conciliación
Ejemplo:
62
USD: 100,70
PAGUESE A LA ORDEN DE:_MEGA SANTA MARIA
Quito, 29/Octubre/2019
CIUDAD Y FECHA FIRMA
SUCURSAL NORTE
63
Se analiza el saldo de una cuenta, y se identifica los movimientos que tiene cada una de
estas, así como, las transacciones y documentos que respaldan dichos saldos, en otras
palabras, cómo se va alimentando los saldos
Ejemplo:
3.5.3.8. Confirmación
Consiste en cerciorarse de la validez de las acciones, por ejemplo: se emite cartas a los
proveedores, clientes o bancos, etc., de esto modo, se permite confirmar que los saldos
que se registran sean los valores que me deben o que debemos.
Ejemplo:
64
Respuesta
Según Estupiñan (2010), revela que existe un solo control interno que es el administrativo,
pero a su vez es necesario controlar los sistemas de información, surge el control interno
contable que cosiste en generar seguridad razonable en las operaciones registradas de
66
Primeramente, se debe tener en consideración que el primer paso a tomar por parte de la
Administración es realizar una evaluación de sus procedimientos de control interno fiscal.
Para este fin, lo importante no es únicamente tener los controles identificados, sino,
además, que cada miembro del equipo se asegure de cuáles son sus funciones en relación
con ellos de modo que se cumplan.
Es importante que las compañías puedan identificar los riesgos del control interno fiscal
de cada uno de los ciclos del negocio, entre ellos: ingresos, compras, nóminas, tesorería
y producción (como mínimo) para así poder evaluar el estado actual en que está operando
cada área y departamento de la compañía y los riesgos y/o debilidades que puedan existir.
Habiendo realizado lo anterior, resulta importante que las compañías implementen una
serie de cambios en el control interno de cada área y departamento, considerando que al
conservar el soporte de las operaciones podrá atenderse cualquier presunción de las
autoridades fiscales.
67
Para que una entidad pueda funcionar, además de dotarla de los recursos necesarios
(humanos, materiales y financieros), debe poseer una organización compatible con su
razón de ser, es decir, debe cumplir con el proceso administrativo de planeamiento,
organización, dirección y control.
68
UNIDAD 4
Canales Audio 36 36 36 36
20 Incluye Paquetes y
Canales P Opcional Opcional Opcional
canales deportivos
Procesos Productivos
Desarrollo de Facturación y
Comercialización Field Service Pos Venta
Producto Cobranza
Procesos de Apoyo
Talento
Tecnología de Administración Publicidad y
Crédito Humano y Logística Procesos
la Información y Finanzas Comunicación
SSO
Proceso de Control
Control Interno
Por otro lado, a continuación se presenta un detalle del inventario de procesos que se
encuentra clasificado en función al trabajo y enfoque en calidad y gestión de procesos
que tiene la compañía.
Tipo de
Macro Proceso Proceso
Proceso
Planificación de actividades institucionales
Planeación Control de Gestión Estratégica
Estratégica Gestión Regulatoria
Gobernantes Planificación Financiera
Fidelización de Clientes
Experiencia con el
Evaluación de Calidad
Cliente
Comunicación Institucional y Corporativa
Gestión de Productos, Campañas y Ofertas
Desarrollo de
Evaluación y Retroalimentación de Productos,
Producto
Campañas y Ofertas
Gestión de Canales de Venta
Comercialización Gestión de Venta
Administración de Ventas
Instalaciones
Servicios de Servicios a la base
instalación Optimización de redes
Productivos Calidad técnica
Gestión de Pre facturación
Facturación y
Gestión de Facturación
Ajustes
Gestión de Ajustes Financieros
Gestión de Recaudo
Cobranza
Gestión de Cobranza
Gestión de actualizaciones
Gestión de Reclamos
PosVenta
Soporte técnico telefónico
Gestión de Cancelación de contratos
Gestión de Compensaciones y Beneficios
Talento Humano Desarrollo organizacional
Apoyo Seguridad y Salud Ocupacional
Administración Estados Financieros de Cierre
Financiera Gestión Tributaria
71
Tipo de
Macro Proceso Proceso
Proceso
Consolidación de Información Financiera – Tributaria
Gestión de capital de trabajo
Manejo de Cuentas por Cobrar
Manejo de Cuentas por Pagar
Gestión de Deuda
Análisis de Ingresos y Gastos
Conciliación Bancaria y Relación Bancaria
Comisiones
Gestión de compras
Logística
Gestión de inventario
Gestión de demanda
Tecnología de
Desarrollo tecnológico
Información
Soporte técnico
Gestión de Proyectos
Procesos
Mejora Continua
Análisis de Riesgo
Control Control Interno
Auditorías
1. Ingresos
2. Activo Fijo
3. Inventario
4. Recursos Humanos
5. Egresos
6. Tecnología de la Información
7. Finanzas y Cierre Contable
8. Tesorería
72
Inventario de Subprocesos
MEGA
PROCESOS SUBPROCESOS
PROCESOS
Administración de Administración de Precios y Descuentos
Ventas Gestión de Canales de Venta
Captación de la preventa
Gestión de Ventas Análisis de Crédito
Cobro cuota inscripción
Pre facturación
Ingresos
Facturación y Ajustes Facturación
Ajustes Financieros
Recaudación masiva con débito automático
Gestión de Recaudos
Recaudación por ventanilla
y Cobro
Conciliación de Recaudos
Gestión de Cobro Gestión de Cobro
Requisición de Compras
Selección del Proveedor
Orden de Compra y Contratos
Compras
Recepción / Ingreso de Bienes y Servicios
Administración del maestro de proveedores
Egresos Compras Excepcionadas
Anticipo a Proveedores
Revisión y registro de Facturas
Cuentas por pagar
Procesamiento de Pagos
Administración de Reclamos de Proveedores
Otros Gastos Reembolsos de Gastos
73
4.3.2. Objetivo
3
COSO II Y LA GESTIÓN INTEGRAL DE RIESGO DEL NEGOCIO, tomado de la página web
http:/estrategiafinanciera.es,
74
aplicados por los involucrados en el proceso de gestión de Control Interno con enfoque
de riesgo operativo para los Procesos de Ingresos y Gastos.
El riesgo será gestionado de acuerdo a los parámetros del Enterprise Risk Management
Framework conocido como COSO ERM o COSO II, que gestiona los riesgos
corporativos, está conformado por ocho componentes relacionados entre sí, como se
aprecia en el siguiente gráfico:
Los objetivos deben existir antes de que la dirección pueda identificar potenciales eventos
que afecten a su consecución. La gestión de control interno y riesgo empresariales
corporativos asegura que la dirección ha establecido un proceso para fijar objetivos y que
los objetivos seleccionados apoyan la misión de la entidad y están en línea con ella,
además de ser consecuentes con el riesgo aceptado.
75
Los acontecimientos internos y externos que afectan a los objetivos de la entidad deben
ser identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten
hacia la estrategia de la dirección o los procesos para fijar objetivos.
La dirección selecciona las posibles respuestas -evitar, aceptar, reducir o compartir los
riesgos - desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las
tolerancias al riesgo de la entidad.
Las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las
respuestas a los riesgos se llevan a cabo eficazmente.
4.3.4.8. Supervisión
La gestión del riesgo involucra el diseño del Proceso de Gestión de control interno y
riesgo empresariales, el cual ha sido incorporado al Mapa de Procesos de la Gerencia de
Procesos y Control Interno, y forma parte de la cadena de valor de la empresa, conforme
lo siguiente:
Gerente de procesos y control interno - Mapa de Procesos
Mapa de Procesos - Gerencia de Procesos y Control Interno
EVALUACIÓN DE LOS PROCEOS Y
ELABORACIÓN DE CRONOGRAMA
VALORACIÓN DE SU CRITICIDAD
PLANIFICACIÓN (MATRIZ DE RIESGOS Y CONTROLES)
ANUAL DE TRABAJ0
4.3.6. Recursos
Principales responsabilidades:
La definición, aprobación y supervisión de la estrategia, políticas, procesos y
procedimientos para la gestión de control interno y riesgos empresariales, así como
asegurar la existencia de los recursos necesarios para su correcta implantación.
Principales responsabilidades:
Comunicar de forma clara la estrategia, las políticas y la estructura de la gestión de control
interno y riesgos empresariales con el propósito de crear una cultura de riesgos.
Compuesta por áreas operativas y de negocio relacionada con los procesos de ingresos y
gastos. (Financiera Administrativa, Legal y Regulatoria, Tecnología de Información,
Gestión de Talento Humano, Customer Experience, Operaciones, Comercial).
Principales responsabilidades:
Presidencia Ejecutiva Alta Gerencia: Diseñar y proponer las estrategias, políticas,
procesos y procedimientos de gestión de riesgo, así como, desarrollar metodologías y
manuales de gestión.
Por responsable
78
Por actividad
Para el efecto se utilizará una matriz con tres escalas de medición, con
criterios cualitativos, de acuerdo a lo siguiente:
Probabilidad
Valor Escala Concepto
Muy Se espera que ocurra una vez al año y ya ha ocurrido
3
Probable con anterioridad varias veces
2 Probable Puede ocurrir alguna vez/ ha ocurrido solo una vez.
No ha ocurrido nunca pero podría ocurrir en los
1 Improbable próximos años o en circunstancia excepcionales
Para el efecto se utilizará una matriz con tres escalas de medición, con criterios
cualitativos, de acuerdo a los siguientes parámetros:
Impacto
82
Con la información obtenida, se procede a calificar los riesgos identificados con las
escalas de medición (bajo, moderado y alto), utilizando el juicio de experto y en base a
la información levantada, para obtener el riesgo inherente.
Riesgo inherente
Valor Escala Color
De 1.00 a 2.99 Bajo Verde
De 3.00 a 5.99 Moderado Naranja
De 6.00 a 9.00 Alto Rojo
Nivel de riesgo
Nivel de riesgo Límite inferior Límite superior Colorimetría
Riesgo Bajo 1.00 2.99
Riesgo Medio 3.00 5.99
Riesgo Alto 6.00 9.00
En dónde:
• El límite inferior del riesgo bajo es de 1.00 y el límite superior son de 2.99.
• El límite inferior del riesgo medio es de 3.00 y el límite superior son de 5.99.
• El límite inferior del riesgo alto es de 6.00 y el límite superior son de 9.00.
Mapa de riesgo
Impacto
Una vez aplicados dichos procesos se mide el riesgo residual existente, es decir que a
pesar de aplicar medidas de control el riesgo aún existe.
