Ca4-Unidad Didactica-Control Interno

1
UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS
MODALIDAD PRESENCIAL
SEMESTRE: 2022 - 2022
UNIDAD DIDÁCTICA
CONTROL INTERNO
Nivel: CUARTO
Número de créditos: 4
TUTOR:
Dra. María Angélica García Salazar
Quito – Ecuador
2
ÍNDICE
Introducción .................................................................................................................... 6
Importancia del Control Interno .................................................................................. 8
Relaciones con otras especialidades .............................................................................. 9
UNIDAD 1 ..................................................................................................................... 11
1. Control Interno .................................................................................................... 11
1.1. Definición de Control Interno ................................................................................. 11
1.2. Principios de Control Interno .................................................................................. 11
1.3. Objetivos de Control Interno ................................................................................... 13
1.4. Elementos ................................................................................................................ 14
UNIDAD 2 ..................................................................................................................... 16
2. Modelos de Control Interno................................................................................. 16
2.1. Introducción ............................................................................................................ 16
2.2. Modelo COSO ......................................................................................................... 16
2.2.1. Primer componente: Ambiente de Control ........................................... 17
2.2.2. Segundo componente: Evaluación de los Riesgos ................................ 19
2.2.3. Tercer Componente: Actividades de Control ....................................... 20
2.2.4. Cuarto componente: Información y comunicación ............................... 21
2.2.5. Quinto componente: Monitoreo ............................................................ 21
2.3. Modelo COCO ........................................................................................................ 22
2.3.1. Primer Grupo: Propósito ....................................................................... 24
2.3.2. Segundo grupo: Compromiso ............................................................... 24
2.3.3. Tercer grupo: Aptitud ........................................................................... 25
2.3.4. Cuarto grupo: Evaluación y Aprendizaje .............................................. 25
2.4. Modelo MICIL ........................................................................................................ 26
2.4.1. Primer Componente: Entorno o ambiente de control y trabajo
institucional ........................................................................................................ 27
2.4.2. Segundo componente: Evaluación de riesgos para obtener objetivos .. 28
2.4.3. Tercer Componente. Actividades de control para minimizar riesgos ... 29
2.4.4. Cuarto componente: Información y comunicación para fomentar la
transparencia ....................................................................................................... 31
2.4.5. Quinto componente: Supervisión interna continua y externa periódica 31
3
2.5. Metodología COSO ERM ....................................................................................... 32

2.5.1. Definición ............................................................................................. 33
2.5.2. Componentes ........................................................................................ 34
2.6. Riesgo Operativo ..................................................................................................... 35
2.6.1. Definición de Riesgo Operativo ........................................................... 35
2.6.2. Principios del Riesgo Operativo ........................................................... 36
2.6.3. Factores del riesgo operativo ................................................................ 38
UNIDAD 3 ..................................................................................................................... 42
3. Métodos de Evaluación de Control Interno ........................................................ 42
3.1. Introducción ............................................................................................................ 42
3.2. Método Descriptivo o Narrativo............................................................................. 43
3.2.1. Ejemplo ................................................................................................. 43
3.3. Método de Cuestionario .......................................................................................... 45
3.3.1. Características de redacción.................................................................. 46
3.3.2. Criterios de apoyo ................................................................................. 46
3.3.3. Tipos de preguntas ................................................................................ 47
3.3.4. Ejemplo ................................................................................................. 48
3.4. Método de Flujograma (Diagrama de Flujo) ........................................................... 50
3.4.1. Técnicas de Diagramación .................................................................... 50
3.4.1.1. Diagramas de flujo de procesos ........................................................ 50
3.4.1.2. Diagramas de causa y efecto (Diagrama de Ishikawa) ..................... 53
3.4.1.3. Diagrama de Ciclo de Ventas............................................................ 53
3.5. Técnicas de Control Interno .................................................................................... 54
3.5.1. ¿Qué entendemos por Técnicas en control?.......................................... 55
3.5.2. ¿Qué beneficios proporciona la aplicación de Técnicas en el ejercicio
del control? ......................................................................................................... 55
3.5.3. Tipos de técnicas de Control Interno .................................................... 55
3.5.3.1. Observación ...................................................................................... 55
3.5.3.2. Inspección ......................................................................................... 56
3.5.3.3. Revisión analítica .............................................................................. 57
3.5.3.4. Examen de exactitud ......................................................................... 59
3.5.3.5. Comprobación ................................................................................... 60
3.5.3.6. Conciliación ...................................................................................... 61
4
3.5.3.7. Análisis de saldos y movimientos ..................................................... 63

3.5.3.8. Confirmación .................................................................................... 63
3.6. El Control Interno contable, tributario y administrativo ......................................... 65
3.6.1. Control Interno contable ....................................................................... 65
3.6.2. Control Interno tributario ...................................................................... 66
3.6.3. Control Interno administrativo.............................................................. 67
UNIDAD 4 ..................................................................................................................... 68
4. Caso de aplicación práctica metodología COSO ERM o COSO II .................... 68
4.1. Datos Generales Caso Práctico - Corporación Cable TV ........................................ 68
4.2. Productos y servicios ............................................................................................... 68
Canales Video Estándar .................................................................................. 68
Canales Video Alta definición........................................................................ 68
Canales Audio ................................................................................................ 68
Canales P ........................................................................................................ 68
Estándar .......................................................................................................... 69
Alta definición ................................................................................................ 69
4.3. Mapa de procesos .................................................................................................... 69
4.3.1. Metodología COSO ERM ó COSO II– Aplicación práctica ............... 73
4.3.2. Objetivo ................................................................................................ 73
4.3.3. Alcance ................................................................................................. 73
4.3.4. Proceso de Gestión................................................................................ 74
4.3.4.1. Ambiente Interno .............................................................................. 74
4.3.4.2. Establecimiento de objetivos ............................................................ 74
4.3.4.3. Identificación de eventos .................................................................. 75
4.3.4.4. Evaluación de riesgos........................................................................ 75
4.3.4.5. Respuesta al riesgo ............................................................................ 75
4.3.4.6. Actividades de control ...................................................................... 75
4.3.4.7. Información y comunicación ............................................................ 75
4.3.4.8. Supervisión........................................................................................ 75
4.3.5. Estructura de la Gestión de control interno y riesgo empresariales ...... 75
4.3.6. Recursos ................................................................................................ 76
4.3.7. Estructuras de responsabilidad.............................................................. 76
4.3.7.1. Estructura Estratégica ....................................................................... 76
5
4.3.7.2. Estructura Táctica ............................................................................. 77

4.3.7.3. Estructura Operativa ......................................................................... 77
4.3.8. Roles y Responsabilidades.................................................................... 77
4.4. Metodología para la implementación del proceso de gestión de control interno en
los procesos de ingresos y egresos ...................................................................................... 79
4.4.1. Identificación de Riesgos ...................................................................... 80
4.4.2. Valoración de Riesgos .......................................................................... 80
4.4.3. Mapa de Riesgo .................................................................................... 82
4.4.4. Control y Monitoreo ............................................................................. 83
4.5. Gestión del sistema de control interno, para los procesos de ingresos y gastos en
Corporación Cable TV Cía. Ltda. ....................................................................................... 85
4.5.1. Análisis de la Base de Datos Institucional ............................................ 85
4.5.2. Análisis del ambiente interno ............................................................... 90
4.5.3. Análisis de los Objetivos del negocio ................................................... 96
4.6. Matriz de Evaluación del Riesgo........................................................................... 100
Referencias: ................................................................................................................. 169

6
Introducción
La alta competitividad del mercado ha impulsado a varias compañías a incursionar en la

creación y oferta de una diversidad de productos y servicios con el fin de apalancar su
crecimiento, lo cual ha aumentado la complejidad de sus operaciones y de su perfil de
riesgo. En este sentido, una adecuada administración y supervisión del control interno es
uno de los desafíos más grandes a los que se enfrentan las compañías hoy en día. Vale la
pena resaltar que la gestión de los riesgos, no hace otra cosa más que buscar la protección
de los recursos de la entidad y el logro de sus objetivos.
Desde este enfoque es importante que las empresas cuenten con herramientas que le
permitan fortalecerse dentro de una cultura de gestión de control interno y riesgo
empresariales, basándose en las mejores prácticas mundiales y teniendo en cuenta
siempre que la gestión de riegos y la gestión de control interno van de la mano y
garantizan la transparencia y confiabilidad en las operaciones, minimizando la posibilidad
de la ocurrencia de fraude y error en la gestión operativa de los procesos, sistemas,
personas y factores externos.
La constante implementación y mejora tecnológica, sistemas y procesos así como las

operaciones naturales de cualquier compañía traen consigo un sin número de riesgos que
pueden encasillarse claramente en riesgos operativos, ya que: “El riesgo operativo se
7
define como la posibilidad de sufrir pérdidas debido a la inadecuación o a fallos de los

procesos, personas o sistemas internos o bien a causa de acontecimientos externos, esta
definición también engloba el riesgo legal, pero excluye los riesgos estratégico y de
reputación”.
Bajo este contexto, es importante que las compañías comprendan a qué se refiere el riesgo
operativo para poder llevar a cabo una administración y un control efectivo de esta
categoría de riesgo. La administración de este tipo de riesgos requiere sin duda de la
adopción de metodologías y herramientas que ayuden a identificar, evaluar, transferir,
mitigar, aceptar, eliminar y monitorear cada uno de los riesgos.
Haciendo un breve recuento histórico, recordemos como desde 1992, con la publicación
del Informe COSO, ya se indicaba que las compañías necesariamente dentro de su
actividad normal se veían enfrentadas a una variedad de riesgos, los cuales debían
valorarse a través de la identificación y el análisis de riesgos relevantes para la
consecución de los objetivos de la entidad, formando así una base para determinar cómo
administrar los riesgos.
Por otro lado, la metodología COSO se crea con el objeto de ayudar a las entidades a
evaluar y mejorar sus sistemas de control interno, facilitando un modelo en base al cual
pudieran valorar sus sistemas de control interno y generando una definición común de
control interno. Según COSO se define al Control Interno como un proceso llevado a
cabo por la dirección y el resto del personal de una entidad, diseñado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos
dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones, confiabilidad
de la información financiera y cumplimiento de las leyes, reglamentos y normas que sean
aplicables.
Ya en el año 2004, el Comité COSO publica un nuevo marco de gestión integral de Riesgo
COSO Enterprise Risk Management (ERM), capaz de abordar la gestión de riesgo de las
empresas con un enfoque integrador y que genere una verdadera oportunidad de creación
de valor para sus stakeholders.
Por lo tanto, COSO ERM se traduce en una guía para la gestión de control interno y riesgo
empresariales misma que está conformada por ocho componentes: ambiente de control,
8
establecimiento de objetivos, identificación de eventos, evaluación de riesgo, respuesta

al riesgo, actividades de control, información y comunicación, y monitoreo.
Tomando en consideración la necesidad que ha surgido a lo largo de estos años de crear

todas estas guías de nivel mundial, resulta cada vez más evidente la importancia de que
los riesgos sean gestionados adecuadamente con el fin de evitar, afectar
significativamente el logro de los objetivos de una organización.
Importancia del Control Interno
El Control Interno contribuye a la seguridad del sistema contable que se utiliza en la

empresa, fijando y evaluando los procedimientos administrativos, contables y financieros
que ayudan a que la empresa realice su objeto. Detecta las irregularidades y errores y
propugna por la solución factible evaluando todos los niveles de autoridad, la
administración del personal, los métodos y sistemas contables para que así el auditor
pueda dar cuenta veraz de las transacciones y manejos empresariales.
Desde tiempos remotos, el ser humano ha tenido la necesidad de controlar sus

pertenencias y las del grupo del cual forma parte, por lo que de alguna manera se tenían
tipos de control para evitar desfalcos; por tal situación, es necesario que una empresa
9
establezca un control interno, ya que con esto se logra mejorar la situación financiera,
administrativa y legal.
Se dice que el control interno es una herramienta surgida de la imperiosa necesidad de

accionar proactivamente a los efectos de suprimir y/o disminuir significativamente la
multitud de riesgos a las cuales se hayan afectadas los distintos tipos de organizaciones,
sean estos privados o públicos, con o sin fines de lucro. Partiendo de esto mencionamos
la siguiente interpretación del control interno:
Es la base donde descansan las actividades y operaciones de una entidad; es decir, que las
actividades de producción, distribución, financiamiento, administración, entre otras, son
regidas por el control interno; además, es un instrumento de eficiencia y no un plan que
proporciona un reglamento tipo policíaco o de carácter tiránico.
El mejor sistema de control interno es aquel que no daña las relaciones de empresa-
clientes y mantiene en un nivel de alta dignidad humana las relaciones de dirigentes y
subordinados; su función es aplicable a todas las áreas de operación de los negocios, de
su efectividad depende que la administración obtenga la información necesaria para
seleccionar las alternativas que mejor convengan a los intereses de la entidad.
Relaciones con otras especialidades

10
A través del control interno contable se planifican varias actividades de control, entre
ellas la planificación de la auditoría, el alcance de las pruebas sustantivas, etc.; en sí toda
la gestión requiere de procedimientos de control y revisión, por tanto el control interno es
transversal en todos los procesos y procedimientos de las empresas, y su aplicación es
macro, relacionándose con algunas asignaturas.
- Con la contabilidad financiera
- Con la economía
- Con la administración financiera
- Con el marketing
- Con la informática
11
UNIDAD 1
1. Control Interno
1.1. Definición de Control Interno
Según Santillana el control interno se define como: “El Control Interno comprende el
plan de organización y todos los métodos y procedimientos que en forma coordinada son
adoptados por una entidad para salvaguardar sus activos, verificar la razonabilidad y
confiabilidad de su información financiera y la complementaria administrativa y
operacional, promover la eficiencia operativa y estimular la adhesión a las políticas
prescritas por la administración”1
1.2. Principios de Control Interno
Para lograr establecer un eficaz sistema de control interno, se debe tomar en cuenta
previamente la organización de la entidad sobre la base de los siguientes principios:
a) División del trabajo: En ningún caso una sola persona tendrá el control íntegro de una
operación, para procesar cada tipo de transacción el control interno debe pasar por cuatro
etapas separadas:
• Autorizada.
• Aprobada.
• Ejecutada.
• Registrada.
De modo tal que garantice que los responsabilizados con la custodia de los medios y la
elaboración de los documentos primarios no tengan autoridad para aprobar los mismos y
que ambos no tengan la función o posibilidad de efectuar anotaciones en los registros
contables de esta forma el trabajo de una persona es verificado por otra que trabaja
independiente y que al mismo tiempo verifica la operación realizada posibilitando la
detección de errores.
1
SANTILLANA, Juan Ramón: Establecimiento de sistemas de Control Interno, 1ra edición, 2001, p3.
12
b) Fijación de responsabilidad: Garantizar que los procedimientos inherentes al control

de las operaciones económicas, así como la elaboración y aprobación de los documentos
pertinentes, permitan determinar en todos los casos, la responsabilidad primaria sobre
todas las anotaciones y operaciones llevadas a cabo. Se deben proveer las funciones de
cada área, así como las consecuentes responsabilidades de cada uno de los integrantes de
la misma, teniendo en cuenta que la autoridad es delegable, no siendo así la
responsabilidad.
c) Cargo y descargo: “Debe garantizarse que todo recurso o servicio recibido o entregado
sea registrado, o sea lograr que se contabilicen los cargos de todo lo que entra y descargos
de todo lo que sale, lo cual servirá de evidencia documental que precise quién lo ejecutó,
aprobó, registró y verificó.
Debe quedar bien claro en qué forma y momento una cuenta recibe los créditos y los
débitos, es por ello que toda anotación que no obedezca a las normas de una cuenta se
debe investigar en detalle.
La supervisión de las operaciones reflejadas en cada cuenta y subcuenta o análisis en

forma sistemática, por personal independiente al que efectúa dichas anotaciones,
permitirá observar si las operaciones registradas se corresponden con el contenido de cada
cuenta.
Resulta conveniente además aplicar la práctica de rotar a los trabajadores en sus distintos
puestos de trabajos teniendo en cuenta sus conocimientos y nivel ocupacional, lo que
limita los riesgos de la comisión de fraudes viabilizando su descubrimiento en caso de
producirse éstos y tiene además la ventaja de aumentar la eficiencia del trabajo al
conseguir un entrenamiento más integral.”2
Los principios de Control Interno en general pueden resumirse en cinco puntos

principales:
2
LÓPEZ, Toledo Martha; Control Interno, Cuba, 2003, p.38
13
• Separación de funciones de operación, custodia y registro.

• Dualidad de personas en cada operación, es decir al menos dos personas
deben intervenir directamente en cada operación.
• Ninguna persona debe tener acceso directo a registros contables que
controlan su actividad.
• El trabajo de los empleados será complementario y no de revisión.
• El Departamento de Contabilidad será el único encargado del registro de
las operaciones de la empresa.
1.3. Objetivos de Control Interno
Desde el punto de vista de informe COSO los objetivos del control interno son:
1. Eficacia y eficiencia de las operaciones
2. Fiabilidad de la información financiera
3. Cumplimiento de las leyes y normas aplicables
El primer numeral se enfoca a los objetivos de la entidad inclusive a las metas de

desempeño y capacidad de ganancia y salvaguarda de errores. El segundo se relaciona
con la presentación de los estados financieros de una forma oportuna y adecuada. El
tercero corresponde a las políticas y normas que la entidad se sujeta para cumplir los
objetivos de mejor manera.
Con el control interno la entidad podrá cumplir los objetivos de desempeño, podrá
aumentar la capacidad de ganancia y además prevé la pérdida de recursos.
También puede asegurar la cobertura financiera, ayuda a que la empresa se conforme con
las leyes y regulaciones, evitando el daño a su prestigio y otras consecuencias. Es decir,
permite a una entidad llegar a donde quiere ir, evitando fraudes.
De manera más detallada se puede exponer que los objetivos de Control Interno son los
siguientes:
• Prevenir fraudes
• Descubrir robos malversaciones de fondos
14
• Obtener información administrativa, contable y financiera, oportuna y

confiable
• Detectar errores administrativos, contables y financieros
• Proteger y salvaguardar los bienes, valores y demás activos de la empresa
• Promover la eficiencia del personal
• Detectar desperdicios materiales y de tiempo en operaciones de la empresa
• Mediante la evaluación al control interno se puede graduar la extensión del
análisis; pruebas y estimación de cuentas sujetas a ser auditadas, etc.
1.4. Elementos
Para que la administración pueda lograr los objetivos de control interno de la entidad, es
necesario aplicar los siguientes elementos:
Ambiente de control: Está dado por los valores, la filosofía, la conducta ética y la
integridad dentro y fuera de la organización. Es necesario que el personal de la Empresa,
los clientes y las terceras personas relacionadas con la compañía, los conozcan y se
identifiquen con ellos.
Evaluación de riesgos: Consiste en la identificación de los factores que podrían hacer

que la entidad cumpla sus objetivos propuestos. Cuando se identifiquen los riesgos,
éstos deben gestionarse, analizarse y controlarse.
Procedimientos de control: Son emitidos por la dirección y consisten en políticas y

procedimientos que aseguran el cumplimiento de los objetivos de la entidad y que son
ejecutados por toda la organización. Además de brindar las medidas necesarias para
afrontar los riesgos.
Supervisión: Mediante un monitoreo continúo efectuado por la administración se evalúa

si los funcionarios realizan sus tareas de manera adecuada o si es necesario realizar
cambios. La supervisión comprende supervisión interna (Auditoría Interna) por parte de
las personas de la empresa y evaluación externa (Auditora Externa) que la realizan entes
externos de la Empresa.
15
Sistemas de información y comunicación: Se utilizan para identificar, procesar y

comunicar la información al personal, de tal manera que le permita a cada empleado
conocer y asumir sus responsabilidades. La alta administración debe transmitir mensajes
claros acerca de las actividades de la entidad y de la gestión y control que se realizan en
cada una de ellas. Igualmente, se puede obtener información de fuentes externas para
mejorar los controles y comunicar cualquier anomalía a la administración.
16
UNIDAD 2
2. Modelos de Control Interno
2.1. Introducción
A partir de la década de los noventa, los nuevos modelos desarrollados en el campo del
control están definiendo una nueva corriente del pensamiento, con una amplia concepción
sobre la organización, involucrando una mayor participación de la dirección, gerentes y
personal en general de las organizaciones a nivel mundial. Estos modelos han sido
desarrollados con la idea de que representen fuertes soportes del éxito de la organización,
siempre que los mismos sean llevados con el criterio y la perspicacia necesaria de parte
del profesional.
Se han publicado diversos modelos de Control, así como numerosos lineamientos para un
mejor gobierno corporativo. Los modelos más conocidos son: el COSO (USA), el COCO
(Canadá), el Cadbury (Reino Unido), el Vienot (Francia), el Peters (Holanda), King
(Sudáfrica) y MICIL (adaptación del COSO para Latino- américa).
Los modelos COSO, COCO y MICIL son los más adoptados en las empresas del
continente americano; es por ello que el análisis de los fundamentos teóricos de los
modelos contemporáneos de control Interno que se presenta a continuación centra su
atención en los mismos.
2.2. Modelo COSO
Se iniciará el recorrido ubicando al lector en el denominado informe COSO (Committee

of Sponsoring organizations) comisionado por los cinco organismos profesionales
financieros más importantes de los Estados Unidos, fue definido en 1992; tras cinco años
de estudio y discusión, surgiendo un nuevo marco conceptual del control interno con el
objetivo fundamental de integrar las diversas definiciones y conceptos vigentes para este
momento.
A nivel organizacional, se realza la necesidad de que la alta dirección y el resto de la

organización comprendan cabalmente la trascendencia del control interno, la incidencia
del mismo sobre los resultados de su gestión, el papel estratégico a conceder a la auditoría
17
y esencialmente la consideración del control como un proceso integrado a las operaciones

de la empresa y no como un conjunto de reglas
A nivel normativo, pretende plantear y normas rígidas, compuesto por mecanismos

burocráticos. Una referencia conceptual común a nivel de auditoría interna, externa, en
los ámbitos académicos o legislativos, lo cual hasta ahora resultaba complejo, dada la
multiplicidad de definiciones y conceptos divergentes que han existido sobre control
interno.
De acuerdo al marco integrado de control interno COSO (Modelo COSO), el control
interno consta de cinco categorías o componentes que la administración diseña y aplica
para proporcionar una seguridad razonable de que sus objetivos de control se llevaran a
cabo de manera adecuada.
Estos componentes son: (1) Ambiente de Control; (2) Evaluación de los Riesgos; (3)
Actividades de Control; (4) Información Y comunicación; y (5) Monitoreo. A
continuación, se muestra en detalle el significado de cada uno de estos componentes.
2.2.1. Primer componente: Ambiente de Control
Ambiente de control de una empresa, es la actitud general de sus administradores y