84
Los Controles que el presente modelo experto propone, para la mitigación de riesgos
identificados, contiene los siguientes criterios:
Tipos de Control
Control
Control Automático
Control Semiautomático
Manual
• Control manual: aquellos que son ejecutados por una o más personal del
área usuaria sin la utilización de herramientas computacionales.
• Control Semiautomático: aquellos que son ejecutados por una o más
personas y por un sistema de información, es decir es un trabajo conjunto
entre ambas partes.
• Control Automático: son generalmente los incorporados en el software, de
operación, de comunicación, de gestión de base de datos, programas de
aplicación, etc.; es decir no requiere intervención humana.
4.5. Gestión del sistema de control interno, para los procesos de ingresos y
gastos en Corporación Cable TV Cía. Ltda.
El alcance del presente trabajo se basa en el análisis de los procesos de Ingresos y Gastos
de CORPORACIÓN CABLE TV Cía. Ltda. para el levantamiento de información e
identificación de riesgos se utilizará la metodología antes descrita.
Para el efecto se tomará en cuenta las siguientes capacidades o factores claves de las áreas
que intervienen en los procesos de ingresos y egresos, conforme la estructura
organizacional de la empresa:
91
Las plataformas tecnológicas que soportan tanto los Procesos de Ingresos como de
La compañía cuenta con plataformas tecnológicas que soportan
Egresos son administradas en lo relacionado a la creación, actualización o
y generan eficiencia en el desarrollo de sus procesos.
eliminación de perfiles de accesos o permisos, por el área de Control Interno, lo
En el caso de los Procesos de Egresos la plataforma tecnológica
cual garantiza la existencia de una adecuada segregación de funciones en las
utilizada para la ejecución de los Procesos de Compras, Cuentas
operaciones. En aquellos casos donde por motivos de estructura organizacional no
x Pagar y todo movimiento contable y financiero es SAP.
ha sido posible restringir ciertos accesos, el área de control interno ha
En el caso de los Procesos de Ingresos existen dos sistemas:
implementado controles compensatorios con el fin de que los dueños de procesos
E- Sales: Sistema para la captación y gestión de la venta, esto
puedan monitorear continuamente el uso de estas transacciones conflictivas en el
incluye captación de preventas, análisis del cliente y revisión
sistema.
crediticia en primera línea, ventas a crédito (Monto por
Tecnología de la Por otro lado la administración del funcionamiento, desarrollos tecnológicos,
suscripción para suplir gastos administrativos relacionados con
Información y configuración, actualización y servicios prestados por las plataformas tecnológicas
el alta del cliente) con Tarjeta de Crédito, así como el impacto
Comunicación está a cargo de casa matriz a través de centros de competencia que trabajan para
de eventos para la generación del contrato y la orden de
todos los países de Latinoamérica. Se observa que esto no siempre ha resultado
instalación en el sistema ICC.
beneficioso puesto que las horas de desarrollo asignadas para cada país no son
ICC: Sistema para la administración e interacción con clientes
suficientes versus la demanda de necesidades que requiere cubrir el negocio y
esto incluye, generación de contratos, administración de WO
adicionalmente costosas, por tanto existen varias iniciativas de mejora presentadas
(Work Orders - Órdenes de trabajo por instalación o servicio
tanto para los Procesos de Ingresos y Egresos que no han sido implementadas a las
técnico), envío de comandos, activación de señal,
fecha.
administración de productos y campañas, facturación a clientes,
Es relevante citar que no se pudo evidenciar una adecuada gestión por parte del
ajustes financieros, registros de cobro, proceso de arreas o
área de Seguridad de la Información, por ejemplo al manejar información bancaria
cartera vencida.
de clientes sería importante trabajar en la certificación de la norma PCI.
94
Adicional a los objetivos estratégicos existen cuantos objetivos relacionados los cuales
son establecidos por casa matriz, previamente los indicadores atados al cumplimiento
de estos objetivos son revisados con el país y versión final aprobada de los mismos es
El cumplimiento de los objetivos financieros para el año
enviada a CORPORACION CABLE TV durante el mes de enero de cada año, a
2014 fue en promedio general de un 101%, donde el
continuación un detalle de los objetivos definidos para el 2014 y 2015:
Objetivos cumplimiento para cada uno de los 4 objetivos financieros
1. Mantener los márgenes
Relacionados fue como sigue:
2. Generar Flujos de Caja positivos
3. Ganar participación de mercado
4. Mantener un crecimiento por encima de 10%
Cada uno de estos objetivos tiene atados indicadores cuya medición permitirá
determinar el cumplimiento de los mismos.
Megaproces
Proceso Subprocesos Actividades No. Riesgos Identificados
o
Registro de la requisición Ejecución de gastos no
de compra en el sistema 1 autorizados o no clasificados
SAP adecuadamente
Megaproces
Proceso Subprocesos Actividades No. Riesgos Identificados
o
CORPORACION
Fragmentación de órdenes
CABLE TV, por medio 9
de compra.
del sistema SAP.
Operaciones de compra
efectuadas sin contrato por
10
incumplimiento de políticas
Egresos y procedimientos.
Elaboración de contratos Creación de órdenes de
que protegen los 11 compra ficticias y/o sin
intereses de las partes contratos.
Falta de procedimientos de
contingencia en caso de
12
fallas en el sistema de
compras
Recepción de bienes y
13 servicios registrados en
períodos incorrectos
Recepción / Ingreso Registro de la hoja de Recepción de materiales y
de Bienes y entrada y aceptación del servicios que no cumple
Servicios bien o servicio especificaciones para el
14
proceso de producción y/o
estándares de calidad y
tiempo de la compañía.
Datos incorrectos podrían
ser registrados en el maestro
Creación o actualización de proveedores en especial
de proveedores en el 15 números de cuentas
sistema bancarias lo que puede
ocasionar errores o fraudes
el pago a proveedores
Trabajar con proveedores no
Administración del
adecuados que pongan en
Egresos maestro de Administración del
16 riesgo el cumplimiento con
proveedores maestro de proveedores
las necesidades de la
compañía
Cambios en los datos
sensibles del proveedor sin
Validación de Cambios
argumento o evidencia que
de Datos Sensibles de 17
originen fraudes o errores en
Proveedores
la ejecución de pagos a
proveedores
Personal no autorizado que
Administración de Creación o actualización
ejecute cambios o registros
aplicación de de perfiles de acceso al 18
en el sistema que conlleven
compras sistema de compras
a fraude o errores
Solicitud de servicios que Falta de procedimientos y
Compras de
por su naturaleza son políticas para compras de
servicios 19
recurrentes y necesarios bienes o servicios fuera del
excepcionados
para la operación proceso estándar.
Cuentas Anticipo a Generación de anticipos de
Solicitud de anticipo 20
por pagar proveedores proveedores no autorizados
102
Megaproces
Proceso Subprocesos Actividades No. Riesgos Identificados
o
Facturas no registradas
Recepción y validación 21
Revisión y registro oportunamente
de facturas con
de facturas Pagos errados por falta de
documentos habilitantes 22
validación
Pagos o desembolsos que no
Registro del pago en el
23 han sido aprobados
sistema
adecuadamente
Errores en transferencia y
24 acreditación de recursos de
Procesamiento de
desembolsos.
pagos Desembolso y
Fraude, desembolsos
liquidación del anticipo 25
ficticios son registrados
Pagos erróneos o duplicados
26 por errores en sistemas de
información.
Existencia de partidas
Cierre de cuentas Liquidación de cuentas antiguas de anticipos y
27
por pagar por pagar obligaciones con
proveedores.
Gastos ficticios o no
Solicitud de anticipo de
28 relacionados al negocio
empleados
desembolsados a empleados
Gastos ficticios o no
Desembolsos con tarjeta relacionados al negocio son
29
corporativa ejecutados con tarjeta de
Otros Reembolsos de
crédito corporativa
gastos gastos
Incumplimiento políticas
establecidas para la
Liquidación del anticipo
ejecución y reembolso de
con documentos 30
gastos de viaje o
habilitantes
misceláneos por parte de
empleados
Aprobar el ingreso de
clientes que no cumplen con
14 las políticas de crédito
establecidas por la
administración
Reclamos de clientes o
instituciones financieras por
Firma de contrato de ejecución de cobros no
servicios y autorización 15 autorizados lo que puede
de débito ocasionar litigios legales y
pérdida de la relación con la
institución financiera
Crear contrato en el
sistema para aquellas
preventas aprobadas ya
sea automática o Crear contratos de clientes
manualmente y rechazados de acuerdo a las
16
derivarlas al proceso de políticas y requisitos
instalaciones, caso establecidos por la compañía
contrario registrar los
motivos del rechazo en el
sistema
Si la forma de pago del
cliente es tarjeta de Fraude con tarjetas de
crédito, ingresar datos de 17 crédito de clientes (cobros
tarjeta de crédito en el no autorizados )
sistema de preventas E-
Sales y realizar el cobro
de forma automática a
Ingresos través de POS Virtual. 18 Cobros duplicados
Automáticamente el pago
es asociado a contrato en
Cobro de hook el sistema ICC.
up Si la forma de pago del Procesamiento de la venta
cliente es débito sin el respectivo cobro de
19
automático, solicitar el HU (en el caso de
depósito o transferencia Televentas)
del valor de subscrición Pérdida de nuevos clientes
en las cuentas bancarias al cortar el proceso de venta
20
de CORPORACION y enviar a los clientes a
CABLE TV. realizar el depósito bancario
Finalización de la venta y
Generación de órdenes de
generación de la orden de 21
instalación ficticias
instalación
105
Factores de Riesgo: Una vez identificados los riesgos, conforme esta metodología se
debe marcar con una x el factor de riesgo al que pertenece el evento de riesgo o riesgo
identificado, que puede afectar el cumplimiento de los objetivos institucionales. Los
factores de riesgo pueden ser: 4
4 Fuente de consulta: Art. 4 RESOLUCIÓN No. JB-2005-834 de 20 de octubre del 2005 .DE LA GESTIÓN DEL RIESGO OPERATIVO.
109
actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del
negocio.
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
No. RIESGOS IDENTIFICADOS PERSONAS DE PROCESOS
EXTERNOS
INFORMACIÓN
Ejecución de gastos no autorizados o
1 X
no clasificados adecuadamente
Compras no planificadas que afecten
2 X
el presupuesto de la compañía
Fragmentación de requisiciones de
3 compra para evadir niveles de X
autorización
Operaciones con proveedores
4 X
ficticios
5 Colusión con proveedores X
Falta de procesos y políticas de
licitación y cotización que no
6 X
permitan gestionar ahorros y
eficiencias para la compañía
Proveedores que incumplan con
fechas de entrega y la calidad
deseada en los bienes y servicios
7 X
contratados por la compañía, por
inconsistencia en proceso de
calificación.