empleados hacia la importancia del control interno. Consiste en acciones, políticas y
procedimientos que reflejan las actitudes generales de los altos niveles de la
administración, directores y propietarios de una entidad en cuanto al control interno y
su importancia para la organización, tiene gran influencia en la manera como se
estructuran las actividades de una empresa, se establecen los objetivos y se valoran los
riesgos. Es por ello que, es considerado el fundamento o la base del resto de los
componentes de control interno.
De acuerdo a Whittington, y Pany (2005: 214), el ambiente de control “crea el tono de la

organización a influir en la conciencia de control. Puede verse como el fundamento del
resto de los componentes”. Es por ello, que se puede decir que, un efectivo ambiente de
control puede ayudar a mitigar la probabilidad de irregularidades, así como un ambiente
de control débil puede reducir la efectividad de otros componentes de control interno.
18
En el ambiente de control se distinguen siete factores a considerar: (1) Integridad y

valores éticos; (2) Compromiso por la competencia; (3) Consejo de directores o comité
de auditoría; (4) Filosofía y estilo operativo de la gerencia; (5) Estructura organizacional;
(6) Asignación de autoridad y responsabilidades y; (7) Políticas y procedimientos de
recursos humanos. A continuación, se detalla el significado de cada uno de los factores
del ambiente de control mencionados anteriormente.
• Integridad y valores éticos: son el resultado de las normas éticas y de conducta

de la empresa, así como la forma en que éstos se comunican y refuerzan en la
práctica. Incluyen las acciones de la administración para eliminar o reducir
iniciativas o tentaciones que podrían llevar al personal de la empresa a cometer
actos deshonestos, ilegales o poco éticos.
• Compromiso por la competencia: Cuando se habla de competencia se hace
referencia al conocimiento y las habilidades que son necesarias para cumplir con
una determinada tarea. Cada individuo que hace vida profesional dentro de una
empresa posee una serie de habilidades y destrezas, que al combinarlas con sus
conocimientos sobre un área le permite ejecutar una actividad dentro de una
empresa. Arens, Elder y Beasley (2007: 275) “el compromiso con la
competencia comprende la consideración de los niveles de competencia para
trabajos específicos y la forma en que estos niveles se traducen en habilidades y
conocimientos necesarios”.
• Consejo de directores o comité de auditoría: Este debe integrarse con
miembros independientes que no sean funcionarios ni empleados y que tampoco
tengan otras relaciones con la empresa que puedan desviar su independencia, ya
que de esta manera podrá cumplir con su función de super- visión sobre los
reportes financieros, e impedir que los ejecutivos dejen a un lado los controles
existentes y se comentan actos deshonestos.
• Estructura organizacional: se considera otro factor del ambiente de control, ya
que una estructura organizacional bien diseñada ofrece la base para planear,
dirigir y controlar las operaciones. Es considerada el marco de la planeación y
control de las operaciones.
• Filosofía y estilo operativo de la gerencia: abarca el enfoque de la gerencia
para monitorear riesgos del negocio; las actitudes y acciones de la gerencia hacia
19
el reporte financiero y hacia el procesamiento de la información, funciones

contables y el personal.
• Asignación de autoridad y responsabilidad: incluye cómo se asignan la
autoridad y responsabilidad por las actividades operativas y cómo se establecen
las relaciones de reporte y las jerarquías de autorización.
• Políticas y prácticas de recursos humanos. Incluye el conjunto de
lineamientos, normas, políticas y procedimientos relacionados con la
contratación, orientación, entrenamiento, evaluación, asesoría, promoción,
compensación y acciones de corrección.
2.2.2. Segundo componente: Evaluación de los Riesgos
La evaluación de los riesgos sirve para describir el proceso con que los ejecutivos
identifican, analizan y administran los riesgos de negocio que puede enfrentar una
empresa y el resultado de ello. Mantilla (2005: 39) comenta que el significado de la
valoración de riesgos se orienta en la siguiente idea: “La valoración de riesgos es la
identificación y análisis de los riesgos relevantes para la consecución de los objetivos,
formando una base para la determinación de cómo deben administrarse los riesgos. Dado
que las condiciones económicas, industriales, reguladoras y de operación continuarán
cambiando, se necesitan mecanismos para identificar y tratar los riesgos especiales
asociados con el cambio”.
Todas las empresas, independientemente de su tamaño, estructura, naturaleza o clase de

industria, enfrentan riesgos en todos los niveles. Los riesgos afectan la destreza de la
entidad para sobrevivir. Por lo que, la identificación de los objetivos es una condición
previa para la valoración de riesgos. Primero, deben definirse los objetivos a fin de que
la administración pueda identificar los riesgos y determinar las acciones necesarias para
administrar. La definición de objetivos es una parte clave del proceso administrativo por
ser requisito previo para un control interno eficaz.
De acuerdo a Whittington, y Pany (2005; 218), los siguientes factores podrían indicar un
mayor riesgo a la empresa: “- Cambios en el ambiente de operaciones;
- Personal nuevo;
20
- Sistemas de información nuevos o reconstruidos;

- Crecimiento rápido; Tecnología nueva;
- Líneas de productos o actividades nuevas;
- Reestructuración corporativa;
- Operaciones en el extranjero”.
2.2.3. Tercer Componente: Actividades de Control
Son las políticas y procedimientos que ayudan a asegurar que se están llevando a cabo las
directrices administrativas. Se establecen con el propósito de garantizar que las metas de
la empresa se alcancen. Las actividades de control consideradas en la estructura
conceptual integrada COSO son las siguientes:
• Revisiones de alto nivel, incluye la comparación del desempeño contra

presupuestos, pronósticos, etc.
• Procesamiento de la información, se realiza una variedad de controles a fin de
verificar la precisión, integridad y autorización de las transacciones.
• Funciones directas o actividades administrativas, los administradores dirigen las
funciones o las actividades revisando informes de desempeño.
• Controles físicos, Equipos, inventarios y otros activos se aseguran físicamente en
forma periódica son contados y comparados con las cantidades presentadas en los
registros de control.
• Indicadores de desempeño, relacionar unos con otros los diferentes conjuntos de
datos operacionales o financieros, además de analizar las interrelaciones e
investigar y corregir las acciones.
• Segregación de responsabilidades, para reducir el riesgo de error o de acciones
inapropiadas. Para ello existen cuatro guías generales que orientan la segregación
adecuada de las responsabilidades:
1. Contabilidad separada de la custodia de los activos financieros;

2. Custodia de activos relacionados separados de la autorización de
operaciones;
3. Responsabilidad operativa separada de la responsabilidad de registro
contable;
21
4. Deberes y responsabilidades del departamento de tecnología de

información separado de los departamentos de usuarios.
2.2.4. Cuarto componente: Información y comunicación
La información y la comunicación son elementos esenciales en una estructura de control

interno. La información acerca del ambiente de control, la evaluación de los riesgos y los
procedimientos de control y la supervisión son necesarios para que los administradores
puedan dirigir las operaciones y garantizar que sean puesto en práctica las normativas
legales, reglamentarias y de información.
Este componente de control interno se refiere a los métodos empleados para identificar,
reunir, clasificar, registrar e informar acerca de las operaciones de la entidad y para
conservar la contabilidad de los activos relacionados.
En relación a este componente, Mantilla (2005: 71) comenta que: “… El sistema de

información produce documentos que tienen información operacional, financiera y
relacionada con el cumplimiento, la cual hace posible operar y controlar el negocio. Ella
se relaciona no solamente con los datos generados internamente, sino también con la
información sobre sucesos, actividades y condiciones externas necesaria para la toma de
decisiones y la información externa de negocios. También debe darse una comunicación
efectiva en un sentido amplio, que fluya hacia abajo, a lo largo y hacia arriba de la
organización. Todo el personal debe recibir un mensaje claro por parte de la alta
administración respecto a qué responsabilidades de control deben asumirse seriamente.”
2.2.5. Quinto componente: Monitoreo
Las actividades de monitoreo se refieren a la evaluación continua o periódica de calidad

del desempeño del control interno, con el propósito de determinar qué controles están
operando de acuerdo con lo planeado y que se modifiquen según los cambios en las
condiciones. Mantilla (2005: 83) “Los sistemas de control interno cambian con el tiempo.
La manera como se aplican los controles tiene que evolucionar. Debido a que los
procedimientos pueden tornarse menos efectivos, o quizás no se desempeñan
ampliamente, ello puede ocurrir a causa de la llegada de personal nuevo, la variación de
22
la efectividad del entrenamiento y la supervisión, la reducción de tiempo y recursos u

otras presiones adicionales”.
El Sistema de control interno puede supervisarse mediante acciones continuas de los

administradores o por evaluaciones separadas. Las acciones de monitoreo continúo
denominado “monitoreo ongoing”, incluyen actos regulares de administración y super-
visión, comparaciones, conciliaciones y otras acciones rutinarias. Por desempeñarse en
una base de tiempo real reaccionan dinámicamente a las condiciones cambiantes y están
integrados a la gestión de la organización, proporcionan una retroalimentación sobre la
efectividad de los otros componentes de control interno.
Se realizan evaluaciones separadas que son necesarias para que la administración tenga
una seguridad razonable respecto de la efectividad del sistema de control interno, se
realizan cada cierto tiempo. Para este tipo de evaluación se debe tener presente:
a) El alcance y frecuencia de la evaluación;
b) El proceso de evaluación;
c) La metodología de evaluación; y;
d) El nivel de documentación.
2.3. Modelo COCO
El siguiente modelo a considerar es el denominado “Modelo COCO (Criteria of Control)”

de Canadá, es producto de una profunda revisión realizada por el Comité de Criterios de
Control de Canadá sobre el reporte COSO, el propósito de esta revisión se centró en hacer
el planteamiento de un Modelo más sencillo y comprensible, ante las dificultades que en
la aplicación del COSO enfrentaron inicialmente algunas organizaciones.
El modelo COCO (Criteria of Control) de Canadá, fue publicado tres años más tarde que
COSO; éste simplifica los conceptos y el lenguaje para hacer posible una discusión sobre
el alcance total del control, con la misma facilidad en cualquier nivel de la organización
empleando un lenguaje más sencillo, para hacerle accesible para todos los empleados de
una empresa.
23
El cambio importante que plantea el Modelo Canadiense consiste en que, en lugar de

conceptualizar al proceso de Control como una pirámide de componentes y elementos
interrelacionados, proporciona un marco de referencia a través de 20 criterios generales,
que el personal en toda la organización puede usar para diseñar, desarrollar, modificar o
evaluar el Control. Las organizaciones que pretendan aplicar los lineamientos de COCO
deberán tener un claro conocimiento y con- sideración de los cinco componentes que
conforman el marco integrado de control interno publicado por COSO. La estructura del
modelo canadiense requiere de creatividad para su interpretación y aplicación, y es
adaptable a cualquier organización una vez que se adecua a las necesidades de sus propios
intereses, o usarlas de referencia para desarrollar un modelo propio.
En este orden de ideas Estupiñán expone (2006:10), el modelo COCO “busca

proporcionar un entendimiento del control y dar respuesta a las tendencias que se
observan en los desarrollos siguientes:
- El impacto de la tecnología y el recorte a las estructuras organizacionales, que
han proporcionado mayor énfasis sobre el control a través de medios
informales, como la visión empresarial compartida, comunión de valores y
una comunicación abierta;
- En la creciente demanda de informar públicamente acerca de la efectividad
del control, respecto a ciertos objetivos;
- En el énfasis de las autoridades para establecer controles, como una forma de
proteger los intereses de los accionistas. Algunas autoridades financieras han
establecido procedimientos y protocolos de información, aplicables a las
instituciones bajo su jurisdicción”.
El objetivo del modelo COCO se orienta a desarrollar lineamientos generales para el

diseño, implementación evaluación y reportes sobre estructuras de control en una
organización, en él se engloba el sector público y el privado. El llamado ciclo de
entendimiento básico del Control, como se representa en el Modelo, consta de cuatro
etapas que contienen los 20 criterios generales, conformando un ciclo lógico de acciones
a ejecutar para asegurar el cumplimiento de los objetivos de la organización.
Los criterios son elementos básicos para entender y aplicar el sistema de control plasmado
en el modelo COCO. Se requiere de un adecuado análisis y comparaciones para lograr
24
analizar estos criterios en el contexto de una empresa en particular y para la efectiva

evaluación de los controles que han sido implantados.
Los 20 criterios que prevé el modelo COCO, están agrupados en cuanto a: (1) Objetivos;
(2) Compro- miso; (3) Aptitud y, (4) Evaluación y Aprendizaje. Al respecto Fernández
(2003) categoriza a los criterios definidos para cada grupo, que son:
2.3.1. Primer Grupo: Propósito
• Los objetivos deben ser comunicados.

• Los riesgos internos y externos que pudieran afectar el logro de los objetivos
deben ser identificados y debidamente analizados.
• Deben ser comunicadas y practicadas las políticas ideadas para apoyar la
consecución de los objetivos, de tal manera que el personal de una empresa
identifique el alcance de su libertad de actuación en la misma.
• Deben ser establecidos planes para orientar los esfuerzos del personal, al logro de
los objetivos.
• Los objetivos y planes deben incluir metas, parámetros e indicadores que permitan
medir el desempeño.
2.3.2. Segundo grupo: Compromiso
Los valores éticos de la organización deben ser establecido y comunicados a todos sus
miembros.
• Las políticas y prácticas de recursos humanos deben ser consistentes con los
valores éticos y al logro de los objetivos de la organización.
• La autoridad y responsabilidad deben ser claramente definidos y consistentes con
los objetivos, de tal manera que el proceso de toma de decisiones sea llevado a
cabo por el personal apropiado.
• Se debe fomentar una atmósfera de confianza para apoyar el flujo de la
información.
25
2.3.3. Tercer grupo: Aptitud
• El personal debe tener conocimientos, habilidades y las herramientas necesarias

para desempeñar sus labores orientadas al logro de los objetivos organizacionales.
• El proceso de comunicación debe apoyar los valores de la organización.
• Se debe identificar y comunicar información suficiente y relevante para el logro
de los objetivos organizacionales.
• Deben ser coordinadas las decisiones y acciones de las diferentes partes de la
organización Las actividades de control deben ser diseñadas como una parte
integral de la organización.
2.3.4. Cuarto grupo: Evaluación y Aprendizaje
• Se debe supervisar el ambiente interno y externo para identificar información que

oriente hacia la evaluación de los objetivos.
• El desempeño debe ser evaluado tomando como punto de partida las metas e
indicadores preestablecidos.
• Las premisas consideradas para el logro de objetivos deben ser revisadas
periódicamente.
• El sistema de información debe ser evaluado en la medida en que cambien los
objetivos, y se precisen las deficiencias de información.
• Debe comprobarse el cumplimiento de los procedimientos modificados.
• Se debe evaluar periódicamente el sistema de control e informar de los resultados.
La estructura del control interno propuesta por el modelo COCO, Estupiñán (2006: 13),
plantea que el control comprende los elementos de una organización que tomados en con-
junto, apoyan al personal en el logro de sus objetivos organizacionales los cuales se
ubican en las categorías generales siguientes:
I. Categoría: Efectividad y eficiencia de las operaciones: incluye objetivos

relacionados con metas de la organización de:
a) Los servicios al cliente;
b) La salvaguarda y uso eficiente de recursos;
26
c) Del cumplimiento de obligaciones sociales;

d) De la protección de recursos contra pérdida o uso indebido.
II. Categoría: Confiabilidad de los reportes financieros internos y externos: este
incluye el adecuado mantenimiento de registros contables, información confiable
para uso de la organización y la publicada para información de terceros y
protección de los registros contra accesos indebidos.
III. Categoría: Cumplimiento de leyes, disposiciones y políticas internas, en esta
definición del control se entiende que el mismo conlleva la responsabilidad de
identificar y reducir los riesgos, con mayor énfasis en aquellos que pudieran
afectar la viabilidad y éxito de la organización, tales como:
- Deficiente capacidad para identificar y explotar oportunidades. Deficiente
capacidad para responder a riesgos inesperados;
- Ausencia de información definitiva e indicadores confiables para la toma de
decisiones.
IV. Categoría: Evaluación de los riesgos, todas las organizaciones se enfrentan
riesgos. Los riesgos afectan la posibilidad de la organización de competir para
mantener su poder financiero y la calidad de los productos y servicios.
Para la aplicación de este modelo se hacer necesario incursionar de manera detallada en

los criterios seguidos en la ponderación de la importancia de las diversas operaciones que
realiza la organización y en la eficacia de los controles, para lograr alcanzar este objetivo
es necesario tomar como orientación los elementos de control interno que, para tales
efectos, se pueden adoptar los propuestos en el marco de control interno del modelo
COCO.
2.4. Modelo MICIL
La Federación Latinoamericana de Auditoría Interna (FLAI) con el apoyo del Proyecto

Anticorrupción y Rendición de Cuentas en las Amé- ricas (conocido como Proyecto AAA
de sus siglas del inglés) promovió y aprobó el Marco Integrado de Control Interno
Latinoamericano (MICIL) en la asamblea realizada en la ciudad de La Paz, Bolivia, el 25
de octubre del 2003 y que se constituye en el documento de referencia técnica para el
diseño, aplicación y operación del control interno de las organizaciones públicas y
privadas en Latino- américa.
27
El Modelo MICIL incluye cinco componentes de control interno que presentados bajo un
esquema que parte del ambiente de control como pieza central, que promueve el
funcionamiento efectivo de los otros cuantos componentes que encajan en él como una
pieza central de un rompecabezas asegurando su funcionamiento efectivo en todos los
niveles de la organización. Estos componentes son:
1) Ambiente de Control y Trabajo institucional,

2) Evaluación de los riesgos para obtener objetivos,
3) Actividades de control para minimizar los riesgos,
4) Información y comunicación para fomentar la transparencia; y,
5) Supervisión interna continua y externa periódica. A continuación, se muestra el
significado de cada uno de estos componentes.
2.4.1. Primer Componente: Entorno o ambiente de control y trabajo

institucional
La base de los modelos de control interno COSO y COCO, son los valores, la ética y la
integridad, en MICIL marca la pauta en el comportamiento de una organización y tiene
igual influencia directa en el nivel de conciencia de control y en la consecución de los
objetivos organizacionales. En este componente de control al igual que en el modelo
COSO, se establecen una serie de factores que se describen a continuación:
• Integridad y valores éticos: el diseño y la aplicación de este modelo se sustenta en

los valores y la ética organizacional, que es aplicada al personal y en las políticas
formales que existen en la empresa para cumplir con sus objetivos.
• Estructura organizativa: está resumida por lo general en su documento de
creación, una ley en el caso de entidades públicas o los estatutos en el caso de
organizaciones privadas. Proporciona un marco de referencia para el desarrollo
del proceso administrativo, dota de la infraestructura necesaria y permite la
gestión de manera eficaz.
• Autoridad asignada y responsabilidad asumida: Es necesario puntualizar la
autoridad en las diferentes unidades operativas que integran a la organización,
para lograr un funcionamiento adecuado.
28
• Administración de los recursos humanos: es el recurso más importante en una

organización, por ello el ambiente de control se verá fortalecido si la organización
lo administra de manera eficiente y eficaz. Competencia personal y evaluación del
desempeño individual: los conocimientos y habilidades para desarrollar tareas en
un puesto de trabajo dentro de una organización son fundamentales para
garantizar su funcionamiento, la calidad de los servicios entregados o de los
bienes producidos, por ello la empresa debe definir un perfil profesional para el
desempeño de las diferentes posiciones directivas y de operación. Filosofía y
estilo de gestión de la dirección: están relacionado de manera directa con la
manera en que la organización administra y evalúa los riesgos organizacionales.
El consejo de administración y los comités: el entorno de control y trabajo están
definidos en gran medida por las directrices del consejo de administración y de
los comités de gestión creados para operar las principales actividades de la
organización. Rendición de cuentas y transparencia: respecto a los resultados
financieros y de gestión de las operaciones, situación que permitirá promover la
transparencia en el manejo de las organizaciones.
2.4.2. Segundo componente: Evaluación de riesgos para obtener

objetivos
Los riesgos que afectan de manera directa las habilidades de las organizaciones para su
operación, para competir con éxito en su entorno, para mantener una posición financiera
sólida, para disponer de una imagen pública positiva, para la producción de bienes o
servicios de buena calidad y para contar con el personal apropiado. El nivel directivo de
la empresa debe determinar el nivel de riesgo que considera aceptable y esforzarse por
mantenerlos en los límites marcados o bajo control. Al igual que el COSO, el modelo
MICIL considera que el establecimiento de los objetivos es una condición previa para la
evaluación o valoración de los riesgos organizacionales.
Los factores fundamentales a considerar como parte integrante del componente

evaluación de riesgos dirigido al logro de los objetivos organizacionales son:
• Los objetivos organizacionales, que se resumen en cuatro categorías:

29
1. eficiencia y efectividad de las operaciones de la organización, que constituyen

el punto clave al cual se dirigirá la mayor parte de los esfuerzos y recursos y
permitirá identificar los riesgos asociados a su consecución;
2. Confiabilidad de la información financiera y de operación producida, dirigidos
a la producción de información veraz, oportuna y confiable de los resultados
de operaciones realizadas por la organización;
3. Protección a los activos de la organización, constituidos por una serie de
adecuados procesos para la adquisición, contratación, registro, integración,
manejo y control de los recursos organizacionales; y,
4. Cumplimiento de regulaciones legales, reglamentarias y contractuales,
referidas al cumplimiento de un marco legal y normativa que afecta el
funcionamiento de la organización ante un entorno.
• Riesgos potenciales para la organización: la dirección debe analizar en detalle

los riesgos existentes en todos los niveles de la organización y tomar las medidas
adecuadas en el momento oportuno para adminístralos. De acuerdo a este modelo
existen una serie de factores externos que representan riesgos potenciales para una
organización como: los avances tecnológicos, las necesidades o expectativas de
los usuarios, nuevas normas y leyes, desastres naturales, cambios en la economía,
entre otros.
• Gestiones dirigidas al cambio: MICIL considera que los cambios generados en
las actividades desarrolladas dentro de la organización hace que el marco de
control que se aplica pierda vigencia, plantea algunos elementos que requieren
especial atención, entre ellos: Cambios en el entorno de operaciones de la
organización, personal que ingresa a la empresa por primera vez, sistemas de
información que han sido reconstruidos o la sustitución del usado por la empresa
por otro totalmente nuevo entre otros.
2.4.3. Tercer Componente. Actividades de control para minimizar

riesgos
Las actividades de control son generadas por la dirección de la organización, con el

propósito de poner en práctica un conjunto de políticas que le permita asegurar el
cumplimiento de los objetivos estratégicos de la organización, minimizando la incidencia
30
de riesgos que podrían afectar el logro de dichos objetivos. MICIL considera los
siguientes factores aplicables al marco integrado de control institucional:
• Análisis de la dirección, que consiste en la revisión de los resultados generados

por el componente información y comunicación, para hacer seguimiento al
cumplimiento y avance en el logro de los objetivos organizacionales.
• Proceso de información, que busca garantizar información confiable, veraz y
oportuna a todos los niveles de la organización para poyar la toma de decisiones.
Indicadores de rendimiento, son establecidos en varios documentos formales y de
referencia y están dirigidos a evaluar el grado de eficacia y eficiencia en el logro
de los objetivos organizacionales, y son la base para la aplicación de acciones
correctivas.
• Disposiciones legales y gubernamentales: constituye un objetivo de control
interno y por ende debe considerarse para el establecimiento de medidas que
permitan el cumplimiento de las regulaciones gubernamentales aplicables.
• Criterios técnicos de control interno, dirigidos al funcionamiento eficaz de este
marco integrado en la organización.
• Estándares específicos, que establecen el contenido especifico que deben tener los
informes utilizados para la comunicación de los logros obtenidos.
• Información generada, que consiste en una serie de informes o reportes que
proporcionan los datos fundamentales para valorar la egresa y las acciones que se
cotizan en los mercados de valores. Un ejemplo de ellos son los estados
financieros auditados. Rendimientos esperados, proyección de los rendimientos
esperados por la organización a base de los resultados estadísticos de los últimos
ejercicios económicos y del entorno político, social, económico en el que se
desenvuelve la empresa.
• Otros criterios de control, de acuerdo a MICIL la dirección debe establecer, definir
y aplicar un plan de acción para afrontar los riesgos garantizando el cumplimiento
de los objetivos de la empresa en el tiempo.
31
2.4.4. Cuarto componente: Información y comunicación para fomentar

la transparencia
Es necesario identificar, recoger y comunicar información relevante de forma y en el

plazo que permita a cada persona que labora en la empresa asumir sus responsabilidades.
Así mismo es importante el establecimiento de una comunicación eficaz que permita el
movimiento de la información formal e informal en todas las direcciones de una
organización. Los principales factores que conforman el componente información y
comunicación son:
• Información en todos los niveles, la información relevante que se produce en la

organización sobre los resultados de las operaciones realizadas por esta, debe ser
difundida y comunicada en todos los niveles de la organización para contribuir
al logro de los objetivos organizacionales.
• Datos fundamentales en los estados financieros, la información presentada en los
reportes financieros debe mostrar de manera razonable la situación de la empresa
ara un momento determinado y debe ser generada de acuerdo a las normas
contables vigentes y aplicables a la organización.
• Herramienta para la supervisión, está referido la información y la comunicación
de los resultados obtenidos por la organización deben ser una herramienta
práctica, detallada, confiable y oportuna para aplicar la función de supervisión en
los diferentes niveles de una organización.
• Información adicional y detallada, que permita analizar el comportamiento de las
operaciones en base a datos estadísticos con el logro de los objetivos
organizacionales, con el propósito de evaluar el avance en el logro de los mismos.
• Por último, la comunicación de los objetivos de la organización, que es una
actividad que está relacionada con la entrega de información importante para la
ejecución de las operaciones.
2.4.5. Quinto componente: Supervisión interna continua y externa

periódica
Este componente de control interno permite evaluar sí la estructura de control interno de

la organización está funcionando de manera adecuada, o si es necesario introducir
32
cambios para mejorar su efectividad. Este proceso de supervisión comprende la

evaluación, por los niveles adecuados, sobre el diseño, funcionamiento y manera como
se adoptan las medidas para actualizarlo o corregirlo. De acuerdo a MICIL, las
operaciones de supervisión como componente del marco integrado de control interno se
concreta en los siguientes factores:
• Monitoreo continuo por la administración: incluye una serie de actividades

dirigidas a validar la ejecución de las actividades en una organización.
• Seguimiento interno, está dirigido a las actividades importantes que representen
potencial riesgo en la obtención de los objetivos organizacionales, y que puede
ser evaluado por el marco de control interno a partir de la evaluación de sus
propios componentes. Evaluaciones externas, que incorpora en el diseño del
control interno una serie de evaluaciones externas realizadas en forma periódica
como parte integrante de las auditorias de los estados financieros u otro tipo de
evaluación.
2.5. Metodología COSO ERM
A Finales del año 2004, como respuesta a una serie de escándalos, e irregularidades que
provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés,
nuevamente el Committee of Sponsoring Organizations of the Treadway Commission,
publicó el Enterprise Risk Management - Integrated Framework y sus Aplicaciones
técnicas asociadas, en el cual amplía el concepto de control interno, proporcionando una
guía un poco más detallada sobre la identificación, evaluación y gestión integral de riesgo.
Conocido con el nombre de COSO II.
Este nuevo enfoque no se emitió para sustituir el marco de control interno plasmado en
el modelo COSO, sino que lo incorpora como parte de él, permitiendo a las empresas
mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más
completo de gestión de riesgo. Adicionalmente, dado que COSO II Enterprise Risk
Management - Integrated Framework se encuentra completamente alineado con el
Internal Control - Integrated Framework, las mejoras en la gestión de riesgo permitirán
mejorar, aún más, sobre la inversión ya realizada en control interno bajo las disposiciones
de la Ley Sarbanes-Oxley. Esta nueva metodología proporciona la estructura conceptual
33
y el camino para lograrlo. La premisa principal de la gestión integral de riesgo es que

cada entidad, con o sin fines de lucro, existe para proveer valor a sus distintos grupos de
interés.
Sin embargo, todas estas entidades enfrentan incertidumbres y el desafío para la

administración es determinar qué cantidad de incertidumbre esta la entidad pre- parada
para aceptar, como esfuerzo, en su búsqueda de incrementar el valor de esos grupos de
interés. Esa incertidumbre se manifiesta tanto como riesgo y oportunidad, con el potencial
de erosionar o generar valor. PriceWaterhouseCoopers (2005: 04), define a la
administración de riesgos corporativos así: “La administración de riesgos corporativos es
un proceso efectuado por el consejo de administración de una entidad, su dirección y
restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado
para identificar eventos potenciales que puedan afectar a la organización, gestionar sus
riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre la
consecución de objetivos de la entidad”.
2.5.1. Definición
Es un proceso efectuado por la junta de directores, la administración y otro personal de

entidad, aplicando en la definición de la estrategia y a través del emprendimiento,
diseñado para identificar los eventos potenciales que pueden afectar la entidad, y para
administrar los riesgos que se encuentran dentro de su apetito por el riesgo, para proveer
seguridad razonable en relación con el logro del objetivo de la entidad
La administración de riesgos empresarial ERM comprende:

• Proceso continuo- es un medio para un fin no un fin para sí mismo.
• Es efectuado por las partes involucradas en un proceso.
• Se debe aplicar en todo nivel de Organización.
• Permite evaluar e identificar los posibles riesgos que afecten a la compañía.
• Ayuda al logro de los objetivos y nos brinda seguridad razonable en informes
financieros, contables.
• Mejor toma de decisiones de respuesta al riesgo.
• Previene riesgos futuros
34
2.5.2. Componentes
La administración de riesgos corporativos (ERM) según lo planteado por

PriceWaterhouseCoopers (2005: 05-06), consta de ocho componentes relacionados entre
sí, que se derivan de la manera en que la dirección conduce la empresa y cómo están
integrados en el proceso de gestión, estos son:
a) Ambiente interno: Dentro de una organización el ambiente interno establece

las bases sobre las cuales el riesgo es percibido y posteriormente entregado al
personal de la entidad, incluyendo así la filosofía de administración del riesgo
y el apetito por el riesgo, la integridad, los valores éticos y el ambiente en el
que operan.
b) Establecimiento de objetivos: Es importante que los objetivos de la
organización se establezcan antes que la administración pueda identificar los
eventos potenciales que puedan afectar el logro. El COSO E.R.M. afirma que
la Compañía puede administrar el correcto funcionamiento de los procesos
para establecer objetivos y que estos, planteados con anterioridad, apoyan y
están alineados con la visión/misión de la entidad y a su vez son consistentes
con su apetito por el riesgo.
c) Identificación de eventos: Se deberá identificar todos aquellos eventos
internos y externos los cuales afecten a la entidad, mediante el cual se pueda
clasificar entre eventos y oportunidades. Las oportunidades serán canalizadas
hacia la estrategia de la administración o hacia el alcance de los objetivos.
d) Evaluación del riesgo: Al momento de identificar los riesgos, estos deben ser
analizados y teniendo en cuenta el impacto y probabilidad de que ocurran,
siendo así la base para determinar cómo se deben administrar. Los riesgos se
valoran sobre una base inherente y una base residual.
e) Respuesta al riesgo: La administración selecciona las respuestas a los riesgos
identificados los cuales son: evitar, aceptar, reducir, o compartir el riesgo –
desarrollando un conjunto de acciones que permitan a los riesgos alinearse con
la tolerancia y con el apetito al riesgo que tiene la entidad.
f) Actividades de control: Se establecen e implementan políticas y
procedimientos para ayudar a asegurar que las respuestas al riesgo se llevan a
cabo de manera efectiva.
35
g) Información y comunicación: Se identifica, captura y comunica la

información relevante en una forma y en cronograma que le permita a la gente
llevar a cabo sus responsabilidades. La comunicación efectiva también ocurre
en un sentido amplio, fluyendo desde abajo, a través y hacia arriba de la
entidad.
h) Monitoreo: Se monitorea la totalidad de la administración de riesgos del
emprendimiento y se realizan las modificaciones necesarias. El monitoreo se
logra mediante actividades administrativas ongoing (en curso), evaluaciones
separadas, o ambas.
Para la aplicación de este modelo se hacer necesario incursionar de manera detallada en

los criterios seguidos en la ponderación de la importancia de las diversas operaciones que
realiza la organización y en la eficacia de los controles, para lograr alcanzar este objetivo
es necesario tomar como orientación los elementos de control interno que, para tales
efectos, se pueden adoptar los propuestos en el marco de control interno del modelo
COCO.
2.6. Riesgo Operativo
2.6.1. Definición de Riesgo Operativo
De acuerdo al Comité de Supervisión Bancaria de Basilea:
“El riesgo operativo se entenderá como la posibilidad de que se ocasionen pérdidas

financieras por eventos derivados de fallas o insuficiencias en los procesos, personas,
tecnología de información y por eventos externos.
El riesgo operativo incluye el riesgo legal, en relación a la posibilidad de que se presenten

pérdidas o contingencias negativas como consecuencia de fallas en contratos y
transacciones que pueden afectar el funcionamiento o la condición de una institución del
sistema financiero, derivadas de error, dolo, negligencia o imprudencia en la
concertación, instrumentación, formalización o ejecución de contratos y transacciones. El
riesgo legal surge también de incumplimientos de las leyes o normas aplicables. El riesgo
36
operativo no trata sobre la posibilidad de pérdidas originadas en cambios inesperados en

el entorno político, económico y social.
2.6.2. Principios del Riesgo Operativo
En el nuevo Acuerdo de Capital se establece los Principios de «Prácticas Adecuadas para

la Gestión y Supervisión de los Riesgos de Operación
Desarrollo de un ambiente apropiado de gestión de control interno y riesgo

empresariales
Principio No. 1.- Responsabilidad Alta Gerencia: El Directorio debe ser consciente de
responsabilidad de los principales aspectos de los riesgos de operación del banco, como
una categoría de riesgo distinta que debe ser gestionada, y debe aprobar y revisar
periódicamente el esquema de gestión del riesgo operativo del banco. El esquema debe
proporcionar una definición a nivel corporativo del riesgo operativo y establecer los
principios sobre la manera como los riesgos de operación serán identificados, evaluados,
monitoreados, y controlados/mitigados.
Principio No. 2.- Aseguramiento efectivo del control: El Directorio debe asegurar que el
esquema de gestión del riesgo operativo del banco esté sujeto a una auditoría interna
efectiva e integral por parte de personal competente, operativamente independiente y
apropiadamente entrenado. La función de auditoría interna no debe ser directamente
responsable de la gestión de los riesgos de operación.
Principio No. 3.- Gestión integral de toda la Organización: La Alta Gerencia debe tener
la responsabilidad de implementar la toda la organización esquema de gestión del riesgo
operativo aprobado por el Directorio. El esquema debe ser implementado en toda la
organización bancaria, y todos los niveles del personal deben entender sus
responsabilidades con relación a la gestión de los riesgos de operación. La alta gerencia
también debe tener la responsabilidad de desarrollar políticas, procesos y procedimientos
para la gestión de los riesgos de operación en todos los productos, actividades, procesos
y sistemas del banco. La gestión de control interno y riesgo empresariales implica:
Identificación, Evaluación, Monitoreo, y Mitigación/ Control.
37
Gestión de control interno y riesgo empresariales: identificación, evaluación,

monitoreo y mitigación/control
Principio No. 4.- Tanto para las actividades actuales como las nuevas: Los bancos
deben identificar y evaluar el riesgo operativo inherente a todos los productos,
actividades, procesos y sistemas relevantes. Los bancos también deben asegurar que antes
de introducir o emprender nuevos productos, actividades, procesos y sistemas, el riesgo
operativo inherente a los mismos esté sujeto a procedimientos de evaluación adecuados.
Principio No. 5.- Gestión permanente sistemática y proactiva: Los bancos deben
implementar un proceso para monitorear regularmente los perfiles de riesgos de
operación y su exposición material a pérdidas. Debe existir un reporte permanente de
información pertinente a la Alta Gerencia y al Directorio que apoye la gestión proactiva
de los riesgos de operación
Principio No. 6.- Coherencia entre estrategias y objetivos: Los bancos deben tener
políticas, procesos y procedimientos para controlar o mitigar los riesgos de operación
significativos. Los bancos deben evaluar la viabilidad de estrategias alternativas de
control y limitación de riesgos, y deben ajustar su perfil de riesgo operativo empleando
estrategias apropiadas, de conformidad con su apetito y perfil integral de riesgo.
Principio No. 7.- Existencia de planes de Contingencia: Los bancos deben implementar
planes de contingencia y de continuidad del negocio a fin de garantizar su capacidad para
operar en forma continua y minimizar las pérdidas en caso de una interrupción severa del
negocio.
Papel de los supervisores
Principio No. 8.- Supervisión obligada a todo tipo de entidades: Los supervisores
bancarios deben exigir a todos los bancos, sin importar su tamaño, que implementen un
esquema eficaz para identificar, evaluar, monitorear y controlar o mitigar los riesgos de
operación, como parte de un enfoque integral para la gestión de control interno y riesgo
empresariales.
38
Principio No. 9.- Supervisión, periódica e independiente: Los supervisores deben llevar
a cabo, de manera directa o indirecta, una evaluación periódica independiente de las
políticas, procedimientos y prácticas de un banco relacionadas con los riesgos de
operación. Los supervisores deben asegurarse de contar con mecanismos apropiados de
reporte que les permitan mantenerse informados de los avances en los bancos.
Principio No. 10.-. Transparencia y divulgación: Los bancos deben hacer suficiente
divulgación pública para permitir que los participantes del mercado evalúen su enfoque
para la gestión de los riesgos de operación.
2.6.3. Factores del riesgo operativo
La norma define a los factores de riesgo operativo como la causa primaria o el origen de
un evento de riesgo operativo, siendo estos: procesos, personas, tecnología de
información y eventos externos y establece requisitos mínimos para la administración de
cada de ellos propiciando un ambiente adecuado de gestión del riesgo operativo,
conforme lo establecido en el Nuevo Acuerdo de Capital de Basilea (NACB), conocido
también como Basilea II.
A continuación, se analiza los lineamientos mínimos, para cada uno de los factores del
riesgo operativo:
• La definición del riesgo de operativo y los requisitos mínimos que deben cumplir
las entidades respecto a los factores del riesgo operativo
• La exigencia de un esquema de administración del riesgo de operativo; y;
• El establecimiento de las responsabilidades en la administración del riesgo de
operativo.
A continuación, se analiza los lineamientos mínimos, para cada uno de los factores del
riesgo operativo.
39
1. Administración de Procesos: La administración de procesos es un tema

fundamental para la adecuación de los mismos a las exigencias del mercado,
procurando que todos los procesos trabajen en armonía para maximizar la
eficiencia de las instituciones financieras.
Por tanto, exige de las organizaciones el establecimiento de procesos

estructurados, que garanticen el cumplimiento de la misión, visión y objetivos
estratégicos; es por ello que la norma propone que las entidades financieras
agrupen sus procesos en tres categorías:
• Gobernantes o estratégicos;
• Fundamentales, productivos, de negocio u operativos; y,
• Habilitantes, de soporte o de apoyo.
Adicionalmente, la norma dispone que las entidades identifiquen, aún en los

servicios provistos por terceros, sus procesos críticos, es decir aquellos que, en
caso de una interrupción, pondrían en peligro la continuidad de las operaciones;
por lo cual, se justifica plenamente establecer planes de contingencia y de
continuidad del negocio.
Además, las entidades deberán vigilar el cumplimiento de los procesos y

someterlos a una mejora continua, para lo cual, deben desarrollar políticas para
identificar, diseñar, medir, analizar, actualizar y controlar los procesos.
2. Administración del Recurso Humano: Consiste en el proceso a través del cual las
instituciones planifican y gestionan el recurso humano para promover su
desempeño eficiente y alcanzar los objetivos individuales de las personas y los
objetivos institucionales.
Con la finalidad de que se promueva una cultura laboral y se alcance un trabajo

eficiente y eficaz es necesario que las entidades definan políticas y procesos para
la administración del recurso humano, conforme con su filosofía y sus propias
necesidades.
40
Existen ciertos aspectos relacionados con el personal, que toda organización

deberá considerar al momento de establecer esas políticas: reclutamiento,
selección, determinación de competencias, contratación, planes de carreras,
evaluaciones de desempeño, criterios de remuneración, motivación, clima
organizacional, higiene y seguridad, condiciones físicas y ambientales, rotación,
finalización de la relación laboral, entre otros. Estos aspectos han sido incluidos en
tres grupos de procesos para la administración del recurso humano:
• Incorporación,
• Permanencia y;
• Desvinculación.
3. Administración de la Tecnología de Información: En cuanto a la tecnología, la

expectativa es que las instituciones cuenten con una tecnología de información que
soporte adecuadamente las operaciones y procesos de las entidades, siendo
necesario cumplir los siguientes objetivos:
• Planifiquen ordenadamente sus requerimientos actuales y futuros de

tecnología;
• Establezcan toda una serie de requisitos y condiciones de seguridad y de
continuidad del negocio;
• Generaren información íntegra, disponible y confidencial;
• Aseguren que la tecnología no afecte al normal desenvolvimiento de sus
operaciones.
4. Administración de Eventos Externos: La administración del riesgo operativo

requiere que las entidades identifiquen eventos externos (no derivados del entorno
político, económico y social) a los que pueden ser vulnerables como, por ejemplo:
• Fallas en los servicios públicos;

• Ocurrencia de desastres naturales;
41
• Atentados;
• Otros actos delictivos;
Con la finalidad de establecer planes de contingencia que ayuden a mitigar su

impacto en la operatividad de la entidad.
42
UNIDAD 3
3. Métodos de Evaluación de Control Interno
3.1. Introducción
Una manera más sencilla de obtener información sobre el funcionamiento del sistema de
control interno en una entidad será la indagación, la observación, la revisión de los
manuales de organización y funciones, manuales de contabilidad y auditoría interna,
reglamento interno de trabajo, los procedimientos e instrucciones internas y otras
disposiciones adoptadas por la administración o gerencia; así como conversaciones o
entrevistas con ejecutivos sobre la constitución, organización, capital social de la
empresa, los procesos judiciales, cantidad de trabajadores, etc. Sin embargo, los medios
o los métodos más utilizados para documentar adecuadamente la evaluación del sistema
de control interno en la empresa y que al mismo tiempo puedan servir para dejar
constancia de haber efectuado la evaluación son los siguientes métodos: descriptivo,
cuestionario, gráficos o flujogramas; además de las técnicas del control interno. Cabe
destacar que:
• Consiste en la revisión y análisis de todos los procedimientos que han sido

incorporados al ambiente y estructura del control interno, así como a los
sistemas que mantiene la organización para el control e información.
• Evaluar un sistema de Control Interno, es hacer una operación objetiva del

mismo. Esta evaluación se hace a través de la interpretación de los resultados de
algunas pruebas efectuadas.
• Dependiendo de la evaluación que se tenga, así será el alcance y el tipo de

pruebas sustantivas que se practiquen en el examen de los estados financieros.
• Los resultados de las pruebas efectuadas, tienen por finalidad establecer si se

están realizando correctamente y aplicando los métodos, políticas y
procedimientos establecidos
43
3.2. Método Descriptivo o Narrativo
Consiste en la narración de los procedimientos relacionados con el control interno, los

cuales pueden dividirse por actividades y estos a su vez en departamentos, empleados y
cargos o por registros contables. Una descripción adecuada de un sistema de contabilidad
y de los procesos de control relacionados incluye por lo menos cuatro características:
a. Origen de cada documento y registro en el sistema.

b. Cómo se efectúa el procesamiento.
c. Disposición de cada documento y registro en el sistema.
d. Indicación de los procedimientos de control pertinentes a la evaluación de los
riesgos de control.
Sin embargo, no debe incurrirse en el error de describir las actividades de los

departamentos o de los empleados de manera aislada u objetiva. Debe hacerse la
descripción siguiendo el curso de las operaciones a través de su manejo en los
departamentos citados.
Por lo general se describe procedimientos, registros, formularios, archivos,

departamentos que intervienen en el sistema de control. Este método presenta el
inconveniente que muchas personas no tienen habilidad para expresar sus ideas por
escrito en forma clara, precisa y sintética, lo que trae como consecuencia que algunas
debilidades de control no queden expresadas en la descripción.
3.2.1. Ejemplo
Tabla No 1. Ejemplo de análisis de procedimientos de operación (carátula)
Función: Créditos y cobranza

Procedimientos de operación procedimiento: cobradores, recepción
y entrega de cobranza
Inicia en: Termina:
La preparación del reporte de Al informar cada cobrador al jefe
cobranzas por el auxiliar de de cobranzas el resultado de su
cobranzas. gestión.
Objetivo del procedimiento:
Controlar la cobranza que se realiza vía cobrador
Pruebas de cumplimiento
Políticas y disposiciones de control
Observaciones
44
• El jefe de cobranzas debe planear las

rutas de cobros de los cobradores.
• El reporte de cobranzas debe ser
elaborado con apoyo en la tecnología
de la información; si se elabora
manualmente, debe ser llenado con
tinta. Los renglones no utilizados deben
ser cancelados.
• El cobrador debe firmar de recibido por
las facturas que le entreguen para
cobro.
• El cobrador diariamente debe regresar
a las facturas de la entidad a rendir
cuentas.
• El cobrador debe recabar firmas y el
sello de recibido, tanto del cajero por el
dinero entregado, como del auxiliar de
cobranzas por las facturas no cobradas
que le devuelve.
Forma Fecha: Recopiló: Revisó: Página
Núm. 1 1 de 1
Tabla No 2. Ejemplo de análisis de procedimientos de operación (descriptivo)
Función: Créditos y cobranzas