Incumplimiento de políticas y
8 procedimientos para para aprobación X
de órdenes de compra.
Fragmentación de órdenes de
9 X
compra.
Operaciones de compra efectuadas
10 sin contrato por incumplimiento de X
políticas y procedimientos.
Creación de órdenes de compra
11 X
ficticias y/o sin contratos.
Falta de procedimientos de
12 contingencia en caso de fallas en el X
sistema de compras
Recepción de bienes y servicios
13 X
registrados en períodos incorrectos.
Recepción de materiales y servicios
que no cumple especificaciones para
14 el proceso de producción y/o X
estándares de calidad y tiempo de la
compañía.
110
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
No. RIESGOS IDENTIFICADOS PERSONAS DE PROCESOS
EXTERNOS
INFORMACIÓN
Datos incorrectos podrían ser
registrados en el maestro de
proveedores en especial números de
15 X
cuentas bancarias lo que puede
ocasionar errores o fraudes el pago a
proveedores.
Trabajar con proveedores no
adecuados que pongan en riesgo el
16 X
cumplimiento con las necesidades
de la compañía.
Cambios en los datos sensibles del
proveedor sin argumento o
17 evidencia que originen fraudes o X
errores en la ejecución de pagos a
proveedores.
Personal no autorizado que ejecute
18 cambios o registros en el sistema X
que conlleven a fraude o errores.
Falta de procedimientos y políticas
19 para compras de bienes o servicios X
fuera del proceso estándar.
Generación de anticipos de
20 X
proveedores no autorizados.
Facturas no registradas
21 X
oportunamente
Pagos errados por falta de
22 X
validación.
Pagos o desembolsos que no han
23 X
sido aprobados adecuadamente.
Errores en transferencia y
24 acreditación de recursos de X
desembolsos.
Fraude, desembolsos ficticios son
25 X
registrados.
Pagos erróneos o duplicados por
26 X
errores en sistemas de información.
Existencia de partidas antiguas de
27 anticipos y obligaciones con X
proveedores.
Gastos ficticios o no relacionados al
28 negocio desembolsados a X
empleados.
Gastos ficticios o no relacionados al
29 negocio son ejecutados con tarjeta X
de crédito Corporativa
Incumplimiento de políticas
establecidas para la ejecución y
30 X
reembolso de gastos de viaje o
misceláneos por parte de empleados.
111
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
No. RIESGOS IDENTIFICADOS PERSONAS DE PROCESOS
EXTERNOS
INFORMACIÓN
Definir precios demasiados altos que
no permitan acceder al mercado o
1 precio demasiado bajos que no X
permitan obtener márgenes de
rentabilidad adecuados.
Precios de venta al
público/descuentos no aprobados
2 por la alta gerencia que podría X
generar inconvenientes financieros
no planificados.
Precios o descuentos registrados en
3 X
el sistema distintos a los autorizados
Crear canales de ventas que no sean
4 X
eficientes ni rentables.
Incorporar canales de venta no
aprobados por la alta gerencia que
5 podrían generar inconvenientes X
financieros no planificados e incluso
litigios legales.
Canales de venta que comercialicen
6 los productos y servicios de la X
compañía sin suscribir un contrato.
Canal de venta sin conocimiento
adecuado que podría impactar en el
7 X
nivel de ventas, así como en
reclamos o deserción de clientes.
Accesos inadecuados a los sistemas
8 X
que conlleven a fraude
Incumplimiento en las metas de
venta, cobranza y churn que
9 X
impacten en los resultados de la
compañía.
Información sensible de clientes
expuesta en la Solicitud de Servicios
10 que pasa por personal de X
distribuidores o interno con fines
fraudulentos.
Parámetros de verificación de
crédito que no hayan sido analizados
adecuadamente que ocasionen
11 X
ineficiencias y otros efectos
negativos en la calidad de clientes
que ingresan a la compañía.
Listas negras desactualizadas lo cual
12 permita el ingreso de clientes con X
historial de fraude o morosidad.
112
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
No. RIESGOS IDENTIFICADOS PERSONAS DE PROCESOS
EXTERNOS
INFORMACIÓN
Aprobar el ingreso de clientes que se
encuentran en listas negras por
13 X
morosidad, piratería u otro tipo de
fraude.
Aprobar el ingreso de clientes que
no cumplen con las políticas de
14 X
crédito establecidas por la
administración.
Reclamos de clientes o instituciones
financieras por ejecución de cobros
no autorizados lo que puede
15 X
ocasionar litigios legales y pérdida
de la relación con la institución
financiera.
Crear contratos de clientes
rechazados de acuerdo a las políticas
16 X
y requisitos establecidos por la
compañía.
Fraude con tarjetas de crédito de
17 X
clientes (cobros no autorizados).
18 Cobros duplicados. X
Procesamiento de la venta sin el
19 respectivo cobro de HU (en el caso X
de Televentas).
Pérdida de nuevos clientes al cortar
el proceso de venta y enviar a los
20 X
clientes a realizar el depósito
bancario.
Generación de órdenes de
21 X
instalación ficticias.
Falta de análisis de las reglas de
negocio para la facturación que
22 X
impacten en el valor facturado a
clientes.
Inconsistencias detectadas por el
robot pre facturador que no han sido
corregidas por los dueños de
23 X
procesos, que generen fallas o
errores en los valores facturados a
clientes.
Errores o fraude en el proceso de
24 facturación debido a manipulación X
en la base de clientes facturados.
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
No. RIESGOS IDENTIFICADOS PERSONAS DE PROCESOS
EXTERNOS
INFORMACIÓN
Reclamos de clientes por no
recepción de factura que puede
26 X
generar sanciones por parte del ente
regulador.
Alta rotación de ejecutivos de
servicio al cliente y retenciones, que
27 X
puede impactar en el incremento de
ajustes financieros.
Criterio erróneo en el análisis, lo que
podría generar un incremento en la
28 X
cantidad y monto de ajustes
financieros de clientes
Ajustes financieros no autorizados
29 que originen pérdidas económicas a X
la compañía.
Acceso para la ejecución de
transacciones financieras (ajustes) a
demasiados usuarios y a todo nivel
30 X
jerárquico lo que podría
incrementar el riesgo de error o
fraude.
Manipulación en la base de clientes
facturados previo al envío al cobro a
31 X
las instituciones financieras que den
lugar a error o fraude.
Uso indebido de información de
32 clientes por falta de seguridades en X
el envío de la información.
Error en la aplicación de pagos o
33 X
registro de pagos indebidos.
Manipulación en la base de clientes
facturados previo al envío al cobro a
34 X
las instituciones financieras que den
lugar a error o fraude.
Cobros duplicados por ejecución de
35 débitos automáticos en clientes que X
han realizado pago por ventanilla.
Cobros no aplicados o mal
36 X
aplicados.
Reclamos de clientes por mantener
mensajes de mora en su pantalla o el
37 servicio desconectado, lo que X
pueden generar pérdidas económicas
por sanciones del regulador.
114
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
No. RIESGOS IDENTIFICADOS PERSONAS DE PROCESOS
EXTERNOS
INFORMACIÓN
Definir campañas y estrategias que
no impacten positivamente en el
38 cumplimiento de las metas de cobro X
e incluso afecten los márgenes de
rentabilidad esperados.
Bases de datos desactualizadas o
39 erróneas que generen ineficiencias X
en la gestión de cobro
Fallas en el Aplicativo de arrears
para el envío de mensajes OSD a
40 clientes, lo que puede impactar en la X
gestión de cobranza y el nivel de
churn.
Fallas en el Aplicativo de arrears
para la desconexión del servicio a
41 clientes con deuda, lo que puede X
impactar en la eficiencia de gestión
de cobranza y el nivel de churn.
Índices elevados de no
contactabilidad lo que impide
42 X
realizar una adecuada gestión de
cobranza.
Mala gestión de cobranza por parte
de los ejecutivos lo que puede
43 X
impactar en la eficiencia de cobro y
nivel de churn.
Equipos no recuperados que
44 X
implican pérdidas para la compañía.
Error en el cálculo de la provisión
45 X
para cuentas incobrables.
Personal no autorizado que ejecute
46 cambios o registros en el sistema X
que conlleven a fraude o errores.
Para para ponderar la probabilidad e impacto de dichos riesgos se utilizarán las matrices
descritas en los cuadros N° 3.1 y 3.2, en dónde:
115
Una vez aplicada la fórmula antes mencionada, y obtenido sus respectivos resultados se
procederá a identificar si dichos riesgos tienen un nivel de riesgo bajo, moderado o alto
utilizando el cuadro 3.4 que menciona el nivel de riesgo y el cuadro 3.5 que se refiere al
mapa de riesgo.
Probabilidad
Información
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
No.
Riesgos Identificados
Tecnología de la
Probabilidad
Información
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
No.
Riesgos Identificados
la Información
Tecnología de
Probabilidad
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
N° Riesgos Identificados
la Información
Tecnología de
Probabilidad
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
N° Riesgos Identificados
18 Cobros duplicados x 2 2 4
la Información
Tecnología de
Probabilidad
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
N° Riesgos Identificados
Control
Control Automático
Control Semiautomático
Manual
• Control manual: aquellos que son ejecutados por una o más personal del área usuaria
sin la utilización de herramientas computacionales.
• Control Semiautomático: aquellos que son ejecutados por una o más personas y por
un sistema de información, es decir es un trabajo conjunto entre ambas partes.
• Control Automático: son generalmente los incorporados en el software, de
operación, de comunicación, de gestión de base de datos, programas de aplicación,
etc.; es decir no requiere intervención humana.
Una vez identificados el tipo de control a aplicar se utilizará la siguiente fórmula para
identificar el nivel del riesgo.
Una vez aplicada la fórmula antes mencionada, y obtenido sus respectivos resultados se
procederá a identificar si dichos riesgos tienen un nivel de riesgo bajo, moderado o alto
121
utilizando el cuadro 3.4 que menciona el nivel de riesgo y el cuadro 3.5 que se refiere al
mapa de riesgo.
Nivel de Riesgo
Probabilidad
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
especificaciones para el
proceso de producción y/o
estándares de calidad y
tiempo de la compañía.
Datos incorrectos podrían
ser registrados en el
maestro de proveedores en
Validación de cambios de datos
especial números de
15 Manual sensibles de proveedores 1 1 1
cuentas bancarias lo que
(certificados bancarios).
puede ocasionar errores o
fraudes el pago a
proveedores.
Trabajar con proveedores
no adecuados que pongan
Depuración y bloqueo de
16 en riesgo el cumplimiento Semiautomático 1 3 3
proveedores en el sistema.
con las necesidades de la
compañía.
Cambios en los datos
sensibles del proveedor sin
argumento o evidencia que Reporte de cambio de datos de
17 Automático 1 2 2
originen fraudes o errores proveedores.
en la ejecución de pagos a
proveedores.
Personal no autorizado que
ejecute cambios o registros Autorización de perfiles de accesos
18 Manual 1 2 2
en el sistema que conlleven de la Gerencia de Control Interno
a fraude o errores
Falta de procedimientos y
políticas para compras de
19 Manual Autorización de orden de pago 2 3 6
bienes o servicios fuera del
proceso estándar.
Generación de anticipos de
20 Manual Autorización de Anticipo 1 3 3
proveedores no autorizados
Facturas no registradas Reporte de hojas de entrada sin
21 Manual 1 2 2
oportunamente factura
Validación de documentos
Pagos errados por falta de
22 Manual habilitantes (orden de compra, hoja 1 3 3
validación
de entrada y datos de factura)
Pagos o desembolsos que Niveles de autorización de
23 no han sido aprobados Manual generación de cuenta por pagar y 1 3 3
adecuadamente desembolso.
Errores en transferencia y
24 acreditación de recursos de Manual Reporte de antigüedad de anticipos 1 2 2
desembolsos.
Fraude, desembolsos Niveles de aprobación para
25 Manual 1 3 3
ficticios son registrados desembolsos
124
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Establecimiento de Indicadores
Los indicadores clave de riesgo son variables que ofrecen una base razonable para estimar
la probabilidad e impacto de uno o más eventos de riesgo operacional, así también, es una
herramienta que permite la validación, cálculo y monitoreo de los indicadores clave de
riesgo, para los procesos de ingresos y egresos de la compañía.
fin de identificar fluctuaciones que alerten la existencia de una posible exposición ante
un evento de riesgo operacional y definir planes de acción correctivos.
Plan de Acción
Establecimient
Identificados
indicadores
tratamiento
Opción de
Residual
Riesgos
Riesgo
o de
No.
Plan de Acción
Establecimient
Identificados
indicadores
tratamiento
Opción de
Residual
Riesgos
Riesgo
o de
No.
Operaciones de compra
Creación de procedimiento
efectuadas sin contrato por Mitigar el
10 4 alterno con niveles de Auditorías de Procesos.
incumplimiento de políticas y riesgo
autorización.
procedimientos.
Creación de órdenes de
Ejecución de procesos de Mitigar el # de contratos y órdenes de
11 compra ficticias y/o sin 4 compra autorizados / Total
auditoría de pagos. riesgo de pagos.
contratos.
Creación de procedimiento
Falta de procedimientos de
alterno de contingencia para Mitigar el Pruebas de funcionamiento
12 contingencia en caso de fallas 9 de planes de contingencia.
compras por fallas en el riesgo
en el sistema de compras.
sistema.
Recepción de bienes y
13 servicios registrados en 1 N/A N/A N/A
períodos incorrectos
Recepción de Materiales y
servicios que no cumple Generación de cláusulas
especificaciones para el contractuales por Transferir Sanciones ejecutadas por
14 3 incumplimiento de contratos
proceso de producción y/o incumplimiento de el riesgo / total de contratos.
estándares de calidad y estándares de calidad.
tiempo de la compañía.
Datos incorrectos podrían ser
registrados en el Maestro de
Proveedores en especial
15 números de cuentas bancarias 1 N/A N/A N/A
lo que puede ocasionar
errores o fraudes el pago a
proveedores
Trabajar con proveedores no Calificación interna de
adecuados que pongan en proveedores al finalizar
Mitigar el Reporte de calificación de
16 riesgo el cumplimiento con 3 prestación de servicio y proveedores y bases de datos
riesgo de lista negra.
las necesidades de la creación de bases de datos de
compañía Lista Negra.
Cambios en los datos
sensibles del proveedor sin
Validación de reporte de
argumento o evidencia que Mitigar el Reporte de cambios de
17 2 cambio de datos sensibles de datos vs evidencia
originen fraudes o errores en riesgo documental de cambios.
proveedores.
la ejecución de pagos a
proveedores
Personal no autorizado que
Automatización de perfiles
ejecute cambios o registros en Mitigar el Matriz de quiebre de regla y
18 2 para segregación de controles compensatorios.
el sistema que conlleven a riesgo
funciones en el sistema SAP.
fraude o errores
Falta de procedimientos y
Diseño, procesos, políticas y
políticas para compras de Mitigar el Revisión de pagos que
19 6 procedimientos específicos ingresan por módulo FI
bienes o servicios fuera del riesgo (transacciones financieras).
para compras por excepción.
proceso estándar.
Generación de anticipos de
20 3 N/A N/A N/A
proveedores no autorizados
137
Plan de Acción
Establecimient
Identificados
indicadores
tratamiento
Opción de
Residual
Riesgos
Riesgo
o de
No.
Facturas no registradas
21 2 N/A N/A N/A
oportunamente.
Generación de funciones de
Pagos o desembolsos que no
revisión y control de Mitigar el # de pagos no aprobados / #
23 han sido aprobados 3 Total de pagos.
procesos previos al riesgo
adecuadamente.
desembolso.
Errores en transferencia y
24 acreditación de recursos de 2 N/A N/A N/A
desembolsos.
Generación de funciones de
Fraude, desembolsos ficticios revisión y control de Mitigar el # Pagos no aprobados / #
25 3 Total de pagos.
son registrados. procesos previos al riesgo
desembolso.
Pagos erróneos o duplicados
Desarrollo de aplicación para Mitigar el # Pagos duplicados o errados
26 por errores en sistemas de 2 / # total de pagos.
validación de pagos. riesgo
información.
Existencia de partidas
antiguas de anticipos y
27 2 N/A N/A N/A
obligaciones con
proveedores.
Gastos ficticios o no
28 relacionados al negocio 2 N/A N/A N/A
desembolsados a empleados
Gastos ficticios o no
relacionados al negocio son
29 2 N/A N/A N/A
ejecutados con tarjeta de
crédito Corporativa.
Incumplimiento de políticas
establecidas para la ejecución
30 y reembolso de gastos de 4 N/A N/A N/A
viaje o misceláneos por parte
de empleados.
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Desarrollo e implementación
Información sensible de clientes
de un dispositivo móvil que Eliminación de
expuesta en la Solicitud de
permita el enmascaramiento Mitigar autorizaciones físicas de
10 Servicios que pasa por personal 6
de los datos sensibles del el riesgo débito bancario o de
de distribuidores o interno con
cliente una vez hayan sido tarjetas de crédito.
fines fraudulentos.
registrados.
Parámetros de verificación de
crédito que no hayan sido
Formalizar metodología para Reporte de cambios en las
analizados adecuadamente que
ejecutar el análisis de Mitigar políticas de crédito vs
11 ocasionen ineficiencias y otros 3
parámetros y políticas el riesgo evidencia del análisis
efectos negativos en la calidad de
crediticias. ejecutado.
clientes que ingresan a la
compañía.
Listas negras desactualizadas lo
Implementación de un
cual permita el ingreso de Mitigar
12 2 procedimiento para la Auditoría de procesos.
clientes con historial de fraude o el riesgo
actualización de listas negras.
morosidad.
Implementar en el sistema E-
Aprobar el ingreso de clientes
Sales el bloqueo automático
que se encuentran en listas Mitigar
13 2 para el ingreso de clientes Auditoría del sistema.
negras por morosidad, piratería u el riesgo
que se encuentran registrados
otro tipo de fraude.
en listas negras
# Total de clientes con
Aprobar el ingreso de clientes evidencia de estatus
que no cumplen con las políticas Auditorías de cumplimiento Mitigar crediticio en el momento
14 2
de crédito establecidas por la de la política. el riesgo del alta / # Total de
administración. clientes aprobados
manualmente
Reclamos de clientes o
instituciones financieras por Aplicar sanciones
ejecución de cobros no importantes debido al # Total de ventas no
Mitigar
15 autorizados lo que puede 6 incumplimiento de las regularizadas /# Total de
el riesgo
ocasionar litigios legales y políticas y procedimientos de ventas
pérdida de la relación con la ingreso de clientes.
institución financiera.
Crear contratos de clientes
rechazados de acuerdo a las Auditorías de cumplimiento Mitigar
16 2 Resultados de la Auditoría
políticas y requisitos establecidos de la política. el riesgo
por la compañía.
Implementar un desarrollo
que al identificar que el pago
de la subscripción será
realizado por un tercero, # de demandas o reclamos
Fraude con tarjetas de crédito de Mitigar
17 3 bloque el registro de la venta de clientes por cobros no
clientes (cobros no autorizados). el riesgo
y el sistema derive la autorizados.
revisión del caso a los
analistas de crédito de la
compañía.
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Automatizar la verificación
Procesamiento de la venta sin el
de cobro de HU previo a la Mitigar
19 respectivo cobro de HU (en el 2 # de ventas sin HU.
finalización de la venta y el riesgo
caso de Televentas).
envió de la Orden de Trabajo.
Generación de órdenes de
21 2 N/A N/A N/A
instalación ficticias.
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
monto
Desarrollar un reporte de
control para asegurar que los
ajustes ejecutados en el
período fueron ejecutados de
acuerdo a la matriz de
aprobación
Acceso para la ejecución de
transacciones financieras
(ajustes) a demasiados usuarios y
30 2 N/A N/A N/A
a todo nivel jerárquico lo que
podría incrementar el riesgo de
error o fraude
Manipulación en la base de Desarrollar interface entre # de reclamos de clientes
clientes facturados previo al sistema de facturación ICC y por errores en el cobro por
Mitigar
31 envío al cobro a las instituciones 2 las Instituciones Financieras, envío de base errónea / #
el riesgo
financieras que den lugar a error con el fin de aplicar los Total de reclamos de
o fraude cobros automáticamente clientes.
Uso indebido de información de
32 clientes por falta de seguridades 2 N/A N/A N/A
en el envío de la información
# de reclamos de clientes
Desarrollar interface entre
Error en la aplicación de pagos o Mitigar por errores en el cobro / #
33 3 sistema de facturación ICC y
registro de pagos indebidos. el riesgo Total de reclamos de
las Instituciones Financieras.
clientes.