Procedimientos de operación procedimientos: cobradores, recepción y
entrega de cobranza
Pruebas de
Unidad de
Núm. Actividad cumplimiento.
trabajo
Observaciones
Con base en los cobros del día y las
rutas de cobro previamente definidas
Auxiliar de
1 por el jefe de cobranzas, prepara un
cobranzas
reporte de cobranzas (original y dos
copias) para cada cobrador.
Entrega al cobrador las facturas
relacionadas en el reporte, así como el
2 original y primera copia del mismo;
recaba la firma de recibido en la
segunda copia, misma que conserva.
Sale a cobrar, anotando en el reporte el
resultado de su gestión. Si cobró,
entrega la(s) factura(s)
3 Cobrador
correspondientes(s) y anota con qué se
le pagó. Si no cobró, anota las razones
de ello.
Al finalizar el día acude a la caja de la
4
empresa donde entrega el dinero
45
cobrado junto con el reporte de

cobranzas original.
Recibe el efectivo cobrado anexo al
reporte de cobranzas original, el cual
5 Caja
conserva. Firma y sella de recibido en
la primera copia del reporte.
Acude con el auxiliar de cobranzas a
6 Cobrador quien devuelve las facturas no
cobradas
Recibe las facturas no cobradas. Firma
Auxiliar de
7 y sella de recibido en la copia del
cobranzas
reporte
Acude a informar al jefe de cobranzas
8 Cobrador
el resultado de su gestión
Obtiene una fotocopia de la primera
Jefe de
9 copia del reporte de cobranzas, misma
cobranzas
que conserva para su control.
Forma Fecha: Recopiló: Revisó: Página
Núm. 2 1 de 1
3.3. Método de Cuestionario
Consiste en usar como instrumento para la investigación, cuestionarios previamente

formulados que incluyen preguntas acerca de la forma en que se manejan las
transacciones u operaciones de las personas que intervienen en su manejo, la forma en
que fluyen las operaciones a través de los puestos o lugares donde se define o se
determinan los procedimientos de control para la conducción de las operaciones.
El método de cuestionario es utilizado extensamente por los auditores independientes

como los auditores internos, consiste en una encuesta sistemática presentada bajo la forma
de preguntas referidas a aspectos básicos del sistema, y ante una respuesta negativa
evidencia una ausencia de control. Los cuestionarios se pueden organizar clasificando las
preguntas de acuerdo con los objetivos de control y cada pregunta referirse a la presencia
de las medidas de control para lograr el objetivo de que se trate.
El objetivo del cuestionario de control interno es reunir información, para descubrir

hechos, evidencias, opiniones, con el fin de recopilar datos o información cuantitativa. La
información obtenida debe ser tabulado, depurado y servir juntos con otros agentes como
soporte del informe de auditoría basado en los papeles de trabajo.
46
Los cuestionarios abordan asuntos que los participantes deberán considerar, centrando su
reflexión en los factores internos y externos que han dado, o pueden dar lugar, a eventos
negativos.
Pueden dirigirse a un individuo o a varios, o bien pueden emplearse en conexión con una
encuesta de base más amplia, ya sea dentro de una Organización o dirigida a clientes,
proveedores o terceros.
3.3.1. Características de redacción
En la elaboración o la preparación de un cuestionario, el auditor debe tener presente

determinadas características fundamentales, como son:
a. El cuestionario debe redactarse de acuerdo al nivel de formación de las personas

a las que se dirige.
b. Las preguntas deben redactarse con claridad y permitir cierta libertad para que
el encuestado no se sienta inclinado a dar una determinada respuesta ni a
contestar si o no.
c. Deben evitarse los términos subjetivos y si es posible las preguntas deben ser
concisas y precisas con el fin de lograr mayor concentración y evitar la fatiga al
entrevistado.
d. Las preguntas han de estar encaminadas (dirigidas) para cumplir el objetivo de
la evaluación del control interno y no deben eliminar la entrevista sino
complementarla.
3.3.2. Criterios de apoyo
a. Forma: Con el fin de conseguir confianza en la persona a quien se aplica el

cuestionario, es importante que el responsable se presente y explique el objetivo
del mismo, solventando dudas, proporcionando respuestas claras y manteniendo
de principio a fin la cordialidad.
b. Fondo: El cuestionario debe contemplar la posición del entrevistado dentro de

la estructura organizacional. Además, quien aplique el cuestionario debe
permanecer concentrado en las actitudes y la forma en que se responden las
47
preguntas lo que obliga a realizar preguntas de control y evaluación por área,

proceso, función, nivel jerárquico y sistema.
c. Estrategia: Un cuestionario se lo realiza mediante tres vertientes: composición

organizacional, procesos estratégicos y tipo de liderazgo prevaleciente. El
objetivo de considerar los procesos estratégicos se debe a que su
funcionamiento se basa en competencias centrales, las mismas que enmarcan
los procesos estratégicos. El tipo de liderazgo define el comportamiento y la
cultura organizacional lo que incide en la espontaneidad para responder un
cuestionario.
3.3.3. Tipos de preguntas
• Pregunta cerrada simple: Las respuestas se limitan a dos o tres posibilidades.

Estas preguntas permiten registrar, codificar y analizar con facilidad, sin requerir
de un alto entrenamiento para el entrevistador. No obstante, este formato no
proporciona información detallada.
• Pregunta cerrada con respuestas múltiples: Maneja un mayor número de

alternativas, lo que permite más posibilidades de respuesta. También es fácil de
codificar y analizar. Por lo que se posee la seguridad de presentar y de obtener
una respuesta.
• Preguntas abiertas: El número de respuestas posibles es infinito, lo que requiere

experiencia por parte del entrevistador para obtener una respuesta concisa; sin
embargo, permite un contacto más cercano entre las partes.
48
3.3.4. Ejemplo
Tabla No 3. Cuestionario de la cuenta Fondos de Caja Chica
CUESTIONARIO DE CONTROL INTERNO

FONDOS DE CAJA CHICA
Preparado por:
Fecha:
Sí No
Revisado por:
Fecha:
1. ¿Se usa el sistema de fondo fijo?
2. ¿Es una sola persona responsable principalmente de cada fondo?
3. Justificantes de caja chica:
a) ¿Se exigen siempre en cada desembolso del fondo?
b) ¿Están numerados?
c) ¿Los firma el que recibe el efectivo desembolsado?
d) ¿Están escritos con tinta?
e) ¿Llevan el importe en cifras y en letras?
f) ¿Los aprueba una persona responsable?
g) ¿Se cancelan, juntamente con los documentos justificantes, de forma que
no puedan usarse nuevamente?
4. ¿Se extienden los cheques para renovar el fondo a la orden del cajero del
fondo?
5. El cajero del fondo:
a) ¿Tiene acceso a los ingresos en efectivo?
b) ¿Tiene acceso a los libros generales de contabilidad?
6. Cuando se cambian cheques usando el efectivo del fondo, ¿debe primeramente
aprobar el cheque alguna otra persona que no sea el cajero de caja chica?
7. ¿Se aprueban oficialmente los adelantos hechos del fondo?
8. ¿Se depositan puntualmente en el banco los cheques pagados con las
existencias del fondo?
9. ¿Existe un buen sistema de auditoría interna para los justificantes de caja
chica, que actúe cuando se renueva el fondo?
10. ¿Es razonable el importe del fondo de caja chica?
11. ¿Hay cheques posfechados en el fondo?
12. ¿Son las erogaciones de apariencia razonable?
49
13. ¿Cuál es la cantidad máxima que puede pagarse con el fondo por un
justificante $ 25,00 aislado de caja chica?
14. ¿Se practica una auditoría interna de sorpresa en la caja chica y en sus
operaciones?
Tabla No 4. Cuestionario de la cuenta Compras y Cuentas por Pagar
CUESTIONARIO DE CONTROL INTERNO

COMPRAS Y CUENTAS POR PAGAR
Preparado por:
Fecha:
Sí No
Revisado por:
Fecha:
1. ¿Existe un departamento organizado de compras?
2. ¿Opera este departamento independientemente de los que se enumeran a
continuación?
a) El departamento de recepción
b) El departamento de embarques
c) El departamento de contabilidad
3. ¿Se hacen por escrito todas las órdenes de compra?
4. ¿Están numeradas consecutivamente por anticipado todas las órdenes de
compra?
5. ¿Se aprueban en las órdenes de compra los detalles siguientes?
a) Precio
b) Cantidad
e) Proveedor
6. ¿Recibe directamente el departamento de contabilidad los documentos
siguientes?
a) Una copia de la orden de compra
b) Una copia del informe de recepción
7. ¿Obtiene el departamento de recepción copias de las órdenes de compra
para contar con autorización para aceptar materiales suministros, etc.?
8. ¿Se numeran consecutivamente por anticipado los informes de recepción?
a) ¿Comprueba el departamento de contabilidad la secuencia en esta
numeración?
9. ¿Conserva permanentemente el departamento de recepción una copia de
los informes de recepción?
10. ¿Recibe el departamento de compras una copia del informe de recepción?
50
11. ¿Se notifica inmediatamente al departamento de contabilidad de las

devoluciones que se hacen a los vendedores?
12. ¿Pasan a través del departamento de embarques las compras devueltas?
a) ¿Se preparan informes de embarque amparando las devoluciones?
b) ¿Se correlacionan los informes de embarque con las notas de crédito del
vendedor?
13. ¿Correlaciona el departamento de contabilidad las facturas con los
documentos siguientes?
a) Órdenes de compra
b) Informes de recepción
14. ¿Se aprueban debidamente las facturas antes de pagarlas?
15. ¿Se verifican en las facturas los detalles siguientes?
a) Precios
b) Multiplicaciones y sumas
3.4. Método de Flujograma (Diagrama de Flujo)
Consiste en la preparación de diagramas de flujo de los procedimientos ejecutados en

cada uno de los departamentos involucrados en una operación. Un diagrama de flujo de
control interno consiste en una representación simbólica y por medio de flujo secuencial
de los documentos de la entidad auditada. El diagrama de flujo debe representar todas
las operaciones, movimientos, demoras y procedimientos de archivo concernientes al
proceso descrito. Este método debe incluir las mismas cuatro características del método
gráfico enunciadas anteriormente.
Este método simplifica la tarea de descripción de los procedimientos y técnicas mediante

el uso de gráficos de movimiento de transacciones, también llamadas diagramas de flujo
o flow charts. Este diagrama proporciona al lector una imagen clara del sistema,
mostrando la naturaleza y secuencia de los procedimientos, división de responsabilidades,
fuentes, distribución de documentos y situación de los registros de contabilidad.
3.4.1. Técnicas de Diagramación
3.4.1.1. Diagramas de flujo de procesos

51
El diagrama de flujo de procesos es un tipo de diagrama que aclara las relaciones entre
los principales componentes de una empresa. Se utiliza en los ámbitos de una ingeniería,
sin embargo, sus conceptos se pueden aplicar en diferentes procesos. Se usa para
documentar o mejorar un proceso o también presentar uno nuevo. Dependiendo de su uso
se puede denominar como un diagrama de flujo de procesos, diagrama de flujo de
bloques, diagrama de flujo esquemático, diagrama de flujo de macro, diagrama de flujo
vertical, diagrama de sistemas o diagrama de tuberías e instrumentación. Estos se utilizan
con un conjunto de notaciones o símbolos que descifran y describen un proceso.
Simbología:
Tabla No 5. Simbología de los diagramas de flujo de procesos
Características:
• El diagrama de flujo debe representar todas las operaciones, movimientos,

demoras y procedimientos de archivo concernientes al proceso descrito
52
• Los acontecimientos pueden ser identificados y considerados frente a los objetivos

del proceso.
• Puede utilizarse en una visión de la organización a nivel global o a un nivel de
detalle.
• El diagrama proporciona una imagen clara del sistema, mostrando la naturaleza y
secuencia de los procedimientos, división de responsabilidades, fuentes,
distribución de documentos y situación de los registros de contabilidad.
• Simplifica la tarea de descripción de los procedimientos y técnicas mediante el
uso de gráficos de movimiento.
Figura No 1. Diagrama de Flujo

53
3.4.1.2. Diagramas de causa y efecto (Diagrama de Ishikawa)
El diagrama de causa efecto también es conocido como el diagrama de Ishikawa o espina

de pescado, sirve para identificar las causas y efectos de los riesgos. Este diagrama es una
herramienta efectiva para estudiar procesos y situaciones, y para desarrollar un plan de
recolección de datos. Su naturaleza grafica permite organizar grupos con grandes
cantidades de información y encontrar con exactitud las posibles causas. Por último, se
trata de identificar las principales causas.
Figura No 2. Diagrama de Causa Efecto
3.4.1.3. Diagrama de Ciclo de Ventas
El diagrama de flujo de procesos de venta es aquel que detalla todos los pasos, tareas y la
toma de decisiones con el fin de lograr máxima eficacia y eficiencia. Este flujo de proceso
de venta debe ser simple y bien definido, ya que esa es la clave para manejar con éxito
sus vendedores y su canal de ventas. La mayoría de veces se refiere al conjunto de pasos
repetitivos que el equipo de ventas sigue desde un momento determinado para identificar
un lead hasta el momento de cerrar una venta. Y que es el lead, pues el lead es un
54
prospecto que se utiliza en el marketing y el diagrama de flujo de procesos lo utiliza en

sus 4 tareas principales como son:
1. Identificar el lead
2. Clasificar el lead
3. La propuesta de solución y prueba de concepto
4. Negociación
Figura No 3. Ejemplo Diagrama del Ciclo de Ventas
3.5. Técnicas de Control Interno

55
3.5.1. ¿Qué entendemos por Técnicas en control?
Son los métodos y medios que se utilizan para la obtención y análisis de información,
hechos y circunstancias de una situación y para conocer la existencia o no de controles
internos y evaluar su efectividad en cualquier área o proceso.
3.5.2. ¿Qué beneficios proporciona la aplicación de Técnicas en el

ejercicio del control?
El conocimiento directo de las técnicas, por quien ejerce el control, proporciona más
seguridad y confiabilidad para el examen de cómo se están realizando las operaciones en
la realidad que con la sola verificación de la Información que normalmente fluye en la
Entidad.
3.5.3. Tipos de técnicas de Control Interno
3.5.3.1. Observación
Es una técnica de verificación ocular, permite mirar y observar todos los hechos
relacionados con los procesos.
Pasos para su aplicación:
a. Definir qué se va a observar

b. Determinar cuándo y dónde se va a efectuar
c. Ir al sitio o lugar de los hechos
d. Anotar los aspectos importantes observados
Ejemplo:
LA GALERÍA DEL PAN S.A.

CONTROL INTERNO
Departamento de Ventas: Atención al cliente
CONTROLES GENERALES: OBSERVACIÓN
- La fluctuación de clientes en la matriz de La Galería del Pan S.A. (ubicada en
Quito) entre 18:00 a 20:00 horas es mayoritaria al resto del día.
56
- Aproximadamente ingresan al establecimiento 20 personas por cada media hora.

- Se analiza que la empleada de turno encargada de despachar a los clientes
durante esas horas lo hace de entre 6 a 8 minutos por persona.
- Los productos que tiene mayor demanda durante ese periodo son los panes:
cacho, reventado, empanadas y los enrollados.
- La empleada de turno atiende a los clientes de manera cordial, satisfaciendo a sus
necesidades de una forma ágil, rápida y oportuna.
- La empleada de turno conoce a la perfección los precios de cada producto en el
establecimiento.
- …………………………………………………………………………………..…
…………………..…………………..…………………..…………………..…..…
……………..…………………..…………………..…………………..………..…
………..…………………..…………………..…………………..……………..…
…..…………………..…………………..…………………..…………………..…
………………..…………………..…………………..…………………..……..…
…………..…………………..…………………..…………………..……………..
3.5.3.2. Inspección
Consiste en verificar y mirar que lo se posee en documentos se tiene en físico; se analizará

las características, atributos técnicos, el estado en que se encuentran, de modo que, esta
técnica se aplica más en las bodegas, además, se verifica que las maquinarias se
encuentren en orden y que el estado de los vehículos en uso sea el correcto.
a. Precisar qué se va a inspeccionar

b. Definir para qué se hace la inspección
c. Asignar la persona indicada para efectuarla
d. Recolectar la información necesaria que permita su confrontación.
e. Efectuar la inspección
f. Registrar e informar los resultados
Ejemplo:
57
CUADRO DE INSPECCIÓN DEL ÁREA ADMINISTRATIVA
DESCRIPCIÓN VALOR
PLACA NÚMERO DE PLACA ESTADO
ELEMENTO HISTÓRICO
BRÚJULA NO EA 9501102-133 $4.876,00 Dañada
IMPRESORA
NO EA 0201 97-1 $695.000,00 Dañada
MATRIZ DE PUNTO
LIMNIGRAFO NO EA 9501 102-731 $90.000,00 Dañada
MIRA
TOPOGRÁFICA DE SÍ 15790 $100.000,00 Dañada
5 TRAMOS
No se encuentra en
PLANTA
uso, para dar de
TELEFONÍA SÍ 15555 $533.303,00
baja por cambio de
CELULAR
tecnología
No se encuentra en
PLANTA
uso, para dar de
TELEFONÍA SÍ 15518 $459.744,00
baja por cambio de
CELULAR
tecnología
3.5.3.3. Revisión analítica
Se realiza un examen crítico a una situación o a un proceso y se lo analiza de forma

ordena, comparándolo para verificar su correcta práctica. Es un estudio minucioso de
cómo se maneja una situación y que esto requiere el análisis separado de sus
componentes.
a. Fijar en forma clara los objetivos

b. Recopilar toda la Información disponible para el análisis
c. Ordenar la Información en sus partes componentes
d. Analizar cada parte
e. Resumir el análisis de cada una
f. lntegrar los resultados del análisis.
Ejemplo:
Caso práctico de revisión analítica aplicada a la etapa de planifación:

58
Objetivo: Analizar las variaciones en los saldos del Balance general con el fin de detectar
rubros con saldos o variaciones en los saldos anormales que pueden indicar la existencia
de posibles errores o rubros con saldo poco significativo o sin saldo.
59
3.5.3.4. Examen de exactitud
Se verifica cualquier documento, transacción o proceso que tengan numeración, que sea
correcto: el número de cuenta, los cálculos matemáticos, los valores, así mismo, que se
lleven una numeración secuencial.
a. Precisar lo que se va a examinar

b. Determinar el procedimiento a seguir
c. Efectuar las medidas o cálculos por separado
d. Confrontar con totales o datos de control
e. Confrontar contra la información y los documentos soporte.
f. Registrar con una señal (Vo. Bo.) lo examinado.
Ejemplo:
La cuenta bancaria del mayor general debería ser debitada mensualmente en base al
registro de ingresos y acreditada una vez al mes en base al registro de cheques, se débito
a CREACIONES LUDY LTDA se débito el valor de 26223.326,00.
60
3.5.3.5. Comprobación
Se debe a comprobar los documentos con los registros (lo que se tiene en documentos
debe estar registrado), de igual forma, estos registros deben ser confiables y tener
aprobaciones, firmas correctas, es decir, se verifica que la transacción sea correcta y tenga
suficientes documentos que la justifiquen.

a. Precisar la situación objeto de comprobación.
b. Recolectar documentos y demás soportes de la operación.
c. Determinar, en la operación y en los documentos soporte, las evidencias
suficientes que demuestren la veracidad y validez de las mismas.
d. Registrar e informar los resultados.
Ejemplo:
Fecha 06-02-2020.- Recibimos un pago por el valor de 30 dólares, el comprobante fue

registrado una vez que se reciba.
61
Fecha 07-02-2020.- Se recibió el comprobante por el cual se procede a registrar.
3.5.3.6. Conciliación
Consiste en hacer que concuerde 2 conjuntos de cifras relacionadas separadas e

independientes.

a. Definir la(s) cuenta(s) que van a ser objeto de Conciliación.
b. Determinar la fecha de corte para la conciliación.
c. Obtener de Contabilidad el saldo de la(s) cuenta(s) que se va(n) a
conciliar.
d. Cotejar contra los registros o informes de la dependencia
correspondiente.
e. Aclarar las diferencias que resulten y, cuando sea necesario, recomendar
los ajustes del caso.
Ejemplo:
62
Comparación con: Cheques, notas de débito
BANCO PICHINCHA C.A CUENTA N° 2547891524

CHEQUE N° 27
USD: 100,70
PAGUESE A LA ORDEN DE:_MEGA SANTA MARIA
LA SUMA DE: Cien con setenta centavos
Quito, 29/Octubre/2019
CIUDAD Y FECHA FIRMA
SUCURSAL NORTE
63
3.5.3.7. Análisis de saldos y movimientos
Se analiza el saldo de una cuenta, y se identifica los movimientos que tiene cada una de
estas, así como, las transacciones y documentos que respaldan dichos saldos, en otras
palabras, cómo se va alimentando los saldos
a. Determinar las cuentas que se van a analizar.

b. Determinar las fechas y el responsable del análisis.
c. Seleccionar y clasificar los componentes que integran la cuenta.
d. Descomponer el saldo de cada cuenta en sus cargos y abonos.
e. Efectuar el análisis y registrar sus resultados para informar.
Ejemplo:
3.5.3.8. Confirmación
Consiste en cerciorarse de la validez de las acciones, por ejemplo: se emite cartas a los
proveedores, clientes o bancos, etc., de esto modo, se permite confirmar que los saldos
que se registran sean los valores que me deben o que debemos.
a. Definir el aspecto para confirmar y quién lo va a realizar.

b. Disponer de la información para cotejarlo con la del tercero.
c. Definir a quiénes se les va a solicitar información.
d. Elaborar y enviar la(s) comunicación( es).
e. Cotejar la respuesta de terceros con la de la entidad.
f. Informar los resultados.
Ejemplo:
64
Confirmación positiva – oficio remisorio