Manipulación en la base de Desarrollar interface entre
# de reclamos de clientes
clientes facturados previo al sistema de facturación ICC y
Mitigar por errores en el cobro / #
34 envío al cobro a las instituciones 2 las Instituciones Financieras,
el riesgo Total de reclamos de
financieras que den lugar a error con el fin de aplicar los
clientes.
o fraude. cobros automáticamente.
Desarrollo de conexiones a
Cobros duplicados por ejecución través de un switch
de débitos automáticos en transaccional con las Mitigar # Total de cobros en línea
35 2
clientes que han realizado pago instituciones financieras para el riesgo / # Total de cobros.
por ventanilla. aplicación de pagos en línea
en el sistema ICC.
Desarrollo de conexiones a
través de un switch # Reclamos por errores o
Cobros no aplicados o mal transaccional con las Mitigar duplicación en cobros/ #
36 2
aplicados. instituciones financieras para el riesgo Total de cobros
aplicación de pagos en línea efectuados en el período.
en el sistema ICC.
Reclamos de clientes por
mantener mensajes de mora en su
pantalla o el servicio
37 2 N/A N/A N/A
desconectado, lo que pueden
generar pérdidas económicas por
sanciones del regulador.
142
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Establecimiento de
Riesgo Residual
Tipo de Control
Plan de Acción
Eventos Externos
Tecnología de
Megaproceso
Riesgo Inherente
Probabilidad
Probabilidad
Subprocesos
Información
indicadores
tratamiento
Opción de
Controles
Personas
Procesos
Impacto
Impacto
Proceso
Identificados
No.
Riesgos
Niveles de Autorización y
montos:
Presidente Ejecutivo más
de US $ 100.000 Implementar
Fragmentación de Número de
Director Financiero desde aprobaciones en el
Requisición compras para evadir Mitigar el compras mensuales
1 X 3 3 9 Automático US $ 50.000 a US $ 3 3 9 sistema SAP de la
de Compras niveles de riesgo efectuadas de un
100.000 Gerencia de
autorización mismo ítem.
Director de Área hasta US Planificación Financiera
$ 50.000
Gerente de Área hasta US
$ 10.0000
Incumplimiento de # Contratos de
Capacitación al
políticas y Reporte de órdenes de compra legalizados
personal sobre procesos Transferir
2 procedimientos para X 3 3 9 Manual compra y contratos 2 3 6 / # de órdenes de
Gastos Compras de ejecución de órdenes el riesgo
para aprobación de emitidos compra que
Orden de de compra y contratos
órdenes de compra. requieren contrato
Compras y
Falta de Creación de
Contratos Pruebas de
procedimientos de Procedimiento alterno de procedimiento alterno
Mitigar el funcionamiento de
3 contingencia en caso X 3 3 9 Manual compras por fallas en 3 3 9 de contingencia para
riesgo planes de
de fallas en el sistema sistema compras por fallas en el
contingencia
de compras sistema
# de pagos que
Falta de
Diseño, procesos, cumplen con la
Compras de procedimientos y
políticas y política/ # Total de
Servicios políticas para Autorización de Orden de Mitigar el
4 X 3 2 6 Manual 2 3 6 procedimientos pagos que ingresan
Excepcionad compras de bienes o Pago riesgo
específicos para por módulo FI
os servicios fuera del
compras por excepción (transacciones
proceso estándar.
financieras)
145
Riesgo Inherente
Tecnología de la
Eventos Externos
Establecimiento
Tipo de Control
Plan de Acción
de indicadores
Riesgo Residual
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
tratamiento
Opción de
Personas
Procesos
Impacto
Impacto
Riesgos
Proceso
Control
No.
Información sensible
Desarrollo e
de clientes expuesta
Dispositivo para captación implementación de un
en la Solicitud de Eliminación de
de datos de clientes que no dispositivo móvil que
Servicios que pasa Mitigar autorizaciones físicas
10 X 3 3 9 Automático guarde ningún historial 2 3 6 permita el enmascaramiento
por personal de el riesgo de débito bancario o
visible sobre información de los datos sensibles del
distribuidores o de tarjetas de crédito
sensible del cliente cliente una vez hayan sido
interno con fines
registrados
fraudulentos
Captación de
Verificación de
Gestión de la preventa y Reclamos de clientes
Ingresos documentación que soporta
Venta análisis de o instituciones
la relación con el cliente:
crédito financieras por
-Contrato de Subscripción Aplicar sanciones
ejecución de cobros
-Autorización de débito importantes debido al # Total de ventas no
no autorizados lo que Mitigar
15 X 3 3 9 Manual -Documentos de 2 3 6 incumplimiento de las regularizadas / #
puede ocasionar el riesgo
identificación del cliente políticas y procedimientos Total de ventas
litigios legales y
No pago de comisiones por de ingreso de clientes
pérdida de la
ventas sin documentación
relación con la
soporte y sanciones por
institución financiera
incumplimientos
146
• Contar con modelo conceptualmente sólido que sea aplicable de manera integral
a todos los procesos de CORPORACION CABLE TV Cía. Ltda.
• Establecer reportes periódicos sobre la exposición al riesgo operacional, que
incluya la identificación de posibles eventos de pérdida, dirigidos a las áreas
operativas y de negocio, direcciones y presidencia ejecutiva, la empresa debe
establecer procedimientos para tomar acciones apropiadas según la información
incluida en dichos reportes que permitirán a la compañía tomar decisiones
oportunas.
• Contar con una base de datos de eventos de pérdida por riesgo operacional, que
permita la transición de un modelo cualitativo a un modelo cuantitativo.
• El presente modelo dota de la base conceptual y técnica para la implementación
de un software especializado que facilite la generación de reportes e incluya la
base de datos para una eficiente gestión de los riesgos empresariales.
Si bien se ha observado que CORPORACIÓN CABLE TV Cía. Ltda.; cuenta con una
buena gestión del sistema de control interno debido al compromiso logrado por parte de
la administración y al trabajo realizado por la Gerencia de Procesos y Control Interno, la
falta de un modelo metodológico formal para la gestión de control interno y riesgo
empresariales basada en riesgo operativo tal como se propone en el presente trabajo, ha
arrojado como resultado lo siguiente:
147
ANEXO
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
Niveles de
Aprobación
automáticos para
Casa Matriz: Implementar
Registro de - Niveles de # Formularios de
aprobaciones de
la Ejecución de gastos aprobación de gastos Compras
Casa Matriz en el
Requisición no autorizados o no superiores a US $ Mitigar aprobados / #
1 X 2 3 6 Automático 1 1 1 sistema SAP para
de Compra clasificados 300.000 el riesgo Total de
el procesamiento
en el adecuadamente - Niveles de Compras Activos
de requisición de
Sistema SAP aprobación de activos Ejecutadas.
compra.
superiores a US $
25.000
Niveles de
Autorización y
montos:
Requisición # Total de
Gastos Compras Presidente Ejecutivo Implementar
de Compras Compras no Compras
más de US $ 100.000 aprobaciones en
planificadas que Aprobadas por
Director Financiero el sistema SAP Mitigar
2 afecten el X 2 3 6 Automático 1 3 3 Gerencia
desde US $ 50.000 a de la Gerencia de el riesgo
Análisis y presupuesto de la Planificación
US $ 100.000 Planificación
Revisión compañía Financiera / #
Director de área hasta Financiera
para la Compras Totales
US $ 50.000
Aprobación
Gerente de área hasta
o Rechazo
US $ 10.0000
de la
Niveles de
Requisición
Autorización y
de Compra Implementar
Fragmentación de montos: Número de
aprobaciones en
requisiciones de Presidente Ejecutivo compras
el sistema SAP Mitigar
3 compra para evadir X 3 3 9 Automático más de US $ 100.000 3 3 9 mensuales
de la Gerencia de el riesgo
niveles de Director Financiero efectuadas de un
Planificación
autorización desde US $ 50.000 a mismo ítem..
Financiera
US $ 100.000
Director de área hasta
150
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
US $ 50.000
Gerente de área hasta
US $ 10.0000
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
orden de para aprobación de ejecución de órdenes de
compra del órdenes de compra. órdenes de compra que
bien o compra y requieren
servicio contratos contrato
requerido Niveles de
por Autorización y
CORPORA montos:
CION Presidente Ejecutivo
Número de
CABLE TV, más de US $ 100.000 Reporte de
compras
por medio Fragmentación de Director Financiero compras Mitigar
9 X 2 2 4 Automático 1 1 1 mensuales
del sistema órdenes de compra. desde US $ 50.000 a mensuales para el riesgo
efectuadas de un
SAP. US $ 100.000 un mismo ítem
mismo ítem.
Director de área hasta
US $ 50.000
Gerente de área hasta
US $ 10.0000
Operaciones de
Proceso de Creación de
compra efectuadas
regularización de procedimiento
sin contrato por Mitigar Auditorías de
10 X 3 3 9 Manual compras con 2 2 4 alterno con
incumplimiento de el riesgo Procesos.
procedimiento niveles de
políticas y
alterno. autorización.
procedimientos.
# de contratos y
Elaboración Ejecución de
Creación de órdenes Creación de órdenes órdenes de
de Contratos procesos de Mitigar
11 de compra ficticias X 2 2 4 Automático de compra a través de 2 2 4 compra
que protegen auditoría de el riesgo
y/o sin contratos. sistema SAP autorizados /
los intereses pagos.
Total de pagos.
de las partes
Creación de
Falta de procedimiento
Pruebas de
procedimientos de Procedimiento alterno alterno de
Mitigar funcionamiento
12 contingencia en caso X 3 3 9 Manual de compras por fallas 3 3 9 contingencia para
el riesgo de planes de
de fallas en el sistema en sistema compras por
contingencia.
de compras fallas en el
sistema
Recepción / Registro de Recepción de bienes
Ingreso de la hoja de y servicios Reporte de compras Asumir
13 X 2 2 4 Automático 1 1 1 N/A
Bienes y entrada registrados en abiertas sin recepción el riesgo
Servicios aceptación períodos incorrectos
152
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
del bien o Recepción de
servicio Materiales y
servicios que no Generación de Sanciones
cumple Verificación de cláusulas ejecutadas por
Transfer
especificaciones para condiciones de contractuales por incumplimiento
14 X 1 3 3 Manual 1 3 3 ir el
el proceso de calidad del área incumplimiento de contratos /
riesgo
producción y/o solicitante de estándares de total de
estándares de calidad calidad. contratos.
y tiempo de la
compañía.