65
Respuesta
3.6. El Control Interno contable, tributario y administrativo
3.6.1. Control Interno contable
Según Estupiñan (2010), revela que existe un solo control interno que es el administrativo,
pero a su vez es necesario controlar los sistemas de información, surge el control interno
contable que cosiste en generar seguridad razonable en las operaciones registradas de
66
manera sistemática que registre los movimientos económicos de las empresas

dependiendo de las actividades que realiza y de esta maneta salvaguardar los activos de
la empresa.
El control interno al ser considerado como una herramienta de control, determina el

aseguramiento del empleo eficiente y eficaz en el cumplimento de los objetivos, por ello
la gestión busca fundamentalmente la supervivencia y crecimiento de la entidad, el
control se vuelve eficaz y determinante para evaluar el cumplimiento de dichos objetivos.
(Luna, Sistema de Control Interno para Organizaciones, 2011)
3.6.2. Control Interno tributario
En la mayoría de las actividades y transacciones que se realizan en el día a día de una

empresa, existe el impacto de temas tributarios, por lo que es necesario evaluar el plan de
organización, los métodos y procedimientos adoptados, para que se incluyan aquellos
elementos importantes que permitan al contribuyente mantener la confianza de estar
cumpliendo con todas sus obligaciones tributarias.
Primeramente, se debe tener en consideración que el primer paso a tomar por parte de la
Administración es realizar una evaluación de sus procedimientos de control interno fiscal.
Para este fin, lo importante no es únicamente tener los controles identificados, sino,
además, que cada miembro del equipo se asegure de cuáles son sus funciones en relación
con ellos de modo que se cumplan.
Es importante que las compañías puedan identificar los riesgos del control interno fiscal
de cada uno de los ciclos del negocio, entre ellos: ingresos, compras, nóminas, tesorería
y producción (como mínimo) para así poder evaluar el estado actual en que está operando
cada área y departamento de la compañía y los riesgos y/o debilidades que puedan existir.
Habiendo realizado lo anterior, resulta importante que las compañías implementen una
serie de cambios en el control interno de cada área y departamento, considerando que al
conservar el soporte de las operaciones podrá atenderse cualquier presunción de las
autoridades fiscales.
67
3.6.3. Control Interno administrativo
Comprende los planes, políticas y procedimientos concernientes a los procesos de

decisión que llevan a la autorización de las transacciones y operaciones por parte de la
gerencia. El objetivo es fomentar la eficiencia de las operaciones, la observancia de las
políticas prescritas por la gerencia y el logro de las metas programadas.
La protección de los recursos y la revelación de errores o desviaciones de los mismos es

responsabilidad primordial de los miembros de la alta gerencia. Por eso es necesario
mantener un acertado control interno administrativo.
Para que una entidad pueda funcionar, además de dotarla de los recursos necesarios
(humanos, materiales y financieros), debe poseer una organización compatible con su
razón de ser, es decir, debe cumplir con el proceso administrativo de planeamiento,
organización, dirección y control.
68
UNIDAD 4
4. Caso de aplicación práctica metodología COSO ERM o COSO II
4.1. Datos Generales Caso Práctico - Corporación Cable TV
CORPORACION CABLE TV es un proveedor multinacional de servicio de difusión

directa por satélite en vivo, Transmite televisión digital, incluidos canales de audio y por
satélite a los televisores fijos de sus clientes suscritos en Estados Unidos y Latinoamérica
y que cuenten con un decodificador y una antena parabólica receptora.
4.2. Productos y servicios
CORPORACIÓN CABLE TV comercializa tanto productos y servicios de televisión

pagada, entendiéndose como productos a decodificadores en sus diversas tecnologías, y
en el caso de servicios a la diversa programación y servicios móviles, presentadas a
continuación:
Canales por paquete comercial
Planes y Paquetes Azul Verde Dorado Plata

Canales
Canales Video 61 83 113 113
Estándar
Incluye 3 canales del
Canales Video Alta 24 27 33
definición extranjero y deportivos
Canales Audio 36 36 36 36
20 Incluye Paquetes y
Canales P Opcional Opcional Opcional
canales deportivos
Tecnologías CORPORACION CABLE TV

69
Denominación Siglas Características

Decodificador básico en definición
Estándar SD
estándar
Decodificador en alta definición
Alta definición HD Grabar programas, pausar televisión

y Programas en 3D
4.3. Mapa de procesos
La compañía clasifica sus procesos en: gobernantes, productivos, de apoyo y de control,

tal como se muestra en el siguiente mapa:
Mapa de Procesos de CORPORACION CABLE TV

Procesos Gobernantes
Planeación Estratégica Customer Experience
Procesos Productivos
Satisfacción del Cliente

Requisitos del Cliente
Desarrollo de Facturación y
Comercialización Field Service Pos Venta
Producto Cobranza
Procesos de Apoyo
Talento
Tecnología de Administración Publicidad y
Crédito Humano y Logística Procesos
la Información y Finanzas Comunicación
SSO
Proceso de Control
Control Interno
Por otro lado, a continuación se presenta un detalle del inventario de procesos que se
encuentra clasificado en función al trabajo y enfoque en calidad y gestión de procesos
que tiene la compañía.
Inventario de Procesos CORPORACION CABLE TV

70
Tipo de
Macro Proceso Proceso
Proceso
Planificación de actividades institucionales
Planeación Control de Gestión Estratégica
Estratégica Gestión Regulatoria
Gobernantes Planificación Financiera
Fidelización de Clientes
Experiencia con el
Evaluación de Calidad
Cliente
Comunicación Institucional y Corporativa
Gestión de Productos, Campañas y Ofertas
Desarrollo de
Evaluación y Retroalimentación de Productos,
Producto
Campañas y Ofertas
Gestión de Canales de Venta
Comercialización Gestión de Venta
Administración de Ventas
Instalaciones
Servicios de Servicios a la base
instalación Optimización de redes
Productivos Calidad técnica
Gestión de Pre facturación
Facturación y
Gestión de Facturación
Ajustes
Gestión de Ajustes Financieros
Gestión de Recaudo
Cobranza
Gestión de Cobranza
Gestión de actualizaciones
Gestión de Reclamos
PosVenta
Soporte técnico telefónico
Gestión de Cancelación de contratos
Gestión de Compensaciones y Beneficios
Talento Humano Desarrollo organizacional
Apoyo Seguridad y Salud Ocupacional
Administración Estados Financieros de Cierre
Financiera Gestión Tributaria
71
Tipo de
Macro Proceso Proceso
Proceso
Consolidación de Información Financiera – Tributaria
Gestión de capital de trabajo
Manejo de Cuentas por Cobrar
Manejo de Cuentas por Pagar
Gestión de Deuda
Análisis de Ingresos y Gastos
Conciliación Bancaria y Relación Bancaria
Comisiones
Gestión de compras
Logística
Gestión de inventario
Gestión de demanda
Tecnología de
Desarrollo tecnológico
Información
Soporte técnico
Gestión de Proyectos
Procesos
Mejora Continua
Análisis de Riesgo
Control Control Interno
Auditorías
El área de Control Interno ha agrupado los procesos de la compañía en 8 Megaprocesos

que impactan directamente en materia financiera y de control:
1. Ingresos
2. Activo Fijo
3. Inventario
4. Recursos Humanos
5. Egresos
6. Tecnología de la Información
7. Finanzas y Cierre Contable
8. Tesorería
72
Para efectos de la aplicación de la metodología, se tomarán los mega procesos de ingresos

y egresos los cuales están compuestos en el caso de ingresos por 7 procesos 12
subprocesos y en el caso de Egresos 3 procesos y 11 subprocesos tal como se detalla a
continuación:
Inventario de Subprocesos
MEGA
PROCESOS SUBPROCESOS
PROCESOS
Administración de Administración de Precios y Descuentos
Ventas Gestión de Canales de Venta
Captación de la preventa
Gestión de Ventas Análisis de Crédito
Cobro cuota inscripción
Pre facturación
Ingresos
Facturación y Ajustes Facturación
Ajustes Financieros
Recaudación masiva con débito automático
Gestión de Recaudos
Recaudación por ventanilla
y Cobro
Conciliación de Recaudos
Gestión de Cobro Gestión de Cobro
Requisición de Compras
Selección del Proveedor
Orden de Compra y Contratos
Compras
Recepción / Ingreso de Bienes y Servicios
Administración del maestro de proveedores
Egresos Compras Excepcionadas
Anticipo a Proveedores
Revisión y registro de Facturas
Cuentas por pagar
Procesamiento de Pagos
Administración de Reclamos de Proveedores
Otros Gastos Reembolsos de Gastos
73
El análisis metodológico basará su estudio en el Enterprise Risk Management Framework

conocido como COSO ERM o COSO II, cuya estructura presenta una metodología para
abordar la gestión de control interno y riesgo empresariales de las empresas con un
enfoque integrador que supone una verdadera oportunidad de creación de valor para sus
stakeholders.
La gestión de control interno y riesgo empresariales corporativos se ocupa de los riesgos

y oportunidades que afectan a la creación de valor o su preservación, se define como “El
proceso efectuado por los administradores, su dirección y restante personal aplicable a la
definición de estrategias en toda la empresa y diseñado para identificar eventos
potenciales que pueden afectar a la organización, gestionar sus riesgos dentro del riesgo
aceptado y proporcionar una seguridad razonable sobre el logro de sus objetivos.” 3
Dentro de los sistemas de información y su base de datos de procesos, el diseño de la

metodología de Matriz de Riesgo, se orientará el desarrollo de un modelo experto de
gestión de control interno y riesgo empresariales, el cual se formalizará a través de la
emisión de procedimientos de control, la definición de funciones y responsabilidades
basados en la experiencia y juicio experto del personal que lidera el proceso.
4.3.1. Metodología COSO ERM ó COSO II– Aplicación práctica
4.3.2. Objetivo
Los lineamientos establecidos en la presente Metodología tienen como objetivo servir

de guía a las actividades para la gestión de Control Interno con un enfoque de gestión de
control interno y riesgo empresariales empresariales en empresas de televisión pagada y
prepagada, para la aplicación práctica de la Metodología, denominaremos a la Empresa
CORPORACIÓN CABLE TV.
4.3.3. Alcance
El caso de estudio diseña las políticas, estructura de gestión, metodologías y criterios

propuestos respecto de la gestión de control interno y riesgo empresariales para
CORPORACIÓN CABLE TV, los elementos establecidos en el presente análisis, serán
3
COSO II Y LA GESTIÓN INTEGRAL DE RIESGO DEL NEGOCIO, tomado de la página web
http:/estrategiafinanciera.es,
74
aplicados por los involucrados en el proceso de gestión de Control Interno con enfoque
de riesgo operativo para los Procesos de Ingresos y Gastos.
4.3.4. Proceso de Gestión
El riesgo será gestionado de acuerdo a los parámetros del Enterprise Risk Management
Framework conocido como COSO ERM o COSO II, que gestiona los riesgos
corporativos, está conformado por ocho componentes relacionados entre sí, como se
aprecia en el siguiente gráfico:
Gestión de control interno y riesgo empresariales empresariales COSO ERM

(COSO II)
4.3.4.1. Ambiente Interno
Abarca el talante de una organización y establece la base de cómo el personal de la entidad

percibe y trata los riesgos, incluyendo la filosofía para su gestión, el riesgo aceptado, la
integridad y valores éticos y el entorno en que se actúa.
4.3.4.2. Establecimiento de objetivos
Los objetivos deben existir antes de que la dirección pueda identificar potenciales eventos
que afecten a su consecución. La gestión de control interno y riesgo empresariales
corporativos asegura que la dirección ha establecido un proceso para fijar objetivos y que
los objetivos seleccionados apoyan la misión de la entidad y están en línea con ella,
además de ser consecuentes con el riesgo aceptado.
75
4.3.4.3. Identificación de eventos
Los acontecimientos internos y externos que afectan a los objetivos de la entidad deben
ser identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten
hacia la estrategia de la dirección o los procesos para fijar objetivos.
4.3.4.4. Evaluación de riesgos
Los riesgos se analizan considerando su probabilidad e impacto como base para

determinar cómo deben ser gestionados y se evalúan desde una doble perspectiva,
inherente y residual.
4.3.4.5. Respuesta al riesgo
La dirección selecciona las posibles respuestas -evitar, aceptar, reducir o compartir los
riesgos - desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las
tolerancias al riesgo de la entidad.
4.3.4.6. Actividades de control
Las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las
respuestas a los riesgos se llevan a cabo eficazmente.
4.3.4.7. Información y comunicación
La información relevante se identifica, capta y comunica en forma y plazo adecuado

para permitir al personal afrontar sus responsabilidades. Una comunicación eficaz debe
producirse en un sentido amplio, fluyendo en todas direcciones dentro de la entidad.
4.3.4.8. Supervisión
La totalidad de la gestión de control interno y riesgo empresariales corporativos se

supervisa, realizando modificaciones oportunas cuando se necesiten. Esta supervisión se
lleva a cabo mediante actividades permanentes de la dirección, evaluaciones
independientes o ambas actuaciones a la vez.
4.3.5. Estructura de la Gestión de control interno y riesgo empresariales

76
La gestión del riesgo involucra el diseño del Proceso de Gestión de control interno y
riesgo empresariales, el cual ha sido incorporado al Mapa de Procesos de la Gerencia de
Procesos y Control Interno, y forma parte de la cadena de valor de la empresa, conforme
lo siguiente:
Gerente de procesos y control interno - Mapa de Procesos
Mapa de Procesos - Gerencia de Procesos y Control Interno
EVALUACIÓN DE LOS PROCEOS Y
ELABORACIÓN DE CRONOGRAMA
VALORACIÓN DE SU CRITICIDAD
PLANIFICACIÓN (MATRIZ DE RIESGOS Y CONTROLES)
ANUAL DE TRABAJ0
DISEÑO DE METODOLOGÍA PARA

IMPLEMENTACIÓN GESTIÓN DE CONTROL INTERNO
IMPLEMENTACIÓN COMUNICACIÓN
GESTIÓN DE
PROCESOS Y
CONTROL
INTERNO MONITOREO Y COMUNICACIÓN DE SEGUIMIENTO DE ACCIONES
AUDITORÍAS DE CONTROL INTERNO EVALUACIÓN DE HALLAZGOS
DEFICIENCIAS CORRECTIVAS
SEGUIMIENTO
EVALUACIÓN DE LA GESTIÓN DE CONTROL

EVALUACIÓN INTERNO
ESTABLECIMIENTO IDENTIFICACIÓN EVALUACIÓN RESPUESTA ACTIVIDADES INFORMACIÓN Y

DE OBJETIVOS DE EVENTOS DE RIESGOS AL RIESGO DE CONTROL COMUNICACIÓN
GESTIÓN DE GESTIÓN DE
RIESGOS DE RIESGOS
NEGOCIO DE NEGOCIO
MONITOREO
4.3.6. Recursos
Los roles y responsabilidades relativas a la gestión de control interno y riesgos

empresariales se asignarán al Gerente de Procesos y Control Interno y así como a todo el
personal que gestione los procesos de ingresos y gastos y sus riesgos relacionados.
4.3.7. Estructuras de responsabilidad
El esquema organizativo de la gestión de control interno y riesgos empresariales se

encuentra segmentado en tres estructuras de responsabilidad: estratégica, táctica y
operativa.
4.3.7.1. Estructura Estratégica
Compuesta por el Presidente Ejecutivo y la Gerencia de Procesos y Control Interno.

77
Principales responsabilidades:
La definición, aprobación y supervisión de la estrategia, políticas, procesos y
procedimientos para la gestión de control interno y riesgos empresariales, así como
asegurar la existencia de los recursos necesarios para su correcta implantación.
4.3.7.2. Estructura Táctica
Compuesta por la Alta Gerencia: Presidencia y Gerencia de Comunicación y Gerencia de

Deportes.
Comunicar de forma clara la estrategia, las políticas y la estructura de la gestión de control
interno y riesgos empresariales con el propósito de crear una cultura de riesgos.
4.3.7.3. Estructura Operativa
Compuesta por áreas operativas y de negocio relacionada con los procesos de ingresos y
gastos. (Financiera Administrativa, Legal y Regulatoria, Tecnología de Información,
Gestión de Talento Humano, Customer Experience, Operaciones, Comercial).
Presidencia Ejecutiva Alta Gerencia: Diseñar y proponer las estrategias, políticas,
procesos y procedimientos de gestión de riesgo, así como, desarrollar metodologías y
manuales de gestión.
Gerencia de Procesos y Control Interno: Aplicar políticas, procedimientos y controles

aprobados en su operatividad, al igual que dar seguimiento, dentro de sus competencias,
a las exposiciones de riesgo y a los resultados de las acciones adoptadas para su
tratamiento.
4.3.8. Roles y Responsabilidades
Por responsable
78
Roles y Responsabilidades de la gestión de control interno y riesgos

empresariales por responsables
Responsables Roles Responsabilidades
• Supervisar el perfil de Riesgos
• Informarse regularmente sobre la situación del
riesgo de la institución, su evolución en el tiempo
y su perfil
Presidencia
Supervisión • Informarse, periódicamente, de la implantación y
Ejecutiva cumplimiento de las estrategias, políticas,
procedimientos y límites aprobados; y, en el caso
de determinar incumplimiento o cumplimiento
parcial, establecer las medidas correctivas
• Aprobar estrategias, políticas, procesos,
Aprobación procedimientos para el manejo del riesgo.
• Aprobar el Plan de Gestión de control interno y
riesgo empresariales, el cual formará parte del
Plan Anual de Actividades de la Gerencia de
Procesos y Control Interno.
• Aprobará la estructura organizacional que soporte
el proceso de gestión de riesgo.
• Comunicar de forma clara y explícita la estrategia
de riesgo, las políticas para su aplicación y la
Ejecución
estructura de gestión del riesgo.
• Aplicar la estrategia de gestión del riesgo.
• Proponer las estrategias, políticas,
procedimientos, planes de tratamiento para la
gestión del riesgo.
• Proponer las metodologías para gestionar el
riesgo, e implementar mecanismos que aseguren
su actualización
• Monitorear y analizar de forma sistemática el
nivel de exposición del riesgo.
Gerencia de • Poner en práctica las políticas de gestión del
Procesos y Consejo riesgo.
de Control • Implantar el Plan de comunicación.
Interno • Analizar el entorno económico, de la industria,
de los mercados en los que se opera y sus efectos
en la empresa.
• Informar la Presidencia Ejecutiva respecto de la
efectividad, aplicabilidad y conocimiento por
parte del personal de la institución, de las
estrategias, políticas, procesos y procedimientos
de riesgo.
79
Responsables Roles Responsabilidades

• Asegurarse de la correcta ejecución tanto de la
estrategia, como de la implantación de políticas,
metodologías, procesos y procedimientos de
riesgo.
• Conocer en detalle las exposiciones al riesgo con
relación a los perfiles de comportamiento y
Supervisión transaccionales.
• Informarse regularmente sobre la situación de
gestión de control interno y riesgo empresariales
de la institución, sus cambios y evolución en el
tiempo.
• Evaluar la eficacia y efectividad del Plan de
Gestión del Riesgo.
• Coordinar la gestión del riesgo con la
Coordinación
administración de riesgos asociados.
• Aplicar las políticas, procedimientos y controles
Áreas
aprobados para operatividad diaria.
Operativas/
Ejecución • Dar seguimiento, dentro de sus competencias, a
Propietarios
las exposiciones de riesgo y a los resultados de las
del riesgo
acciones adoptadas para su tratamiento.
Auditoria • Examinar la aplicación y eficacia del marco
Ejecución
Interna adoptado para el monitoreo y revisión del riesgo.
Por actividad
Roles y Responsabilidades de la gestión de control interno y riesgos

empresariales por Actividad
Actividad Responsable
Establecimiento de objetivos Presidencia y Alta Gerencia.
Identificación de eventos Gerencia de Procesos y Control Interno.
Evaluación de Riesgos Gerencia de Procesos y Control Interno.
Respuesta al Riesgo Gerencia de Procesos y Control Interno.
Actividades de Control Áreas Operativas y de Negocio.
Alta Gerencia, Gerencia de Procesos y Control
Información y Comunicación
Interno.
Gerencia de Procesos y Control Interno, Áreas
Supervisión
Operativas y de Negocio.
4.4. Metodología para la implementación del proceso de gestión de control

interno en los procesos de ingresos y egresos
80
En consideración de la información que tiene almacenada la Institución dentro de los

sistemas de información y bases de datos de procesos, el diseño de la metodología de
gestión de control interno y riesgo empresariales, se orientará el desarrollo de un modelo
experto.
El presente trabajo de investigación contiene la descripción del modelamiento del proceso

de gestión de riegos en formato Excel, gráficas que serán presentadas en la descripción
de los factores de riesgo analizados, en las distintas etapas para la construcción del
modelo.
4.4.1. Identificación de Riesgos
En primera instancia, la metodología de identificación de riesgos consiste en revisar

fuentes de información con eventos de riesgo de acuerdo con la naturaleza y
características de los factores de riesgos. Los riesgos se identifican con base en la lluvia
de ideas, basada en la experiencia de los líderes de proceso y la recogida en la gestión de
procesos de CORPORACIÓN CABLE TV, con la cual se construye una base de datos de
eventos de riesgos, que posteriormente serán evaluados y calificados.
Para evaluar si los eventos de riesgos identificados constituyen riesgos reales o

potenciales que requieran ser gestionados, las áreas operativas y de negocio
conjuntamente con el responsable de la Gerencia de Procesos y Control Interno
identificarán dichos eventos.
4.4.2. Valoración de Riesgos
Calificación de resultados. - Una vez identificados los eventos de riesgo, se debe

proceder con la valoración de riesgos, para lo cual se debe construir una Matriz de
Evaluación de Riesgos en donde se tomarán en cuenta los siguientes aspectos:
1. Megaproceso, Proceso, Subproceso:

2. Evento de Riesgo: identificación resumida o el título del riesgo o evento
que afecta la consecución de los objetivos de la entidad.
3. #: Número secuencial de factor riesgo.
81
4. Descripción del Riesgo: identificar y describir los eventos negativos (o no

deseados) que, en caso de ocurrir tengan un impacto adverso en el
desarrollo de las funciones de la entidad y afecten la consecución de sus
objetivos.
5. Factor de Riesgo: Señalar con una x el factor de riesgo que puede afectar
el cumplimiento de los objetivos institucionales, los cuales constituyen los
medios, circunstancias y agentes generadores de riesgo. Los agentes
generadores que se entienden como todos los sujetos u objetos que tienen
la capacidad de originar un riesgo. Para el efecto se utilizan los factores
de riesgo operativo: procesos, personas, tecnología de información y
eventos externos.
6. Probabilidad: Probabilidad es la posibilidad de ocurrencia del evento, que
puede ser medida con criterios de Frecuencia (por ejemplo, número de
veces en un tiempo determinado) o Factibilidad, teniendo en cuenta la
presencia de factores internos y externos que pueden propiciar el riesgo.
Para el efecto se utilizará una matriz con tres escalas de medición, con
criterios cualitativos, de acuerdo a lo siguiente:
Probabilidad
Valor Escala Concepto
Muy Se espera que ocurra una vez al año y ya ha ocurrido
3
Probable con anterioridad varias veces
2 Probable Puede ocurrir alguna vez/ ha ocurrido solo una vez.
No ha ocurrido nunca pero podría ocurrir en los
1 Improbable próximos años o en circunstancia excepcionales
7. Impacto: Por impacto se entiende las consecuencias o la magnitud de sus efectos.
Para el efecto se utilizará una matriz con tres escalas de medición, con criterios
cualitativos, de acuerdo a los siguientes parámetros:
Impacto
82
Valor Escala Concepto