Datos incorrectos
podrían ser
Creación o registrados en el Validación de
Actualizació Maestro de cambios de datos
n de Proveedores en sensibles de
Proveedores
15
especial números de
X 1 2 2 Manual
proveedores
1 1 1 N/A N/A N/A
en el cuentas bancarias lo (certificados
Sistema que puede ocasionar bancarios)
errores o fraudes el
pago a proveedores
Calificación
Trabajar con interna de
Administraci proveedores no proveedores al Reporte de
Administraci Depuración y
ón del adecuados que finalizar calificación de
ón del Bloqueo de Mitigar
maestro de 16 pongan en riesgo el X 1 3 3 Semiautomático 1 3 3 prestación de proveedores y
Maestro de Proveedores en el el riesgo
proveedores cumplimiento con las servicio y bases de datos de
Proveedores Sistema
necesidades de la creación de bases lista negra.
compañía de datos de Lista
Negra.
Cambios en los datos
sensibles del
Validación proveedor sin Validación de Reporte de
de Cambios argumento o reporte de cambios de datos
Reporte de cambio de Mitigar
de Datos 17 evidencia que X 2 2 4 Automático 1 2 2 cambio de datos vs evidencia
datos de proveedores el riesgo
Sensibles de originen fraudes o sensibles de documental de
Proveedores errores en la proveedores cambios.
ejecución de pagos a
proveedores
153
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
Creación o Personal no
Automatización
AdministraciActualizació autorizado que Autorización de Matriz de
de perfiles para
ón de n de perfiles ejecute cambios o perfiles de accesos de Mitigar quiebre de regla
18 X 1 2 2 Manual 1 2 2 segregación de
aplicación de
de acceso al registros en el la Gerencia de el riesgo y controles
funciones en el
compras Sistema de sistema que conlleven Control Interno compensatorios.
sistema SAP.
Compras a fraude o errores
Solicitud de
Servicios
Falta de Diseño, procesos, Revisión de
que por su
Compras de procedimientos y políticas y pagos que
naturaleza
Servicios políticas para Autorización de procedimientos Mitigar ingresan por
son 19 X 3 2 6 Manual 2 3 6
Excepcionad compras de bienes o Orden de Pago específicos para el riesgo módulo FI
recurrentes y
os servicios fuera del compras por (transacciones
necesarios
proceso estándar. excepción financieras).
para la
operación
Generación de
Anticipo a Solicitud de anticipos de Autorización de
20 X 2 3 6 Manual 1 3 3 N/A N/A N/A
Proveedores Anticipo proveedores no Anticipo
autorizados
Facturas no
Reporte de Hojas de
21 registradas X 2 2 4 Manual 1 2 2 N/A N/A N/A
Recepción y Entrada sin Factura
oportunamente
Validación
Revisión y Validación de
de Facturas
registro de documentos
con
Facturas Pagos errados por habilitantes (orden de
Documentos 22 X 1 3 3 Manual 1 3 3 N/A N/A N/A
Cuentas falta de validación compra, hoja de
Habilitantes
por Pagar entrada y datos de
factura)
Generación de
Niveles de
Pagos o desembolsos funciones de
Registro del Autorización de # de pagos no
que no han sido revisión y control Mitigar
Pago en el 23 X 1 3 3 Manual generación de cuenta 1 3 3 aprobados / #
aprobados de procesos el riesgo
Procesamien Sistema por pagar y Total de pagos.
adecuadamente previos al
to de Pagos desembolso.
desembolso.
Errores en Reporte de
Desembolso
24 transferencia y X 1 2 2 Manual Antigüedad de 1 2 2 N/A N/A N/A
y
acreditación de Anticipos
154
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
Liquidación recursos de
del anticipo desembolsos.
Generación de
funciones de
Fraude, desembolsos Niveles de # Pagos no
revisión y control Mitigar
25 ficticios son X 1 3 3 Manual aprobación para 1 3 3 aprobados / #
de procesos el riesgo
registrados desembolsos Total de pagos.
previos al
desembolso.
Validación de
Pagos erróneos o Desarrollo de # Pagos
comprobantes de
duplicados por aplicación para Mitigar duplicados o
26 X 1 3 3 Automático pago vs transacciones 1 2 2
errores en sistemas de validación de el riesgo errados / # total
del Cash
información. pagos de pagos.
Management.
Existencia de partidas Reporte de
Cierre de Liquidación
antiguas de anticipos Antigüedad y
Cuentas por de cuentas 27 X 1 2 2 Manual 1 2 2 N/A N/A N/A
y obligaciones con seguimiento de
pagar por Pagar
proveedores. partidas antiguas
Gastos ficticios o no
Solicitud de relacionados al Solicitud de anticipos
Anticipo de 28 negocio X 1 2 2 Manual con niveles de 1 2 2 N/A N/A N/A
Empleados desembolsados a aprobación
empleados
Gastos ficticios o no
relacionados al
Desembolso Cupos autorizados
negocio son
s con Tarjeta 29 X 1 2 2 Manual con tarjeta de crédito 1 2 2 N/A N/A N/A
Otros Reembolsos ejecutados con tarjeta
Corporativa corporativa
Gastos de Gastos de crédito
Corporativa
Incumplimiento
Liquidación políticas establecidas
Revisión de
del Anticipo para la ejecución y
documentos
con 30 reembolso de gastos X 3 2 6 Manual 2 2 4 N/A N/A N/A
habilitantes para
Documentos de viaje o
reembolso
Habilitantes misceláneos por parte
de empleados
155
Anexo 1
Matriz de Evaluación de Riesgos para los Procesos de Ingresos
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Proponer precios
Definir precios
y descuentos de
demasiados altos Auditorías
productos/servici
que no permitan sobre el
os que
acceder al mercado Procedimiento de cumplimiento
CORPORACIO
o precio demasiado análisis para la creación del Mitigar Auditorías de
N CABLE TV 1 X 2 3 6 Manual 1 3 3
bajos que no o actualización de procedimiento el riesgo Procesos
coloca en el
permitan obtener precios y descuentos de análisis de
mercado en
márgenes de precios y
función a costos
rentabilidad descuentos
y márgenes de
adecuados.
rentabilidad
Reporte el
Política para
sistema de
la fijación de
Precios de venta al cambio de
Aprobación de precios y
público/descuentos precios y
precios y descuentos e
Administraci no aprobados por la Aprobaciones a través descuentos en el
Administr descuentos por implementar
INGR ón de alta gerencia que de la "Solicitud para la Mitigar maestro de
ación de parte de 2 X 2 3 6 Manual 1 3 3 aprobaciones
ESOS Precios y podría generar creación o actualización el riesgo clientes vs
Ventas Presidencia y automáticas
Descuentos inconvenientes de precios" Solicitudes de
Direcciones para el cambio
financieros no Creación o
correspondientes o creación de
planificados actualización de
nuevos precios
precios
y descuentos
aprobadas.
# de cambios sin
Reporte de solicitudes de
precios Creación o
Política de fijación de
Precios o vigentes en el actualización de
precios que incluya
Ingresar lista de descuentos sistema vs precios
lineamientos para la Mitigar
precios vigentes 3 registrados en el X 1 3 3 Manual 1 3 3 solicitudes de aprobadas / #
revisión periódica de el riesgo
en ICC sistema distintos a creación o Total de cambio
precios vigentes versus
los autorizados actualización de precios y
precios aprobados
de precios y descuentos
descuentos vigentes en el
sistema
156
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Identificación y Procedimiento para la
Crear canales de
análisis de apertura y crecimiento
ventas que no sean
necesidad o 4 X 3 2 6 de canales de venta que Manual 1 2 2 N/A N/A N/A
eficientes ni
crecimiento de incluya el respectivo
rentables
canales de venta análisis
Incorporar canales
#de canales de
de venta no
Creación de un venta sin actas de
aprobados por la
comité para la aprobación del
Aprobación de alta gerencia que Política para la
aprobación de comité de
apertura o podrían generar aprobación de apertura Mitigar
5 X 3 2 6 Manual 1 2 2 apertura y canales / # Total
expansión de inconvenientes o crecimiento de el riesgo
expansión de de canales de
canales de venta financieros no canales de venta
canales de venta reportados
planificados e
venta por el sistema en
incluso litigios
el período.
legales
Procedimiento
para la
Gestión de creación de
Canales de Elaboración y Canales de venta accesos y
Venta Solicitud de apertura de
firma del que comercialicen códigos de
accesos y códigos de
contrato de los productos y venta que
venta deberá tener Mitigar Auditorías de
prestación de 6 servicios de la X 3 3 9 Manual 1 3 3 determine al
adjunto el contrato el riesgo Procesos.
servicios y la compañía sin contrato
legalizado con el canal
autorización de suscribir un legalizado
de ventas
débito respectiva contrato como
habilitante para
la creación en
el sistema
Canal de venta sin
Adjuntar
conocimiento Procedimiento para la
certificado de
Capacitación y adecuado que apertura y crecimiento
capacitación a
entrenamiento podría impactar en de canales de venta que
la Solicitud de Mitigar Auditorías de
sobre el producto 7 el nivel de ventas, X 2 2 4 incluya certificación de Manual 1 2 2
creación de el riesgo Procesos.
/ servicio para su así como en la capacitación previo a
accesos y
comercialización reclamos o la creación del código
códigos de
deserción de de ventas
venta
clientes
157
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Asignar la
función de
solicitud de # de códigos y
Aplicación de matriz de códigos y accesos sin
Creación de perfiles y accesos para accesos al área solitudes
Accesos
accesos al el sistema E- Sales. de ventas, aprobadas/ #
inadecuados a los Mitigar
sistema E-Sales 8 X 3 2 6 Segregación de Manual 2 2 4 revisión de Total de códigos
sistemas que el riesgo
para la captación funciones en la requisitos y y accesos
conlleven a fraude
de ventas solicitud, aprobación y aprobación al creados en el
creación de área financiera sistema E- sales
administrativa, en el período
ejecución al
área de IT.