Las consecuencias amenazaran la supervivencia del
programa, proyecto, actividad, proceso de la entidad.
3 Alto Las consecuencias amenazaran la efectividad del programa o
del cumplimiento de objetivos de la entidad.
Las consecuencias no amenazarán el cumplimiento del
programa, proyecto, actividad, proceso, o de los objetivos,
2 Medio pero requerirán cambios significativos o formas alternativas
de operación.
Las consecuencias pueden solucionarse con algunos cambios
1 Bajo o pueden manejare mediante actividades de rutina.
Con la información obtenida, se procede a calificar los riesgos identificados con las
escalas de medición (bajo, moderado y alto), utilizando el juicio de experto y en base a
la información levantada, para obtener el riesgo inherente.
8. Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones

de los directivos para modificar su probabilidad o impacto.
Calificados cada uno de los riesgos identificados en la matriz, se clasificarán en bajo,

moderado y alto, según la siguiente escala colorimétrica:
Riesgo inherente
Valor Escala Color
De 1.00 a 2.99 Bajo Verde
De 3.00 a 5.99 Moderado Naranja
De 6.00 a 9.00 Alto Rojo
4.4.3. Mapa de Riesgo
Antes de realizar el mapa de riesgo es necesario identificar los límites inferiores y

superiores del nivel del riesgo, para el efecto se ha diseñado el siguiente cuadro
explicativo:
83
Nivel de riesgo
Nivel de riesgo Límite inferior Límite superior Colorimetría
Riesgo Bajo 1.00 2.99
Riesgo Medio 3.00 5.99
Riesgo Alto 6.00 9.00
En dónde:
• El límite inferior del riesgo bajo es de 1.00 y el límite superior son de 2.99.
• El límite inferior del riesgo medio es de 3.00 y el límite superior son de 5.99.
• El límite inferior del riesgo alto es de 6.00 y el límite superior son de 9.00.
La metodología de matriz de riesgo, es el cruce de la probabilidad de la frecuencia del

riesgo (Muy probable, probable e improbable), con el impacto que este puede generar en
la Empresa y que puede ser bajo, medio o alto.
Mapa de riesgo
Alto 3 3,00 6,00 9,00

Medio 2 2,00 4,00 6,00
Bajo 1 1,00 2,00 3,00
1 2 3
Probabilidad
Bajo Medio Alto
Impacto
4.4.4. Control y Monitoreo
Riesgo Residual. - Luego de haber calificado el riesgo inherente, se identifica y describe

los procesos de control que la empresa utiliza para eliminar o mitigar los riesgos.
Una vez aplicados dichos procesos se mide el riesgo residual existente, es decir que a
pesar de aplicar medidas de control el riesgo aún existe.
84
Los Controles que el presente modelo experto propone, para la mitigación de riesgos
identificados, contiene los siguientes criterios:
Tipos de Control
Control
Control Automático
Control Semiautomático
Manual
• Control manual: aquellos que son ejecutados por una o más personal del
área usuaria sin la utilización de herramientas computacionales.
• Control Semiautomático: aquellos que son ejecutados por una o más
personas y por un sistema de información, es decir es un trabajo conjunto
entre ambas partes.
• Control Automático: son generalmente los incorporados en el software, de
operación, de comunicación, de gestión de base de datos, programas de
aplicación, etc.; es decir no requiere intervención humana.
Su metodología de valoración será similar a la del Riesgo inherente como se muestra a

continuación:
• Probabilidad: se calificará nuevamente considerando y los parámetros

establecidos en la parte superior numeral 7.
• Impacto: se calificará nuevamente considerando y los parámetros
establecidos en la parte superior numeral 8
• Riesgo de Control: En el riesgo remanente luego que la entidad ha llevado
a cabo una acción para modificar la probabilidad o impacto de un riesgo.
Es el resultado de la multiplicación de la probabilidad e impacto. La
clasificación de alto, moderado o bajo se efectuará según los parámetros
establecidos en el mapa de riesgos.
85
4.5. Gestión del sistema de control interno, para los procesos de ingresos y
gastos en Corporación Cable TV Cía. Ltda.
4.5.1. Análisis de la Base de Datos Institucional
El alcance del presente trabajo se basa en el análisis de los procesos de Ingresos y Gastos
de CORPORACIÓN CABLE TV Cía. Ltda. para el levantamiento de información e
identificación de riesgos se utilizará la metodología antes descrita.
La fuente de información constituye la base de datos de megaprocesos, procesos,

subprocesos, políticas y procedimientos de la empresa, que ha sido levantada por la
Gerencia de Procesos y Control Interno, en el período 2013, 2014 y 2015.
Con este antecedente, el megaproceso de egresos está compuesto por 3 procesos 12

subprocesos y 20 actividades, como se aprecia en el siguiente cuadro:
Megaprocesos, subprocesos y actividades - Egresos

Megaproceso Proceso Subprocesos Actividades
Registro de la requisición de
compra en el sistema SAP
Requisición de compras Análisis y revisión para la
aprobación o rechazo de la
requisición de compra
Análisis y comparación de ofertas
a través de cotizaciones,
licitaciones o comité de compras
Calificar proveedores capaces de
Selección del proveedor
responder a las necesidades de
compra de la compañía en base a
Egresos parámetros calidad tiempos precios
Compras y pagos
Solicitud y aprobación formal de
la orden de compra del bien o
servicio requerido por
Orden de compras y CORPORACION CABLE TV, por
contratos medio del sistema SAP.
Elaboración de contratos que
protegen los intereses de las partes
Recepción / ingreso de Registro de la hoja de entrada y
bienes y servicios aceptación del bien o servicio
Administración del Creación o actualización de
maestro de proveedores proveedores en el sistema
86

Administración del maestro de
Proveedores
Validación de cambios de datos
sensibles de proveedores
Creación o actualización de
Administración de
perfiles de acceso al sistema de
aplicación de compras
compras
Solicitud de servicios que por su
Compras de servicios
naturaleza son recurrentes y
excepcionados
necesarios para la operación
Anticipo a proveedores Solicitud de anticipo
Revisión y registro de Recepción y validación de facturas

Egresos facturas con Documentos Habilitantes
Cuentas
por Pagar Registro del pago en el sistema
Procesamiento de pagos
Desembolso y liquidación de
anticipos
Cierre de cuentas por
Liquidación de cuentas por pagar
pagar
Solicitud de anticipo de empleados
Otros Desembolsos con tarjeta
Reembolsos de gastos corporativa
Gastos
Liquidación del anticipo con
documentos habilitantes
En forma complementaria el megaproceso de ingresos, está compuesto por 5 procesos y

11 subprocesos y 42 actividades conforme el siguiente detalle:
Megaprocesos, subprocesos y actividades – Ingresos

Proponer precios y descuentos de
productos/servicios que
CORPORACION CABLE TV
Ingresos coloca en el mercado en función a
costos y márgenes de rentabilidad
Administración Administración de
Aprobación de precios y
de Ventas Precios y Descuentos
descuentos por parte de
Presidencia y Direcciones
correspondientes
Ingresar lista de precios vigentes
en ICC
87

Identificación y análisis de
necesidad o crecimiento de
canales de venta
Aprobación de apertura o
expansión de canales de venta
Elaboración y firma del contrato
de prestación de servicios y la
Gestión de Canales de autorización de débito respectiva
Venta Capacitación y entrenamiento
sobre el producto / servicio para
su comercialización
Creación de accesos al sistema E-
Sales para la captación de ventas
Monitoreo de la Gestión ejecutada
por cada Canal
Recopilar información del cliente
en el formato "Solicitud de
Servicio"
Ingresar datos del cliente en
sistema de preventas E-Sales y
procesar información para
verificación crediticia, así como
de piratería o mora actual con
Ingresos
DTV
Aprobar o rechazar preventa
Captación de la
según el resultado de análisis
preventa y análisis de
manual o automático según sea el
crédito
caso
Firma de contrato de servicios y
autorización de débito
Gestión de
Venta Crear contrato en el sistema para
aquellas preventas aprobadas ya
sea automática o manualmente y
derivarlas al proceso de
instalaciones, caso contrario
registrar los motivos del rechazo
en el sistema
Si la forma de pago del cliente es
tarjeta de crédito, ingresar datos
de tarjeta de crédito en el sistema
de preventas E- Sales y realizar el
Cobro de ventas a
cobro de forma automática a
crédito
través de POS Virtual.
Automáticamente el pago es
asociado a contrato en el sistema
ICC.
88

Si la forma de pago del cliente es
débito automático, solicitar el
depósito o transferencia del valor
de subscrición en las cuentas
bancarias de CORPORACION
CABLE TV.
Finalización de la venta y
generación de la orden de
instalación
Revisión y actualización de las
reglas de negocio establecidas
para la facturación de productos y
servicios, así como también para
la aplicación de descuentos y
promociones.
Análisis automático de toda la
Prefacturación base de suscriptores Previo Pago
por medio del Robot
Prefacturador, buscando posibles
inconsistencias en las reglas de
negocio configuradas en el
sistema con el fin de notificar a
los dueños de proceso para su
corrección en la base
Generación masiva de cargos y
descuentos en el sistema de
Facturación y facturación de la compañía para la
Ajustes emisión de la base general de
clientes facturados y
segmentación de la base de
clientes con factura electrónica y
factura Impresa.
Ingresos
Facturación Envío de Base a Imprenta para la
emisión de Facturas Impresas
Envío de la base de clientes con
factura electrónica al proveedor
para emisión y envío de
documentos electrónicos
Envío al courier de la base de
clientes para distribución de
facturas impresas.
Los reclamos financieros de
clientes son receptados a través de
Reclamos Financieros
cualquier canal de comunicación
con el cliente
89

Los reclamos financieros son
analizados inicialmente por
ejecutivos de servicio al cliente
determinando si proceden o no.
En caso de no proceder son
derivados a segunda línea e
verificación, pudiendo llegar hasta
una tercera línea.
Aprobación o rechazo de
reclamos financieros
Ejecución del ajuste financiero o
devolución al cliente y emisión
de la nota de crédito
Segmentación y formateo de la
base de clientes facturados por
Institución Financiera, de acuerdo
al formato a lo establecido por
cada Banco.
Envío de las bases segmentadas y
formateadas a cada institución
Recaudación masiva
Financiera para el cobro.
con débito automático
Aplicación en el sistema de los
pagos confirmados por cada
institución financiera.
Preparación de la base para el
envío a la Institución Financiera
con el fin de realizar reintentos de
cobro a clientes impagos.
Gestión de Cliente se acerca a los puntos
Recaudos y autorizados de recaudo y realiza el
Cuentas por pago en caso de realizar el pago
Cobrar en bancos notifica o confirma el
Recaudación en depósito para que este sea
Ventanilla aplicado
Ingresos
Aplicación del pago en el sistema
Eliminación de OSD (on screen
display) y/o reconexión de señal
de ser el caso.
Definir objetivos y estrategias de
cobranza
Generar base de datos de clientes
que requieren gestión de cobranza
Gestión de Cobro
Envío automático de mensajes
OSD (on screen display)
solicitando pago a todos los
clientes impagos.
90

Desconexión automática de señal
a clientes impagos a los 33 días de
vencida la factura
Gestión de recuperación
telefónica
Generación de orden de recupero
de equipos a los 62 días de
vencida la factura y envío a un
tercero de la cartera de clientes
desconectados y con orden de
recupero de equipos para gestión
de recaudo
Registro de la provisión para
incobrables
Administración Creación o Actualización de
Administración de
de aplicación de perfiles de acceso al Sistema de
aplicación de ingresos
Ingresos Ingresos
4.5.2. Análisis del ambiente interno
Para el efecto se tomará en cuenta las siguientes capacidades o factores claves de las áreas
que intervienen en los procesos de ingresos y egresos, conforme la estructura
organizacional de la empresa:
91
Análisis de Ambiente Interno

Capacidades Informe Análisis
CORPORACION CABLE TV posee un adecuado
direccionamiento estratégico, los objetivos estratégicos y los Las Direcciones y Gerencias de la compañía conocen la misión y visión de la
indicadores de gestión están orientados a la misión y visión de compañía, así como los objetivos e indicadores que apuntan a su cumplimiento, sin
la compañía. Estos objetivos e indicadores son reportados a embargo, no todos conocen los principales indicadores de otros procesos que no
Casa Matriz trimestralmente sin embargo localmente son les corresponde liderar pero que impactan o se ven impactados en los que están a
reportados mensualmente con el fin de ir tomando palanes de su cargo. Esto genera que no haya un conocimiento global de negocio en todos los
acción para el cumplimiento de los mismos. casos, y pueda limitar la toma adecuada de decisiones.
Los Procesos de Ingresos y Egresos aportan indiscutiblemente Adicionalmente se observó en relación a los Procesos de Ingresos que la Gerencia
al cumplimiento de los siguientes objetivos estratégicos: de Facturación y Cobranzas no mantiene un adecuado panel de control gerencial o
Direccionamiento - Generar Flujos de Caja positivos reportes en línea que le permitan conocer el estatus de sus principales indicadores
Estratégico - Ganar participación de mercado de gestión, si bien hasta el momento esto no ha afectado el cumplimiento de los
- Mantener un crecimiento por encima de 10% mismos, si representa un riesgo el hecho de no tener un adecuado monitoreo de
En cuanto a los indicadores y objetivos relacionados a los estos indicadores, lo cual puede impedir la toma de planes de acción oportunos
procesos de Ingresos y Egresos, tanto la Dirección Financiera, ante cualquier desvío.
Dirección de Operaciones, Gerencia de Facturación y Cobranza, En el caso de los Procesos de Egresos se pudo observar que dentro de los
Gerencia de Compras y Gerencia Financiera que son los objetivos que mantiene Gerencia de Compras no existen indicadores que permitan
principales involucrados en estos procesos, conocen sus medir el ahorro generado por la gestión de sus área, contar con la medición de este
objetivos principales e indicadores atados al cumplimiento de indicador como parte de los objetivos podría impactar en una mejora de los
los mismos, los cuales han sido desplegados de los objetivos resultados del objetivo estratégico Generar Flujos de Caja Positivos.
estratégicos.
92
Los procesos de Ingresos dentro del mapa de procesos de la

compañía se encuentran formando parte de los Procesos
Productivos, por la importancia que estos representan dentro de
la cadena de valor. Por este motivo, el negocio Post pago
Al revisar la estructura organizacional relacionada a los Procesos de Ingresos se
cuenta con una estructura organizacional fuerte en especial en
puede observar que se mantiene la cantidad necesaria de personal, y unos niveles o
las áreas relacionadas al Proceso de Ingresos donde existen
jerarquías que permiten tener una adecuada segregación de funciones en la
alrededor de 88 empleados.
Estructura ejecución de los procesos.
Los procesos de Egresos dentro del mapa de procesos de la
Organizacional En relación a los Procesos de Egresos se puede observar que la estructura
compañía se encuentran formando parte de los Procesos de
organizacional es demasiado ligera en especial en los niveles operativos lo que
Apoyo debido a su rol dentro de la cadena de valor. Sin
puede impactar en que no se realice una adecuada gestión y control en los Procesos
embargo, estos procesos son de suma importancia para la
de Compras y Pagos.
administración del negocio y el éxito de sus resultados. Cuenta
con una estructura organizacional liviana en las áreas
relacionadas a los Procesos de Egresos donde existen alrededor
de 30 empleados.
Para la administración del Talento Humano la compañía cuenta

Al analizar los manuales de funciones y perfiles se pudo detectar que tanto en
con manuales de funciones y perfiles para cada cargo, los
personal involucrado en los procesos de Ingresos como de Egresos si bien existen
mismos que se han ejecutado de acuerdo a la estructura
Talento Humano dichos manuales, estos en algunos casos se encuentran desactualizados y en otros
organizacional de la compañía, esto aplica para todas las áreas
los perfiles no van acorde con el nivel de funciones y responsabilidades que se
de la compañía incluyendo el personal involucrado en los
requiere, en especial a nivel de cargos de Analistas y Jefaturas.
Procesos de Ingresos y Egresos.
93
Las plataformas tecnológicas que soportan tanto los Procesos de Ingresos como de
La compañía cuenta con plataformas tecnológicas que soportan
Egresos son administradas en lo relacionado a la creación, actualización o
y generan eficiencia en el desarrollo de sus procesos.
eliminación de perfiles de accesos o permisos, por el área de Control Interno, lo
En el caso de los Procesos de Egresos la plataforma tecnológica
cual garantiza la existencia de una adecuada segregación de funciones en las
utilizada para la ejecución de los Procesos de Compras, Cuentas
operaciones. En aquellos casos donde por motivos de estructura organizacional no
x Pagar y todo movimiento contable y financiero es SAP.
ha sido posible restringir ciertos accesos, el área de control interno ha
En el caso de los Procesos de Ingresos existen dos sistemas:
implementado controles compensatorios con el fin de que los dueños de procesos
E- Sales: Sistema para la captación y gestión de la venta, esto
puedan monitorear continuamente el uso de estas transacciones conflictivas en el
incluye captación de preventas, análisis del cliente y revisión
sistema.
crediticia en primera línea, ventas a crédito (Monto por
Tecnología de la Por otro lado la administración del funcionamiento, desarrollos tecnológicos,
suscripción para suplir gastos administrativos relacionados con
Información y configuración, actualización y servicios prestados por las plataformas tecnológicas
el alta del cliente) con Tarjeta de Crédito, así como el impacto
Comunicación está a cargo de casa matriz a través de centros de competencia que trabajan para
de eventos para la generación del contrato y la orden de
todos los países de Latinoamérica. Se observa que esto no siempre ha resultado
instalación en el sistema ICC.
beneficioso puesto que las horas de desarrollo asignadas para cada país no son
ICC: Sistema para la administración e interacción con clientes
suficientes versus la demanda de necesidades que requiere cubrir el negocio y
esto incluye, generación de contratos, administración de WO
adicionalmente costosas, por tanto existen varias iniciativas de mejora presentadas
(Work Orders - Órdenes de trabajo por instalación o servicio
tanto para los Procesos de Ingresos y Egresos que no han sido implementadas a las
técnico), envío de comandos, activación de señal,
fecha.
administración de productos y campañas, facturación a clientes,
Es relevante citar que no se pudo evidenciar una adecuada gestión por parte del
ajustes financieros, registros de cobro, proceso de arreas o
área de Seguridad de la Información, por ejemplo al manejar información bancaria
cartera vencida.
de clientes sería importante trabajar en la certificación de la norma PCI.
94
La normativa vigente relacionada con la integridad y valores éticos de la

compañía, es conocida por todo el personal.
Existe evidencia de un entrenamiento anual a todo el personal para el caso del
La compañía en relación a los valores y ética mantiene la
Código de Ética así como de las Políticas locales de Anticorrupción y
siguiente normativa vigente:
Antisoborno, si éstas son actualizadas existen capacitaciones adicionales para dar a
- Código de Ética desarrollado por Casa Matriz
Integridad y conocer los cambios.
- Políticas locales de Anticorrupción y Antisoborno cuyos
Valores Éticos Una copia del Reglamento Interno es entregada a cada colaborador en el momento
lineamientos son enviados por Casa Matriz.
del ingreso a la compañía.
- Reglamento Interno de Trabajo aprobado por el ministerio de
Esta normativa impacta en todos los procesos, comportamientos y operaciones
Relaciones Laborales
ejecutadas en la compañía incluyendo Ingresos y Egresos que por su naturaleza
puede prestarse para casos donde la integridad y valores éticos son indispensables
en la ejecución de sus labores y relación con terceros.
95
En la compañía existen Políticas formales que determinan los

niveles de Autoridad y Responsabilidad.
1. Para el caso de Procesos de Egresos existen niveles de
autorización para la ejecución de Compras y Pagos de acuerdo a
montos tal como sigue:
0 a 5.000 USD - Gerencias de Área
5.001 a 25.000 USD - Direcciones de Área
25.001 a 100.000 USD - Direcciones de Área + Dirección Los niveles de autoridad y responsabilidad en los principales Procesos de Ingresos
Financiera y Egresos son adecuados, se puede observar que existen políticas bastante
100.001 o más USD - Direcciones de Área + Dirección conservadoras en relación a la magnitud de los montos que están asignados a cada
Financiera + Presidencia. uno de los niveles de autorización.
- Para el caso de Activos mayores a 25.000 USD es necesaria la Adicionalmente las matrices de autorización existentes garantizan la existencia de
aprobación de Casa Matriz aprobaciones cruzadas, lo cual minimiza el riesgo de errores, fraude o ineficiencias
Asignación de
- Para Gastos mayores a 300.000 USD es necesaria la en las operaciones.
niveles de
aprobación de Casa Matriz Por otro lado se observa además que para varios procesos estas aprobaciones son
autoridad y
- Para el Caso de convenios y contratos estos únicamente serán requeridas a través de flujos automáticos que son un proceso propio o
responsabilidad
aprobados por el Representante Legal o su delegado. complementario a las plataformas tecnológicas utilizadas en la ejecución de estos
2. Para caso de Procesos de Ingresos existen niveles de procesos.
autorización y responsabilidad a continuación un detalle de los El proceso relacionado con cuentas a pagar en especial aquellas que por su
procesos más importantes: naturaleza no pasan por el proceso normal de compras, no cuentan con un flujo
- Fijación de Precios: Director Comercial + Director Financiero automático de aprobaciones, lo cual implica la existencia de un riesgo de error o
+ Presidencia fraude.
- Apertura de Canales de Venta: Director Comercial + Director
Financiero + Director Legal + Director de Operaciones
- Ejecución de Ajustes Financieros por monto:
Hasta 35 USD Primera Línea (Ejecutivos de Servicio al cliente)
Hasta 200 USD Analistas de Ajustes Financieros
Hasta 1000 USD Gerente de Facturación y Cobranzas
Más de 1000 USD Director Financiero
96
A continuación se presenta un de detalle de las áreas que

intervienen en los Procesos de Ingresos y Egresos:
-Procesos de Ingresos: Ventas, Facturación, Crédito y Ajustes, Se pudo observar que en los Procesos tanto de Ingresos como de Egresos existe
Relación con otras Cobranzas, Contabilidad, Control Interno. una adecuada interacción entre las áreas de negocio, lo cual ayuda a que exista una
áreas de negocio. -Procesos de Egresos: Compras, Contabilidad, Legal, adecuada segregación de funciones, así como controles cruzados a lo largo de las
Logística, Tesorería, y todas la áreas de la compañía que operaciones.
requieran ejecutar gastos para la ejecución de sus operaciones
dentro de la compañía.
4.5.3. Análisis de los Objetivos del negocio
Análisis de Objetivos de Negocio

Los objetivos estratégicos de la compañía son establecidos por Casa Matriz,
previamente los indicadores atados al cumplimiento de estos objetivos son revisados
con el país y la versión final aprobada de los mismos es enviada a CORPORACION
CABLE TV durante el mes de enero de cada año, a continuación un detalle de los El cumplimiento de los objetivos estratégicos para el año
objetivos definidos para el 2014 y 2015: 2014 fue en promedio general de un 105% donde el
Objetivos
1. Proveer Experiencias WOW a los Clientes cumplimiento para cada uno de los 4 objetivos
Estratégicos
3. Crecer en las tres líneas del Negocio estratégicos fue como sigue:
3. Mantener eficiencia a lo largo de todas las operaciones.
4. Inspirar a los Colaboradores de CORPORACION CABLE TV
Cada uno de estos objetivos tienen atados cuya medición permitirá determinar el
cumplimiento de los mismos.
97
Adicional a los objetivos estratégicos existen cuantos objetivos relacionados los cuales
son establecidos por casa matriz, previamente los indicadores atados al cumplimiento
de estos objetivos son revisados con el país y versión final aprobada de los mismos es
El cumplimiento de los objetivos financieros para el año
enviada a CORPORACION CABLE TV durante el mes de enero de cada año, a
2014 fue en promedio general de un 101%, donde el
continuación un detalle de los objetivos definidos para el 2014 y 2015:
Objetivos cumplimiento para cada uno de los 4 objetivos financieros
1. Mantener los márgenes
Relacionados fue como sigue:
2. Generar Flujos de Caja positivos
3. Ganar participación de mercado
4. Mantener un crecimiento por encima de 10%
Cada uno de estos objetivos tiene atados indicadores cuya medición permitirá
determinar el cumplimiento de los mismos.
Los Procesos de Ingresos y Egresos impactan

directamente en los principales objetivos financieros de la
Los Procesos de Ingresos y Egresos apuntan al cumplimiento de los siguientes compañía, por este motivo la matriz de riesgos
Objetivos objetivos: desarrollada como parte de la metodología de gestión
Seleccionados - Generar Flujos de Caja positivos presentada en el presente trabajo, está enfocada a la
- Mantener un crecimiento por encima de 10% identificación de los principales riesgos de negocio
existentes en los Procesos de Ingresos y Egresos de la
compañía.
98

Con respecto a los Procesos de Ingresos los cambios en
algunas Políticas sin duda impactan en el resultado de
algunos indicadores de gestión que apuntan al
cumplimiento de los objetivos de la compañía.
Revisando los principales impactos del cambio en las
políticas de crédito para facilitar el ingreso de otro
A lo largo del tiempo la administración de la compañía se ha caracterizado por ser
segmento de clientes, por otro lado, la eliminación del
adversa al riesgo lo cual se evidencia en la aplicación de Políticas conservadoras de
cobro de Hook up como parte de una campaña comercial,
negocio para la línea de Post pago, dentro de las principales se pueden citar:
han afectado un indicador importante para la compañía
como es el Churn Involuntario, que nos es otra cosa que,
- Políticas de Crédito a clientes
el % de clientes de la base que han dejado de pagar su
- Políticas de Autorización y Responsabilidad
mensualidad y como consecuencia su señal ha sido
- Políticas de mercadeo y oferta de producto
Apetito al desconectada. Si bien la captación de nuevos clientes ha
Riesgo sido mayor con la aplicación de estas nuevas políticas, al
Sin embargo luego de haber mantenido un crecimiento sostenido desde el inicio de
netear la cantidad de clientes ingresados en el período
operación, factores externos como la saturación en captación de mercado de estrato A y
versus la cantidad de clientes desconectados en el
B, la introducción de nueva competencia en el mercado de televisión pagada así como
período, los impactos en el crecimiento esperado no son
competencia existente con estrategias de mercado agresivas en cuanto precio, han
los óptimos, y adicionalmente existen impactos en otros
cambiado esta posición conservadora a una posición en la que se vuelve indispensable
indicadores de negocio como en este caso podríamos citar
adoptar un mayor nivel de riesgo para cumplir con los objetivos en especial de
indicadores de morosidad y nivel de cartera. Por otro lado
crecimiento exigidos por Casa Matriz.
se incurre en costos administrativos con el fin de
gestionar el cobro a estos clientes, lo que afecta otros
indicadores importantes del negocio como por ejemplo el
SAC (Sales Average Cost) y Pay back que corresponde al
tiempo en el que retorna la inversión realizada en cada
cliente.
99
Si bien se han tomado políticas menos conservadoras este

La tolerancia al riesgo está basada en el cumplimiento global de los objetivos de la
último año, la tolerancia al riesgo sigue siendo baja pues
compañía, es decir el riesgo asumido deberá asegurar el cumplimiento global de al
la decisión de eliminar posiblemente la utilidad y de
Tolerancia al menos el 80% de los objetivos. La aplicación de políticas más riesgosas está
rentabilidad durante el período, viene acompañada de
Riesgo encaminada a llegar al cumplimiento de los objetivos de crecimiento y captación de
planes de acción que permitirán la capitalización de la
mercado, aun cuando esto implique que ciertos objetivos financieros puedan verse
captación de mercado que es en donde la compañía ha
afectados incluso rediciendo a 0 el nivel de utilidad para el período.
decidido poner foco.
100
4.6. Matriz de Evaluación del Riesgo
Una vez levantada la información e identificados los eventos en el resumen de

levantamiento de información que se obtuvo a través de los líderes de procesos de las
diferentes áreas de la Empresa, se procede a desarrollar la matriz en base a la metodología
descrita con anterioridad en dónde;
✓ Riesgo: identificamos en forma resumida los riesgos o eventos que afecten la

consecución de objetivos de la entidad, lo enumeramos en forma secuencial y
describimos los eventos negativos y el impacto que pueden generar.
Identificación y descripción de eventos procesos de egresos
Megaproces
Proceso Subprocesos Actividades No. Riesgos Identificados
o
Registro de la requisición Ejecución de gastos no
de compra en el sistema 1 autorizados o no clasificados
SAP adecuadamente
Requisición de Compras no planificadas

compras 2 que afecten el presupuesto
Análisis y revisión para
de la compañía
la aprobación o rechazo
de la requisición de Fragmentación de
compra requisiciones de compra
3
para evadir niveles de
Egresos autorización
Operaciones con
4
proveedores ficticios
5 Colusión con proveedores
Análisis y comparación
Compras de ofertas a través de
Falta de procesos y políticas
cotizaciones, licitaciones
de licitación y cotización
o comité de compras
6 que no permitan gestionar
Selección del ahorros y eficiencias para la
proveedor compañía
Calificar proveedores Proveedores que incumplan
capaces de responder a con fechas de entrega y la
las necesidades de calidad deseada en los
compra de la compañía 7 bienes y servicios
en base a parámetros contratados por la compañía,
calidad tiempos precios y por inconsistencia en
pagos proceso de calificación.
Solicitud y aprobación Incumplimiento de políticas
Órdenes de compras formal de la orden de y procedimientos para
8
y contratos compra del bien o aprobación de órdenes de
servicio requerido por compra.
101
Megaproces
o
CORPORACION
Fragmentación de órdenes
CABLE TV, por medio 9
de compra.
del sistema SAP.
Operaciones de compra
efectuadas sin contrato por
10
incumplimiento de políticas
Egresos y procedimientos.
Elaboración de contratos Creación de órdenes de
que protegen los 11 compra ficticias y/o sin
intereses de las partes contratos.
Falta de procedimientos de
contingencia en caso de
12
fallas en el sistema de
compras
Recepción de bienes y
13 servicios registrados en
períodos incorrectos
Recepción / Ingreso Registro de la hoja de Recepción de materiales y
de Bienes y entrada y aceptación del servicios que no cumple
Servicios bien o servicio especificaciones para el
14
proceso de producción y/o
estándares de calidad y
tiempo de la compañía.
Datos incorrectos podrían
ser registrados en el maestro
Creación o actualización de proveedores en especial
de proveedores en el 15 números de cuentas
sistema bancarias lo que puede
ocasionar errores o fraudes
el pago a proveedores
Trabajar con proveedores no
Administración del
adecuados que pongan en
Egresos maestro de Administración del
16 riesgo el cumplimiento con
proveedores maestro de proveedores
las necesidades de la
compañía
Cambios en los datos
sensibles del proveedor sin
Validación de Cambios
argumento o evidencia que
de Datos Sensibles de 17
originen fraudes o errores en
Proveedores
la ejecución de pagos a
proveedores
Personal no autorizado que
Administración de Creación o actualización
ejecute cambios o registros
aplicación de de perfiles de acceso al 18
en el sistema que conlleven
compras sistema de compras
a fraude o errores
Solicitud de servicios que Falta de procedimientos y
Compras de
por su naturaleza son políticas para compras de
servicios 19
recurrentes y necesarios bienes o servicios fuera del
excepcionados
para la operación proceso estándar.
Cuentas Anticipo a Generación de anticipos de
Solicitud de anticipo 20
por pagar proveedores proveedores no autorizados
102
Megaproces
o
Facturas no registradas
Recepción y validación 21
Revisión y registro oportunamente
de facturas con
de facturas Pagos errados por falta de
documentos habilitantes 22
validación
Pagos o desembolsos que no
Registro del pago en el
23 han sido aprobados
sistema
adecuadamente
Errores en transferencia y
24 acreditación de recursos de
Procesamiento de
desembolsos.
pagos Desembolso y
Fraude, desembolsos
liquidación del anticipo 25
ficticios son registrados
Pagos erróneos o duplicados
26 por errores en sistemas de
información.
Existencia de partidas
Cierre de cuentas Liquidación de cuentas antiguas de anticipos y
27
por pagar por pagar obligaciones con
proveedores.
Gastos ficticios o no
Solicitud de anticipo de
28 relacionados al negocio
empleados
desembolsados a empleados
Desembolsos con tarjeta relacionados al negocio son
29
corporativa ejecutados con tarjeta de
Otros Reembolsos de
crédito corporativa
gastos gastos
Incumplimiento políticas
establecidas para la
Liquidación del anticipo
ejecución y reembolso de
con documentos 30
gastos de viaje o
habilitantes
misceláneos por parte de
empleados
Identificación y descripción de eventos procesos de ingresos
Megaproceso Proceso Subprocesos Actividades No. Riesgos Identificados

Proponer precios y
descuentos de Definir precios demasiados
productos/servicios que altos que no permitan
CORPORACION acceder al mercado o precio
1
CABLE TV coloca en el demasiado bajos que no
mercado en función a permitan obtener márgenes
Administr Administración
Ingresos costos y márgenes de de rentabilidad adecuados.
ación de de precios y
rentabilidad
ventas descuentos
Precios de venta al
Aprobación de precios y público/descuentos no
descuentos por parte de aprobados por la alta
2
presidencia y direcciones gerencia que podría generar
correspondientes inconvenientes financieros
no planificados
103

Precios o descuentos
Ingresar lista de precios
3 registrados en el sistema
vigentes en ICC
distintos a los autorizados
Identificación y análisis
Crear canales de ventas que
de necesidad o
4 no sean eficientes ni
crecimiento de canales de
rentables
venta
Incorporar canales de venta
no aprobados por la alta
Aprobación de apertura
gerencia que podrían
o expansión de canales 5
generar inconvenientes
de venta
financieros no planificados e
incluso litigios legales
Elaboración y firma del
Canales de venta que
contrato de prestación de
comercialicen los productos
servicios y la 6
y servicios de la compañía
Gestión de autorización de débito
sin suscribir un contrato
canales de venta respectiva
Canal de venta sin
Capacitación y conocimiento adecuado que
entrenamiento sobre el podría impactar en el nivel
7
producto / servicio para de ventas, así como en
su comercialización reclamos o deserción de
clientes
Creación de accesos al Accesos inadecuados a los
sistema E-Sales para la 8 sistemas que conlleven a
captación de ventas fraude
Incumplimiento en las metas
Ingresos Monitoreo de la Gestión de venta, cobranza y churn
9
ejecutada por cada Canal que impacten en los
resultados de la compañía
Información sensible de
clientes expuesta en la
Recopilar información
Solicitud de Servicios que
del cliente en el formato 10
pasa por personal de
"Solicitud de Servicio"
distribuidores o interno con
fines fraudulentos
Parámetros de verificación
de crédito que no hayan sido
analizados adecuadamente
Ingresar datos del cliente
Captación de la 11 que ocasionen ineficiencias
en sistema de preventas
Gestión preventa y y otros efectos negativos en
E-Sales y procesar
de Venta análisis de la calidad de clientes que
información para
crédito ingresan a la compañía
verificación crediticia,
Listas negras
así como de piratería o
desactualizadas lo cual
mora actual con DTV
12 permita el ingreso de
clientes con historial de
fraude o morosidad
Aprobar o rechazar Aprobar el ingreso de
preventa según el 13 clientes que se encuentran
resultado de análisis en listas negras por
104

manual o automático morosidad, piratería u otro
según sea el caso tipo de fraude
Aprobar el ingreso de
clientes que no cumplen con
14 las políticas de crédito
establecidas por la
administración
Reclamos de clientes o
instituciones financieras por
Firma de contrato de ejecución de cobros no
servicios y autorización 15 autorizados lo que puede
de débito ocasionar litigios legales y
pérdida de la relación con la
institución financiera
Crear contrato en el
sistema para aquellas
preventas aprobadas ya
sea automática o Crear contratos de clientes
manualmente y rechazados de acuerdo a las
16
derivarlas al proceso de políticas y requisitos
instalaciones, caso establecidos por la compañía
contrario registrar los
motivos del rechazo en el
sistema
Si la forma de pago del
cliente es tarjeta de Fraude con tarjetas de
crédito, ingresar datos de 17 crédito de clientes (cobros
tarjeta de crédito en el no autorizados )
sistema de preventas E-
Sales y realizar el cobro
de forma automática a
Ingresos través de POS Virtual. 18 Cobros duplicados
Automáticamente el pago
es asociado a contrato en
Cobro de hook el sistema ICC.
up Si la forma de pago del Procesamiento de la venta
cliente es débito sin el respectivo cobro de
19
automático, solicitar el HU (en el caso de
depósito o transferencia Televentas)
del valor de subscrición Pérdida de nuevos clientes
en las cuentas bancarias al cortar el proceso de venta
20
de CORPORACION y enviar a los clientes a
CABLE TV. realizar el depósito bancario
Finalización de la venta y
Generación de órdenes de
generación de la orden de 21
instalación ficticias
instalación
105

Revisión y actualización
de las reglas de negocio
establecidas para la Falta de análisis de las
facturación de productos reglas de negocio para la
22
y servicios, así como facturación que impacten en
también para la el valor facturado a clientes
aplicación de descuentos
y promociones.
Análisis automático de
toda la base de
Prefacturación
suscriptores Previo Pago
Inconsistencias detectadas
por medio del Robot
por el robot pre facturador
Prefacturador, buscando
que no han sido corregidas
posibles inconsistencias
23 por los dueños de procesos,
en las reglas de negocio
que generen fallas o errores
configuradas en el
en los valores facturados a
sistema con el fin de
clientes
notificar a los dueños de
proceso para su
corrección en la base
Generación masiva de
cargos y descuentos en el
sistema de facturación de
Facturaci la compañía para la
Errores o fraude en el
ón y emisión de la base
proceso de facturación
ajustes general de clientes 24
debido a manipulación en la
facturados y
base de clientes facturados.
segmentación de la base
de clientes con factura
electrónica y factura
Impresa.
Facturación Envío de Base a
Imprenta para la emisión
de Facturas Impresas
Base de datos de clientes
Envío de la base de
25 que puede ser mal utilizada
clientes con factura
por el proveedor.
electrónica al proveedor
para emisión y envío de
documentos electrónicos
Envío al Courier de la Reclamos de clientes por no
base de clientes para recepción de factura que
26
distribución de facturas puede generar sanciones por
impresas. parte del ente regulador.
Los reclamos financieros
Ingresos Alta rotación de ejecutivos
de clientes son
de servicio al cliente y
Reclamos receptados a través de
27 retenciones, que puede
Financieros cualquier canal de
impactar en el incremento de
comunicación con el
ajustes financieros.
cliente
106

Los reclamos financieros
son analizados
inicialmente por
ejecutivos de servicio al Criterio erróneo en el
cliente determinando si análisis, lo que podría
proceden o no. En caso 28 generar un incremento en la
de no proceder son cantidad y monto de ajustes
derivados a segunda línea financieros de clientes.
e verificación, pudiendo
llegar hasta una tercera
línea.
Ajustes financieros no
Aprobación o rechazo de autorizados que originen
29
reclamos financieros pérdidas económicas a la
compañía.
Acceso para la ejecución de
transacciones financieras
Ejecución del ajuste
(ajustes) a demasiados
financiero o devolución
30 usuarios y a todo nivel
al cliente y emisión de la
jerárquico lo que podría
nota de crédito
incrementar el riesgo de
error o fraude.
Segmentación y formateo
Manipulación en la base de
de la base de clientes
clientes facturados previo al
facturados por Institución
31 envío al cobro a las
Financiera, de acuerdo al
instituciones financieras que
formato a lo establecido
den lugar a error o fraude.
por cada Banco.
Envío de las bases
Uso indebido de
segmentadas y
información de clientes por
formateadas a cada 32
Recaudación falta de seguridades en el
institución Financiera
masiva con envío de la información.
para el cobro.
débito
Aplicación en el sistema
automático Error en la aplicación de
Gestión de los pagos confirmados
33 pagos o registro de pagos
de por cada institución
indebidos.
Recaudos financiera.
y Cuentas Preparación de la base
por para el envío a la
clientes facturados previo al
Cobrar Institución Financiera
34 envío al cobro a las
con el fin de realizar
instituciones financieras que
reintentos de cobro a
clientes impagos.
Cliente se acerca a los
puntos autorizados de Cobros duplicados por
recaudo y realiza el pago ejecución de débitos
en caso de realizar el 35 automáticos en clientes que
Recaudación en pago en bancos notifica o han realizado pago por
Ventanilla confirma el depósito para ventanilla.
que este sea aplicado
Aplicación del pago en el Cobros no aplicados o mal
36
sistema aplicados
107

Ingresos Reclamos de clientes por
mantener mensajes de mora
Eliminación de OSD y/o
en su pantalla o el servicio
reconexión de señal de 37
desconectado, lo que pueden
ser el caso.
generar pérdidas económicas
por sanciones del regulador .
Definir campañas y
estrategias que no impacten
positivamente en el
Definir objetivos y
38 cumplimiento de las metas
estrategias de cobranza
de cobro e incluso afecten
los márgenes de rentabilidad
esperados.
Bases de datos
Generar base de datos de
desactualizadas o erróneas
clientes que requieren 39
que generen ineficiencias en
gestión de cobranza
la gestión de cobro.
Fallas en el Aplicativo de
Envío automático de arrears para el envío de
mensajes OSD mensajes OSD a clientes, lo
40
solicitando pago a todos que puede impactar en la
los clientes impagos. gestión de cobranza y el
nivel de churn .
Desconexión automática Fallas en el Aplicativo de
de señal a clientes arrears para la desconexión
impagos a los 33 días de del servicio a clientes con
vencida la factura (En 41 deuda, lo que puede
este feriado ya se ha impactar en la eficiencia de
generado una nueva gestión de cobranza y el
Gestión de Cobro
facturación) nivel de churn.
Índices elevados de no
contactabilidad, lo que
42 impide realizar una
adecuada gestión de
Gestión de Recuperación cobranza.
telefónica Mala gestión de cobranza
por parte de los ejecutivos lo
43 que puede impactar en la
eficiencia de cobro y nivel
de churn.
Generación de Orden de
recupero de equipos a los
Ingresos 62 días de vencida la
factura y Envío a un Equipos no recuperados que
tercero de la Cartera de 44 implican pérdidas para la
clientes desconectados y compañía.
con orden de recupero de
equipos para gestión de
recaudo
Error en el cálculo de la
Registro de la provisión
45 provisión para cuentas
para incobrables
incobrables.
108

Administr
ación de Administración Creación o Actualización
ejecute cambios o registros
aplicación de aplicación de de perfiles de acceso al 46
en el sistema que conlleven
de ingresos Sistema de Ingresos
a fraude o errores.
Ingresos
Factores de Riesgo: Una vez identificados los riesgos, conforme esta metodología se
debe marcar con una x el factor de riesgo al que pertenece el evento de riesgo o riesgo
identificado, que puede afectar el cumplimiento de los objetivos institucionales. Los
factores de riesgo pueden ser: 4
Procesos: Con el objeto de garantizar la optimización de los recursos y la estandarización

de las actividades, la institución debe contar con procesos definidos de conformidad con
la estrategia y las políticas adoptadas,
Personas: Las instituciones controladas deben administrar el capital humano de forma

adecuada, e identificar apropiadamente las fallas o insuficiencias asociadas al factor
“personas”, tales como: falta de personal adecuado, negligencia, error humano, nepotismo
de conformidad con las disposiciones lega les vigentes, inapropiadas relaciones
interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los
términos de contratación del personal, entre otros.
Tecnología de la información: Las instituciones controladas deben contar con la

tecnología de la información que garantice la captura, procesamiento, almacenamiento y
transmisión de la información de manera oportuna y confiable; evitar interrupciones del
negocio y lograr que la información, inclusive aquella bajo la modalidad de servicios
provistos por terceros, sea íntegra, confidencial y esté disponible para una apropiada toma
de decisiones.
Eventos externos: En la administración del riesgo operativo, las instituciones controladas

deben considerar la posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos
a su control, tales como: fallas en los servicios públicos, ocurrencia de desastres naturales,
atentados y otros actos delictivos, los cuales pudieran alterar el desarrollo normal de sus
4 Fuente de consulta: Art. 4 RESOLUCIÓN No. JB-2005-834 de 20 de octubre del 2005 .DE LA GESTIÓN DEL RIESGO OPERATIVO.
109
actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del
negocio.
Factores de riesgo para los procesos de egresos
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
No. RIESGOS IDENTIFICADOS PERSONAS DE PROCESOS
EXTERNOS
INFORMACIÓN
Ejecución de gastos no autorizados o
1 X
no clasificados adecuadamente
Compras no planificadas que afecten
2 X
el presupuesto de la compañía
Fragmentación de requisiciones de
3 compra para evadir niveles de X
autorización
Operaciones con proveedores
4 X
ficticios
5 Colusión con proveedores X
Falta de procesos y políticas de
licitación y cotización que no
6 X
permitan gestionar ahorros y
eficiencias para la compañía
Proveedores que incumplan con
fechas de entrega y la calidad
deseada en los bienes y servicios
7 X
contratados por la compañía, por
inconsistencia en proceso de
calificación.
Incumplimiento de políticas y
8 procedimientos para para aprobación X
de órdenes de compra.
Fragmentación de órdenes de
9 X
compra.
Operaciones de compra efectuadas
10 sin contrato por incumplimiento de X
políticas y procedimientos.
Creación de órdenes de compra
11 X
ficticias y/o sin contratos.
12 contingencia en caso de fallas en el X
sistema de compras
Recepción de bienes y servicios
13 X
registrados en períodos incorrectos.
Recepción de materiales y servicios
que no cumple especificaciones para
14 el proceso de producción y/o X
estándares de calidad y tiempo de la
compañía.
110
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
EXTERNOS
INFORMACIÓN
Datos incorrectos podrían ser
registrados en el maestro de
proveedores en especial números de
15 X
cuentas bancarias lo que puede
ocasionar errores o fraudes el pago a
proveedores.
Trabajar con proveedores no
adecuados que pongan en riesgo el
16 X
cumplimiento con las necesidades
de la compañía.
Cambios en los datos sensibles del
proveedor sin argumento o
17 evidencia que originen fraudes o X
errores en la ejecución de pagos a
proveedores.
Personal no autorizado que ejecute
18 cambios o registros en el sistema X
que conlleven a fraude o errores.
Falta de procedimientos y políticas
19 para compras de bienes o servicios X
fuera del proceso estándar.
Generación de anticipos de
20 X
proveedores no autorizados.
21 X
oportunamente
Pagos errados por falta de
22 X
validación.
Pagos o desembolsos que no han
23 X
sido aprobados adecuadamente.
24 acreditación de recursos de X
desembolsos.
Fraude, desembolsos ficticios son
25 X
registrados.
Pagos erróneos o duplicados por
26 X
errores en sistemas de información.
Existencia de partidas antiguas de
27 anticipos y obligaciones con X
proveedores.
Gastos ficticios o no relacionados al
28 negocio desembolsados a X
empleados.
29 negocio son ejecutados con tarjeta X
de crédito Corporativa
Incumplimiento de políticas
establecidas para la ejecución y
30 X
reembolso de gastos de viaje o
misceláneos por parte de empleados.
111
Factores de riesgo para los procesos de ingresos
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
EXTERNOS
INFORMACIÓN
Definir precios demasiados altos que
no permitan acceder al mercado o
1 precio demasiado bajos que no X
permitan obtener márgenes de
rentabilidad adecuados.
Precios de venta al
público/descuentos no aprobados
2 por la alta gerencia que podría X
generar inconvenientes financieros
no planificados.
Precios o descuentos registrados en
3 X
el sistema distintos a los autorizados
Crear canales de ventas que no sean
4 X
eficientes ni rentables.
Incorporar canales de venta no
aprobados por la alta gerencia que
5 podrían generar inconvenientes X
financieros no planificados e incluso
litigios legales.
Canales de venta que comercialicen
6 los productos y servicios de la X
compañía sin suscribir un contrato.
Canal de venta sin conocimiento
adecuado que podría impactar en el
7 X
nivel de ventas, así como en
reclamos o deserción de clientes.
Accesos inadecuados a los sistemas
8 X
que conlleven a fraude
Incumplimiento en las metas de
venta, cobranza y churn que
9 X
impacten en los resultados de la
compañía.
Información sensible de clientes
expuesta en la Solicitud de Servicios
10 que pasa por personal de X
distribuidores o interno con fines
fraudulentos.
Parámetros de verificación de
crédito que no hayan sido analizados
adecuadamente que ocasionen
11 X
ineficiencias y otros efectos
negativos en la calidad de clientes
que ingresan a la compañía.
Listas negras desactualizadas lo cual
12 permita el ingreso de clientes con X
historial de fraude o morosidad.
112
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
EXTERNOS
INFORMACIÓN
Aprobar el ingreso de clientes que se
encuentran en listas negras por
13 X
morosidad, piratería u otro tipo de
fraude.
Aprobar el ingreso de clientes que
no cumplen con las políticas de
14 X
crédito establecidas por la
administración.
Reclamos de clientes o instituciones
financieras por ejecución de cobros
no autorizados lo que puede
15 X
ocasionar litigios legales y pérdida
de la relación con la institución
financiera.
Crear contratos de clientes
rechazados de acuerdo a las políticas
16 X
y requisitos establecidos por la
compañía.
Fraude con tarjetas de crédito de
17 X
clientes (cobros no autorizados).
18 Cobros duplicados. X
Procesamiento de la venta sin el
19 respectivo cobro de HU (en el caso X
de Televentas).
Pérdida de nuevos clientes al cortar
el proceso de venta y enviar a los
20 X
clientes a realizar el depósito
bancario.
21 X
instalación ficticias.
Falta de análisis de las reglas de
negocio para la facturación que
22 X
impacten en el valor facturado a
clientes.
Inconsistencias detectadas por el
robot pre facturador que no han sido
corregidas por los dueños de
23 X
procesos, que generen fallas o
errores en los valores facturados a
clientes.
Errores o fraude en el proceso de
24 facturación debido a manipulación X
en la base de clientes facturados.
Base de datos de clientes que puede