Incumplimiento en
Monitoreo de la las metas de venta, Seguimiento de reportes
Gestión cobranza y churn diarios del nivel de
9 X 1 2 2 Automático 1 2 2 N/A N/A N/A
ejecutada por que impacten en los ventas y churn por
cada Canal resultados de la canal.
compañía
Desarrollo e
implementació
Información
n de un
sensible de clientes
Recopilar Dispositivo para dispositivo Eliminación de
expuesta en la
información del captación de datos de móvil que autorizaciones
Solicitud de
cliente en el clientes que no guarde permita el Mitigar físicas de débito
10 Servicios que pasa X 3 3 9 Automático 2 3 6
formato ningún historial visible enmascaramie el riesgo bancario o de
por personal de
"Solicitud de sobre información nto de los tarjetas de
distribuidores o
Captación de Servicio" sensible del cliente datos sensibles crédito.
interno con fines
Gestión de la preventa y del cliente una
fraudulentos
Venta análisis de vez hayan sido
crédito registrados
Ingresar datos Parámetros de
Formalizar Reporte de
del cliente en verificación de
metodología cambios en las
sistema de crédito que no Metodología para el
para ejecutar el políticas de
preventas E- hayan sido análisis de la adopción Mitigar
11 X 2 2 4 Manual 1 3 3 análisis de crédito vs
Sales y procesar analizados o actualización de el riesgo
parámetros y evidencia del
información para adecuadamente que políticas de Crédito
políticas análisis
verificación ocasionen
crediticias ejecutado.
crediticia, así ineficiencias y
158
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
como de piratería otros efectos
o mora actual negativos en la
con DTV calidad de clientes
que ingresan a la
compañía
Listas negras Implementació
desactualizadas lo n de un
Procedimiento para la
cual permita el procedimiento Mitigar Auditoría de
12 X 2 2 4 actualización de Listas Manual 1 2 2
ingreso de clientes para la el riesgo procesos.
Negras
con historial de actualización
fraude o morosidad de listas negras
Implementar
en el sistema
Aprobar el ingreso
E- Sales el
de clientes que se Bloqueo automático
bloqueo
encuentran en listas para el ingreso de
automático Mitigar Auditoría del
13 negras por X 2 2 4 clientes que se Manual 1 2 2
para el ingreso el riesgo sistema.
morosidad, encuentran en listas
de clientes que
piratería u otro tipo negras
se encuentran
de fraude
registrados en
Aprobar o
listas negras
rechazar preventa
Política de Crédito que
según el
especifica los
resultado de
parámetros bajo los
análisis manual o # Total de
cuales un cliente puede
automático según clientes con
Aprobar el ingreso ser aprobado
sea el caso evidencia de
de clientes que no manualmente por un
Auditorías de estatus crediticio
cumplen con las Analista de Crédito. Mitigar
14 X 2 2 4 Manual 1 2 2 cumplimiento en el momento
políticas de crédito Verificación periódica el riesgo
de la política del alta / # Total
establecidas por la de la evidencia
de clientes
administración relacionada a la
aprobados
información crediticia
manualmente
con la que un cliente
fue dado de alta por el
Analista de Crédito
159
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Verificación de
documentación que
Reclamos de
soporta la relación con
clientes o Aplicar
el cliente:
instituciones sanciones
-Contrato de
financieras por importantes
Firma de Subscripción
ejecución de cobros debido al # Total de ventas
contrato de -Autorización de débito
no autorizados lo incumplimient Mitigar no regularizadas
servicios y 15 X 3 3 9 -Documentos de Manual 2 3 6
que puede o de las el riesgo /# Total de
autorización de identificación del
ocasionar litigios políticas y ventas
débito cliente
legales y pérdida de procedimientos
No pago de comisiones
la relación con la de ingreso de
por ventas sin
institución clientes
documentación soporte
financiera
y sanciones por
incumplimientos
Crear contrato en
el sistema para
aquellas
preventas
aprobadas ya sea Crear contratos de Política de Crédito que
automática o clientes rechazados establece los
manualmente y de acuerdo a las parámetros bajo los Auditorías de
Mitigar Resultados de la
derivarlas al 16 políticas y X 2 2 4 cuales una persona Manual 1 2 2 cumplimiento
el riesgo Auditoría
proceso de requisitos natural o jurídica no de la política
instalaciones, establecidos por la puede ingresar como
caso contrario compañía cliente
registrar los
motivos del
rechazo en el
sistema
Si la forma de Verificar que el dueño Implementar
pago del cliente de la tarjeta de crédito un desarrollo
es tarjeta de sea quien firma la que al # de demandas o
Fraude con tarjetas
crédito, ingresar autorización de débito identificar que reclamos de
Cobro de de crédito de Mitigar
datos de tarjeta 17 X 2 3 6 La tarjeta de crédito Automático 1 3 3 el pago de la clientes por
Hook Up clientes (cobros no el riesgo
de crédito en el pertenezca al subscripción cobros no
autorizados )
sistema de propietario del contrato será realizado autorizados.
preventas E- de servicio caso por un tercero,
Sales y realizar el contrario, la bloque el
160
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
cobro de forma autorización de débito registro de la
automática a debe estar firmada por venta y el
través de POS el titular de dicha sistema derive
Virtual. tarjeta. la revisión del
Automáticament caso a los
e el pago es analistas de
asociado a crédito de la
contrato en el compañía.
sistema ICC. Conciliación diaria
entre el cierre del POS
18 Cobros duplicados x 2 2 4 Manual 1 2 2 N/A N/A N/A
y las ventas registradas
en el sistema ICC
Automatizar la
Si la forma de verificación de
pago del cliente Procesamiento de cobro de HU
Bloqueo de la venta
es débito la venta sin el previo a la
mientras el sistema no Mitigar # de ventas sin
automático, 19 respectivo cobro de X 2 2 4 Automático 1 2 2 finalización de
confirme el cobro del el riesgo HU.
solicitar el HU (en el caso de la venta y
HU
depósito o Televentas) envió de la
transferencia del Orden de
valor de Trabajo
subscrición en Pérdida de nuevos
las cuentas clientes al cortar el Implementació #de preventas
bancarias de proceso de venta y n de POS Mitigar canceladas por
20 X 2 2 4 Cobro en línea del HU Automático 1 2 2
CORPORACIO enviar a los virtual para el riesgo falta de pago de
N CABLE TV. clientes a realizar el débito bancario HU.
depósito bancario
Finalización de
Conciliación de
la venta y Generación de
transacciones
generación de la 21 órdenes de X 1 2 2 Manual 1 2 2 N/A N/A N/A
financieras vs órdenes
orden de instalación ficticias
de instalación
instalación
Revisión y Procedimiento para Generar
Falta de análisis de
actualización de garantizar integridad en evidencia de
Facturació las reglas de Resultados de la
Prefacturaci las reglas de las pruebas de las pruebas Mitigar
ny 22 negocio para la X 2 2 4 Manual 1 2 2 auditoría de
ón negocio facturación cada que se ejecutadas en el riesgo
Ajustes facturación que procesos.
establecidas para ejecuten nuevas ofertas, la creación de
impacten en el
la facturación de campañas o productos ofertas,
161
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
productos y valor facturado a campañas y
servicios, así clientes productos.
como también
para la aplicación
de descuentos y
promociones.
Análisis
automático de
toda la base de
suscriptores
Previo Pago por Inconsistencias
medio del Robot detectadas por el
Prefacturador, robot pre Implementar
Correr reporte final de # Total de errores
buscando facturador que no evidencia del
robot Pre facturador y en el proceso de
posibles han sido corregidas reporte del
revisar que no exista Mitigar facturación / #
inconsistencias 23 por los dueños de X 2 3 6 Manual 1 3 3 robot
ninguna inconsistencia el riesgo errores derivados
en las reglas de procesos, que prefacturador
previo a la ejecución del proceso de
negocio generen fallas o sin
del paso de facturación prefacturación.
configuradas en errores en los inconsistencias
el sistema con el valores facturados
fin de notificar a a clientes
los dueños de
proceso para su
corrección en la
base
Generación
masiva de cargos
y descuentos en
Desarrollar
el sistema de
interface entre # Total de
facturación de la Errores o fraude en
Interface automática sistema de reclamos de
compañía para la el proceso de
para envío de base de facturación clientes / # de
emisión de la facturación debido Mitigar
Facturación 24 X 3 2 6 clientes para Automático 1 2 2 ICC y sistema reclamos de
base general de a manipulación en el riesgo
facturación electrónica de la compañía clientes por
clientes la base de clientes
o física encargada de errores en la
facturados y facturados
la facturación factura.
segmentación de
electrónica
la base de
clientes con
factura
162
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
electrónica y
factura Impresa.
Envío de Base a
Imprenta para la
emisión de
Facturas
Impresas
Base de datos de Cláusulas legales de
Envío de la base
clientes que puede confidencialidad en el
de clientes con 25 X 2 3 6 Manual 1 3 3 N/A N/A N/A
ser mal utilizada contrato de prestación
factura
por el proveedor de servicios
electrónica al
proveedor para
emisión y envío
de documentos
electrónicos
Implementar
Reclamos de
Envío al courier auditorías de
clientes por no
de la base de control en el
recepción de % Tendencias y
clientes para Ejecutar auditorías de courrier y atar Mitigar
26 factura que puede X 3 2 6 Manual 2 2 4 desvíos
distribución de control al courrier su el riesgo
generar sanciones injustificados
facturas cumplimiento
por parte del ente
impresas. al pago por el
regulador
servicio
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Los reclamos
financieros son Implementar
analizados todos los casos
inicialmente por de ajuste en la
ejecutivos de Criterio erróneo en herramienta de
# de ajustes
servicio al cliente el análisis, lo que Aplicativo que valide análisis y
financieros
determinando si podría generar un automáticamente los procesamiento
ejecutados por
proceden o no. incremento en la parámetros y permita o de ajustes, con Mitigar
28 X 3 2 6 Automático 1 2 2 usuario
En caso de no cantidad y monto bloquee el el fin de el riesgo
automático / #
proceder son de ajustes procesamiento de los eliminar la
Total de ajustes
derivados a financieros de ajustes financieros posibilidad de
financieros
segunda línea e clientes que los
verificación, asesores tomen
pudiendo llegar criterios
hasta una tercera inadecuados
línea.
Desarrollar
todos los casos
de ajustes
financieros en
Matriz automatizada de
el aplicativo y
aprobación de ajustes
adecuarlos a la
financieros por monto:
matriz de
-0 a 35 USD
aprobación por # de ajustes
Ejecutivos de atención
Ajustes financieros monto financieros
Aprobación o al cliente
no autorizados que Desarrollar un ejecutados por
rechazo de -35 a 200 USD Mitigar
29 originen pérdidas X 2 2 4 Automático 1 2 2 reporte de montos
reclamos Analistas de Reclamos el riesgo
económicas a la control para incorrectos / #
financieros Financieros
compañía asegurar que Total de ajustes
-200 a 1000 USD
los ajustes financieros
Gerente de Facturación
ejecutados en
y Cobranzas
el período
-Mayor a 1000 USD
fueron
Dirección Financiera
ejecutados de
acuerdo a la
matriz de
aprobación
164
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Aplicativo para el
Acceso para la análisis y
ejecución de procesamiento
transacciones automático de ajustes
Ejecución del financieras financieros con impacto
ajuste financiero (ajustes) a directo en las
o devolución al demasiados transacciones
30 X 3 2 6 Automático 1 2 2 N/A N/A N/A
cliente y emisión usuarios y a todo financieras del sistema
de la nota de nivel jerárquico lo ICC , con lo cual no es
crédito que podría necesario otorgar al
incrementar el personal accesos para la
riesgo de error o ejecución de
fraude transacciones
financieras
Desarrollar
Segmentación y interface entre
formateo de la Manipulación en la sistema de # de reclamos de
base de clientes base de clientes facturación clientes por
Interface automática
facturados por facturados previo al ICC y las errores en el
para envío de la base
Institución envío al cobro a las Instituciones Mitigar cobro por envío
31 X 3 3 9 de clientes a las Automático 1 2 2
Financiera , de instituciones Financieras, el riesgo de base errónea /
Instituciones financieras
acuerdo al financieras que den con l fin de # Total de
para el cobro
formato a lo lugar a error o aplicar los reclamos de
establecido por fraude cobros clientes.
cada Banco. automáticamen
Gestión de Recaudación
te
Recaudos masiva con
Envío de las
y Cuentas débito Uso indebido de
bases
por Cobrar automático información de Transferencia de
segmentadas y
clientes por falta de información encriptada
formateadas a 32 X 2 3 6 Automático 1 2 2 N/A N/A N/A
seguridades en el y por medio de un sitio
cada institución
envío de la seguro (https)
Financiera para
información
el cobro.
Aplicación en el # de reclamos de
Aplicación de cobros en Desarrollar
sistema de los Error en la clientes por
línea (Interface directa interface entre
pagos aplicación de pagos Mitigar errores en el
33 X 2 3 6 entre swicth Automático 1 3 3 sistema de
confirmados por o registro de pagos el riesgo cobro / # Total
transaccional y sistema facturación
cada institución indebidos de reclamos de
ICC) ICC y las
financiera. clientes.
165
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Instituciones
Financieras
Desarrollar
interface entre
Preparación de la
Manipulación en la sistema de
base para el
base de clientes facturación # de reclamos de
envío a la Interface automática
facturados previo al ICC y las clientes por
Institución para envío de la base
envío al cobro a las Instituciones Mitigar errores en el
Financiera con el 33 X 3 3 9 de clientes a las Automático 1 2 2
instituciones Financieras, el riesgo cobro / # Total
fin de realizar Instituciones financieras
financieras que den con l fin de de reclamos de
reintentos de para el cobro
lugar a error o aplicar los clientes.
cobro a clientes
fraude cobros
impagos.
automáticamen
te
Desarrollo de
Cliente se acerca
Actualización diaria de conexiones a
a los puntos
la base de clientes para través de un
autorizados de
Cobros duplicados ejecución de intentos de switch
recaudo y realiza
por ejecución de cobro. transaccional
el pago en caso # Total de cobros
débitos automáticos con las Mitigar
de realizar el 34 X 2 2 4 Automático 1 2 2 en línea / # Total
en clientes que han Conexión para instituciones el riesgo
pago en bancos de cobros.
realizado pago por aplicación de pagos en financieras
notifica o
ventanilla línea con todas las para aplicación
confirma el
instituciones financieras de pagos en
Recaudación depósito para que
y de recaudo línea en el
en este sea aplicado
sistema ICC
Ventanilla
Desarrollo de
conexiones a
# Reclamos por
través de un
Conexión para errores o
switch
Aplicación del Cobros no aplicación de pagos en duplicación en
transaccional Mitigar
pago en el 35 aplicados o mal X 2 2 4 línea con todas las Automático 1 2 2 cobros/ # Total
con las el riesgo
sistema aplicados instituciones financieras de cobros
instituciones
y de recaudo efectuados en el
financieras
período.
para aplicación
de pagos en
166
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
línea en el
sistema ICC
Reclamos de
clientes por
mantener mensajes
de mora en su
Eliminación de Reportes periódicos
pantalla o el
OSD y/o para revisar el
servicio
reconexión de 36 X 2 2 4 funcionamiento Automático 1 2 2 N/A N/A N/A
desconectado, lo
señal de ser el adecuado del proceso
que pueden generar
caso. automático de arrears
pérdidas
económicas por
sanciones del
regulador
Definir campañas y
Auditorías
estrategias que no
sobre el
impacten
Procedimiento de cumplimiento
positivamente en el
Definir objetivos análisis para la creación del
cumplimiento de Mitigar Auditorías de
y estrategias de 37 X 2 3 6 o actualización de Manual 1 3 3 procedimiento
las metas de cobro el riesgo Procesos.
cobranza objetivos y campañas de análisis de
e incluso afecten
de cobranza objetivos y
los márgenes de
Gestión de campañas de
rentabilidad
Cobro cobranza
esperados.
Proceso diario de
Bases de datos Implementar
Generar base de actualización de bases # Total de
desactualizadas o procedimiento
datos de clientes de datos para cobranza clientes
erróneas que para la Mitigar
que requieren 38 X 2 2 4 Manual 1 2 2 contactados / #
generen generación el riesgo
gestión de Automatización para la Total de clientes
ineficiencias en la diaria de la
cobranza generación de bases e cobrados.
gestión de cobro base de datos
datos
167
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Fallas en el
Aplicativo de
Envío automático arrears para el Reportes de control
de mensajes envío de mensajes periódicos para
OSD solicitando 39 OSD a clientes, lo X 2 3 6 asegurar el Automático 1 3 3 N/A N/A N/A
pago a todos los que puede impactar funcionamiento
clientes impagos. en la gestión de adecuado del OSD
cobranza y el nivel
de churn
Desconexión Fallas en el
automática de Aplicativo de
señal a clientes arrears para la Reportes de control
impagos a los 33 desconexión del periódicos para
días de vencida servicio a clientes asegurar el
40 X 2 3 6 Automático 1 3 3 N/A N/A N/A
la factura (En con deuda, lo que funcionamiento
este feriado ya se puede impactar en adecuado de las
ha generado una la eficiencia de desconexiones
nueva gestión de cobranza
facturación) y el nivel de churn
Índices elevados de
no contactabilidad Implementar # de clientes
Campañas de
lo que impide campañas de Mitigar contactados / #de
41 X 3 2 4 actualización de bases Manual 3 2 6
realizar una actualización el riesgo clientes de la
de datos de clientes
adecuada gestión de datos base de cobro.
de cobranza
Gestión de
Reporte de tendencias
Recuperación Mala gestión de
de cobro por asesor con
telefónica cobranza por parte
el fin de generar
de los ejecutivos lo
retroalimentación
42 que puede impactar X 2 2 4 Manual 1 2 2 N/A N/A N/A
periódica y oportuna
en la eficiencia de
sobre técnicas y calidad
cobro y nivel de
en la llamada de
churn
cobranza
168
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Generación de
Orden de
recupero de
equipos a los 62
días de vencida
la factura y
Implementar # Total de
Envío a un Equipos no
Proceso para cobranza procedimiento equipos
tercero de la recuperados que Mitigar
43 X 2 2 4 de equipos no Manual 1 2 2 para cobranza cobrados/ # Total
Cartera de implican pérdidas el riesgo
recuperados de equipos no de equipos por
clientes para la compañía
recuperados recuperar
desconectados y
con orden de
recupero de
equipos para
gestión de
recaudo
Aprobación formal
Registro de la Error en el cálculo
sobre el cálculo de
provisión para 45 de la provisión para X 1 2 2 Manual 1 2 2 N/A N/A N/A
provisión para
incobrables cuentas incobrables
incobrables
Personal no
Autorización de perfiles
Administr Creación o autorizado que
Administraci de acceso de la
ación de Actualización de ejecute cambios o
ón de Gerencia de Control
aplicación perfiles de 47 registros en el X 3 3 9 Manual 1 3 3 N/A N/A N/A
aplicación de Interno
de acceso al Sistema sistema que
ingresos Auditoría de accesos al
Ingresos de Ingresos conlleven a fraude
sistema de ingresos
o errores
169
Referencias:
Bibliografía básica:
Chorafas Dmitris N., Operational Risk Control whith Basel II, Elsevier Butterworth-
Heinemann, Primera Edición, año 2004.
Comité de Supervisión Bancaria de Basilea, Declaración de Principios del Comité para
la reglamentación bancaria y las prácticas de vigilancia de Basilea sobre la
prevención de la utilización del sistema bancario para fines de reciclaje de fondos
derivados de actividades ilegales, diciembre 2004.
Melendez, T. Juan, Métodos de Evaluación de Control Interno, Universidad “Los
Ángeles” de Chimbote, Curso: control interno, Facultad de Ciencias Contables y
Financieras, Escuela Profesional de Contabilidad, México, 2010.
Mendoza A & Castillo M., Diseño de una Metodología para la identificación y la
medición del Riesgo Operativo en Instituciones Financieros, Universidad de los
Andes, Bogotá Colombia.
Rivas, Glenda, Modelos contemporáneos de control interno. Fundamentos teóricos,
Observatorio Laboral Revista Venezolana Vol. 4, Nº 8, julio-diciembre, 2011:
115-136 Universidad de Carabob
Santillana, Juan Ramón: Establecimiento de Sistemas de Control Interno, 1ra edición,
2001.
Sulca, Gabriela; Becerra, Efraín, Espinosa, Veónica, Control Interno, COSO II,
Auditoría, Biblioteca Repositorio Digital, Facultad de Ciencias Administrativas,
Escuela de Contabilidad y Auditoría, disponible en:
https://drive.google.com/drive/folders/0B3gftDYAF3gZUFNsWFRJTEc3ZHM
Bibliografía complementaria:
Netgrafía:
1. http://es.wikipedia.org/wiki/Riesgo_de_cr%C3%A9dito
2. http://es.wikipedia.org/wiki/Basilea_II
3. https://dspace.ups.edu.ec/bitstream/123456789/13237/1/UPS-
GT001732.pdf
4. https://www2.deloitte.com/gt/es/pages/about-deloitte/topics/deloitte-en-
medios/controles-internos-tributarios-a-nivel-empresarial-parte-i.html
5. https://actualicese.com/control-interno-tipos-de-control-y-sus-elementos-
basicos/#:~:text=El%20control%20interno%2C%20de%20acuerdo,de%20l
a%20informaci%C3%B3n%20financiera%20y