25 X
ser mal utilizada por el proveedor.
113
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
EXTERNOS
INFORMACIÓN
Reclamos de clientes por no
recepción de factura que puede
26 X
generar sanciones por parte del ente
regulador.
Alta rotación de ejecutivos de
servicio al cliente y retenciones, que
27 X
puede impactar en el incremento de
Criterio erróneo en el análisis, lo que
podría generar un incremento en la
28 X
cantidad y monto de ajustes
financieros de clientes
Ajustes financieros no autorizados
29 que originen pérdidas económicas a X
la compañía.
transacciones financieras (ajustes) a
demasiados usuarios y a todo nivel
30 X
jerárquico lo que podría
incrementar el riesgo de error o
fraude.
Manipulación en la base de clientes
facturados previo al envío al cobro a
31 X
las instituciones financieras que den
lugar a error o fraude.
Uso indebido de información de
32 clientes por falta de seguridades en X
el envío de la información.
Error en la aplicación de pagos o
33 X
registro de pagos indebidos.
Manipulación en la base de clientes
facturados previo al envío al cobro a
34 X
las instituciones financieras que den
lugar a error o fraude.
Cobros duplicados por ejecución de
35 débitos automáticos en clientes que X
han realizado pago por ventanilla.
Cobros no aplicados o mal
36 X
aplicados.
Reclamos de clientes por mantener
mensajes de mora en su pantalla o el
37 servicio desconectado, lo que X
pueden generar pérdidas económicas
por sanciones del regulador.
114
FACTORES DE RIESGO
TECNOLOGÍA
EVENTOS
EXTERNOS
INFORMACIÓN
Definir campañas y estrategias que
no impacten positivamente en el
38 cumplimiento de las metas de cobro X
e incluso afecten los márgenes de
rentabilidad esperados.
Bases de datos desactualizadas o
39 erróneas que generen ineficiencias X
en la gestión de cobro
Fallas en el Aplicativo de arrears
para el envío de mensajes OSD a
40 clientes, lo que puede impactar en la X
gestión de cobranza y el nivel de
churn.
para la desconexión del servicio a
41 clientes con deuda, lo que puede X
impactar en la eficiencia de gestión
de cobranza y el nivel de churn.
contactabilidad lo que impide
42 X
realizar una adecuada gestión de
cobranza.
Mala gestión de cobranza por parte
de los ejecutivos lo que puede
43 X
impactar en la eficiencia de cobro y
nivel de churn.
Equipos no recuperados que
44 X
implican pérdidas para la compañía.
Error en el cálculo de la provisión
45 X
para cuentas incobrables.
46 cambios o registros en el sistema X
que conlleven a fraude o errores.
• Riesgo Inherente. - Luego de haber identificado los factores de riesgo, procedemos a

calificar el riesgo inherente a través de la siguiente fórmula.
R.I. = Probabilidad x Impacto
Para para ponderar la probabilidad e impacto de dichos riesgos se utilizarán las matrices
descritas en los cuadros N° 3.1 y 3.2, en dónde:
115
• Impacto: se entiende las consecuencias o la magnitud de sus efectos y se

ponderaran utilizando el juicio experto puesto que se ha obtenido la
suficiente información a través de levantamiento de información y fuentes
históricas
• Probabilidad: Probabilidad es la posibilidad de ocurrencia del riesgo y se
ponderaran utilizando el juicio experto del jefe de cada área (dueño del
proceso) en conjunto con la Gerencia de Procesos y Control Interno.
Una vez aplicada la fórmula antes mencionada, y obtenido sus respectivos resultados se
procederá a identificar si dichos riesgos tienen un nivel de riesgo bajo, moderado o alto
utilizando el cuadro 3.4 que menciona el nivel de riesgo y el cuadro 3.5 que se refiere al
mapa de riesgo.
Riesgo Inherente para los procesos de egresos Tecnología de la
Probabilidad
Información
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
No.
Riesgos Identificados
Ejecución de gastos no autorizados o no

1 X 2 3 6
clasificados adecuadamente.
Compras no planificadas que afecten el
2 X 2 3 6
presupuesto de la compañía.
Fragmentación de compras para evadir niveles de
3 X 3 3 9
autorización.
4 Operaciones con proveedores ficticios X 1 3 3
5 Colusión con proveedores. X 1 3 3
Falta de procesos y políticas de licitación y

6 cotización que no permitan gestionar ahorros y X 3 3 9
eficiencias para la compañía.
Proveedores que incumplan con fechas de entrega
y la calidad deseada en los bienes y servicios
7 X 2 2 4
contratados por la compañía, por inconsistencia en
proceso de calificación.
Incumplimiento de políticas y procedimientos para
8 X 3 3 9
para aprobación de órdenes de compra.
9 Fragmentación de órdenes de compra. X 2 2 4
Operaciones de compra efectuadas sin contrato

10 X 3 3 9
por incumplimiento de políticas y procedimientos.
Creación de órdenes de compra ficticias y/o sin
11 X 2 2 4
contratos.
116
Tecnología de la
Probabilidad
Información
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
No.
Riesgos Identificados
Falta de procedimientos de contingencia en caso

12 X 3 3 9
de fallas en el sistema de compras.
Recepción de bienes y servicios registrados en
13 X 2 2 4
períodos incorrectos.
Recepción de Materiales y servicios que no
cumple especificaciones para el proceso de
14 X 1 3 3
producción y/o estándares de calidad y tiempo de
la compañía.
Datos incorrectos podrían ser registrados en el
Maestro de Proveedores en especial números de
15 X 1 2 2
cuentas bancarias lo que puede ocasionar errores o
fraudes el pago a proveedores.
Trabajar con proveedores no adecuados que
16 pongan en riesgo el cumplimiento con las X 1 3 3
necesidades de la compañía.
Cambios en los datos sensibles del proveedor sin
17 argumento o evidencia que originen fraudes o X 2 2 4
errores en la ejecución de pagos a proveedores.
Personal no autorizado que ejecute cambios o
18 registros en el sistema que conlleven a fraude o X 1 2 2
errores.
Falta de procedimientos y políticas para compras
19 X 3 2 6
de bienes o servicios fuera del proceso estándar.
Generación de anticipos de proveedores no
20 X 2 3 6
autorizados.
21 Facturas no registradas oportunamente. X 2 2 4
22 Pagos errados por falta de validación. X 1 3 3
Pagos o desembolsos que no han sido aprobados

23 X 1 3 3
adecuadamente.
Errores en transferencia y acreditación de recursos

24 X 1 2 2
de desembolsos.
25 Fraude, desembolsos ficticios son registrados. X 1 3 3
Pagos erróneos o duplicados por errores en

26 X 1 3 3
sistemas de información.
Existencia de partidas antiguas de anticipos y
27 X 1 2 2
obligaciones con proveedores.
Gastos ficticios o no relacionados al negocio
28 X 1 2 2
desembolsados a empleados.
Gastos ficticios o no relacionados al negocio son
29 X 2
ejecutados con tarjeta de crédito Corporativa. 1 2
Incumplimiento políticas establecidas para la

30 ejecución y reembolso de gastos de viaje o X 3 2 6
misceláneos por parte de empleados.
117
Riesgo Inherente para los procesos de ingresos
la Información
Tecnología de
Probabilidad
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
N° Riesgos Identificados
Definir precios demasiados altos que no

permitan acceder al mercado o precio
1 X 2 3 6
demasiado bajos que no permitan obtener
márgenes de rentabilidad adecuados.
Precios de venta al público/descuentos no
aprobados por la alta gerencia que podría
2 X 2 3 6
generar inconvenientes financieros no
planificados.
Precios o descuentos registrados en el sistema
3 X 1 3 3
Crear canales de ventas que no sean eficientes
4 X 3 2 6
ni rentables.
Incorporar canales de venta no aprobados por
la alta gerencia que podrían generar
5 X 3 2 6
inconvenientes financieros no planificados e
incluso litigios legales.
Canales de venta que comercialicen los
6 productos y servicios de la compañía sin X 3 3 9
suscribir un contrato.
Canal de venta sin conocimiento adecuado que
7 podría impactar en el nivel de ventas, así como X 2 2 4
en reclamos o deserción de clientes
Accesos inadecuados a los sistemas que
8 X 3 2 6
conlleven a fraude
Incumplimiento en las metas de venta,
9 cobranza y churn que impacten en los X 1 2 2
resultados de la compañía.
Información sensible de clientes expuesta en la
10 Solicitud de Servicios que pasa por personal de X 3 3 9
distribuidores o interno con fines fraudulentos.
Parámetros de verificación de crédito que no
hayan sido analizados adecuadamente que
11 ocasionen ineficiencias y otros efectos X 2 2 4
negativos en la calidad de clientes que ingresan
a la compañía.
Listas negras desactualizadas lo cual permita el
12 ingreso de clientes con historial de fraude o X 2 2 4
morosidad
Aprobar el ingreso de clientes que se
13 encuentran en listas negras por morosidad, X 2 2 4
piratería u otro tipo de fraude.
Aprobar el ingreso de clientes que no cumplen
14 con las políticas de crédito establecidas por la X 2 2 4
administración.
Reclamos de clientes o instituciones financieras
por ejecución de cobros no autorizados lo que
15 X 3 3 9
puede ocasionar litigios legales y pérdida de la
la relación con la institución financiera.
118
la Información
Tecnología de
Probabilidad
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
Crear contratos de clientes rechazados de

16 acuerdo a las políticas y requisitos establecidos X 2 2 4
por la compañía.
Fraude con tarjetas de crédito de
17 X 2 3 6
clientes(cobros no autorizados )
18 Cobros duplicados x 2 2 4
Procesamiento de la venta sin el respectivo

19 X 2 2 4
cobro de HU (en el caso de Televentas).
Pérdida de nuevos clientes al cortar el proceso
20 de venta y enviar a los clientes a realizar el X 2 2 4
depósito bancario
21 Generación de órdenes de instalación ficticias. X 1 2 2
Falta de análisis de las reglas de negocio para

22 la facturación que impacten en el valor X 2 2 4
facturado a clientes.
Inconsistencias detectadas por el robot pre
facturador que no han sido corregidas por los
23 X 2 3 6
dueños de procesos, que generen fallas o
errores en los valores facturados a clientes.
Errores o fraude en el proceso de facturación
24 debido a manipulación en la base de clientes X 3 2 6
facturados.
Base de datos de clientes que puede ser mal

25 X 2 3 6
utilizada por el proveedor.
Reclamos de clientes por no recepción de

26 factura que puede generar sanciones por parte X 3 2 6
del ente regulador.
Alta rotación de ejecutivos de servicio al
27 cliente y retenciones, que puede impactar en el X 2 2 4
incremento de ajustes financieros.
Criterio erróneo en el análisis, lo que podría
28 generar un incremento en la cantidad y monto X 3 2 6
de ajustes financieros de clientes.
Ajustes financieros no autorizados que originen

29 X 2 2 4
pérdidas económicas a la compañía.
Acceso para la ejecución de transacciones
financieras (ajustes) a demasiados usuarios y a
30 X 3 2 6
todo nivel jerárquico lo que podría incrementar
el riesgo de error o fraude.
Manipulación en la base de clientes facturados
31 previo al envío al cobro a las instituciones X 3 3 9
financieras que den lugar a error o fraude.
Uso indebido de información de clientes por
32 falta de seguridades en el envío de la X 2 3 6
información.
119
la Información
Tecnología de
Probabilidad
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
Error en la aplicación de pagos o registro de

33 X 2 3 6
pagos indebidos.
Manipulación en la base de clientes facturados
34 previo al envío al cobro a las instituciones X 3 3 9
financieras que den lugar a error o fraude.
Cobros duplicados por ejecución de débitos
35 automáticos en clientes que han realizado pago X 2 2 4
por ventanilla.
36 Cobros no aplicados o mal aplicados X 2 2 4
Reclamos de clientes por mantener mensajes de

mora en su pantalla o el servicio desconectado,
37 X 2 2 4
lo que pueden generar pérdidas económicas por
sanciones del regulador.
Definir campañas y estrategias que no
impacten positivamente en el cumplimiento de
38 X 2 3 6
las metas de cobro e incluso afecten los
márgenes de rentabilidad esperados.
Bases de datos desactualizadas o erróneas que
39 X 2 2 4
generen ineficiencias en la gestión de cobro.
Fallas en el Aplicativo de arrears para el envío
de mensajes OSD a clientes, lo que puede
40 X 2 3 6
impactar en la gestión de cobranza y el nivel de
churn.
Fallas en el Aplicativo de arrears para la
desconexión del servicio a clientes con deuda,
41 X 2 3 6
lo que puede impactar en la eficiencia de
gestión de cobranza y el nivel de churn.
Índices elevados de no contactabilidad lo que
42 impide realizar una adecuada gestión de X 3 2 6
cobranza.
Mala gestión de cobranza por parte de los
43 ejecutivos lo que puede impactar en la X 2 2 4
eficiencia de cobro y nivel de churn.
Equipos no recuperados que implican pérdidas
44 X 2 2 4
para la compañía.
Error en el cálculo de la provisión para cuentas
45 X 1 2 2
incobrables.
Personal no autorizado que ejecute cambios o
46 registros en el sistema que conlleven a fraude X 3 3 9
o errores.
• Riesgo Residual. - Luego de haber calificado el riesgo inherente, se identifica y

describe los procesos de control que el negocio utiliza para eliminar o mitigar los
riesgos.
Una vez aplicados dichos procesos se mide el riesgo residual existente, es decir que a
pesar de aplicar medidas de control el riesgo aún existe.
120
Los Controles que se proponen en para el presente modelo, se dividen en tres:

Tipos de control
Control
Control Automático
Control Semiautomático
Manual
• Control manual: aquellos que son ejecutados por una o más personal del área usuaria
sin la utilización de herramientas computacionales.
• Control Semiautomático: aquellos que son ejecutados por una o más personas y por
un sistema de información, es decir es un trabajo conjunto entre ambas partes.
• Control Automático: son generalmente los incorporados en el software, de
operación, de comunicación, de gestión de base de datos, programas de aplicación,
etc.; es decir no requiere intervención humana.
Una vez identificados el tipo de control a aplicar se utilizará la siguiente fórmula para
identificar el nivel del riesgo.
R.C. = Probabilidad x Impacto
Para ponderar la probabilidad e impacto de dichos riesgos se utilizarán las matrices

descritas en los cuadros N° 3.1 y 3.2, en dónde
• Impacto: se entiende las consecuencias o la magnitud de sus efectos y se

ponderaran utilizando el juicio experto puesto que se ha obtenido la suficiente
información a través de las encuestas y fuentes históricas
• Probabilidad: Probabilidad es la posibilidad de ocurrencia del riesgo y se
ponderaran utilizando el juicio experto.
Una vez aplicada la fórmula antes mencionada, y obtenido sus respectivos resultados se
procederá a identificar si dichos riesgos tienen un nivel de riesgo bajo, moderado o alto
121
utilizando el cuadro 3.4 que menciona el nivel de riesgo y el cuadro 3.5 que se refiere al
mapa de riesgo.
Nivel de Riesgo
Alto 3 3,00 6,00 9,00

Medio 2 2,00 4,00 6,00
Bajo 1 1,00 2,00 3,00
1 2 3
Bajo Medio Alto
Impacto
Probabilidad
Es decir, se realiza el mismo procedimiento que se utilizó para calificar el riesgo

inherente.
Riesgo Residual para los procesos de egresos

Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Niveles de aprobación automáticos

Ejecución de gastos no para casa matriz:
autorizados o no - Niveles de aprobación de gastos
1 Automático 1 1 1
clasificados superiores a US $ 300.000.
adecuadamente. - Niveles de aprobación de activos
superiores a US $ 25.000.
Niveles de autorización y montos:
Presidente ejecutivo más de US $
Compras no planificadas 100.000.
2 que afecten el presupuesto Automático Director financiero desde US $ 1 3 3
de la compañía. 50.000 a US $ 100.000.
Director de área hasta US $ 50.000.
Gerente de área hasta US $ 10.0000
Fragmentación de compras 100.000.
3 para evadir niveles de Automático Director financiero desde US $ 3 3 9
autorización. 50.000 a US $ 100.000.
Gerente de área hasta US $ 10.0000
122
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Operaciones con Reportes de la unidad de gestión de

4 Manual 1 1 1
proveedores ficticios. inventarios.
Políticas y procedimientos de
5 Colusión con proveedores. Manual 1 3 3
compras.
de licitación y cotización
Reporte de compras por montos de
6 que no permitan gestionar Manual 1 3 3
adquisición.
ahorros y eficiencias para la
compañía.
Proveedores que incumplan
con fechas de entrega y la
calidad deseada en los
bienes y servicios Certificado de calificación vigente
7 Manual 1 2 2
contratados por la como habilitante para el pago.
compañía, por
inconsistencia en proceso
de calificación.
y procedimientos para para Reporte de órdenes de compra y
8 Manual 2 3 6
aprobación de órdenes de contratos emitidos.
compra.
100.000.
Fragmentación de órdenes Director financiero desde US $
9 Automático 1 1 1
de compra. 50.000 a US $ 100.000.
Gerente de área hasta US $
10.0000.
efectuadas sin contrato por Proceso de regularización de
10 Manual 2 2 4
incumplimiento de políticas compras con procedimiento alterno.
y procedimientos.
Creación de órdenes de
Creación de órdenes de compra a
11 compra ficticias y/o sin Automático 2 2 4
través de sistema SAP.
contratos.
contingencia en caso de Procedimiento alterno de compras
12 Manual 3 3 9
fallas en el sistema de por fallas en sistema.
compras.
Reporte de compras abiertas sin
13 servicios registrados en Automático 1 1 1
recepción.
Recepción de Materiales y Verificación de condiciones de

14 Manual 1 3 3
servicios que no cumple calidad del área solicitante.
123
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
especificaciones para el
proceso de producción y/o
estándares de calidad y
Datos incorrectos podrían
ser registrados en el
maestro de proveedores en
Validación de cambios de datos
especial números de
15 Manual sensibles de proveedores 1 1 1
cuentas bancarias lo que
(certificados bancarios).
puede ocasionar errores o
fraudes el pago a
proveedores.
Trabajar con proveedores
no adecuados que pongan
Depuración y bloqueo de
16 en riesgo el cumplimiento Semiautomático 1 3 3
proveedores en el sistema.
con las necesidades de la
compañía.
argumento o evidencia que Reporte de cambio de datos de
17 Automático 1 2 2
originen fraudes o errores proveedores.
en la ejecución de pagos a
proveedores.
ejecute cambios o registros Autorización de perfiles de accesos
18 Manual 1 2 2
en el sistema que conlleven de la Gerencia de Control Interno
a fraude o errores
Falta de procedimientos y
políticas para compras de
19 Manual Autorización de orden de pago 2 3 6
bienes o servicios fuera del
proceso estándar.
20 Manual Autorización de Anticipo 1 3 3
proveedores no autorizados
Facturas no registradas Reporte de hojas de entrada sin
21 Manual 1 2 2
oportunamente factura
Validación de documentos
22 Manual habilitantes (orden de compra, hoja 1 3 3
validación
de entrada y datos de factura)
Pagos o desembolsos que Niveles de autorización de
23 no han sido aprobados Manual generación de cuenta por pagar y 1 3 3
adecuadamente desembolso.
24 acreditación de recursos de Manual Reporte de antigüedad de anticipos 1 2 2
desembolsos.
Fraude, desembolsos Niveles de aprobación para
25 Manual 1 3 3
ficticios son registrados desembolsos
124
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Pagos erróneos o Validación de comprobantes de

26 duplicados por errores en Automático pago vs transacciones del Cash 1 2 2
sistemas de información. Management.
antiguas de anticipos y Reporte de antigüedad y
27 Manual 1 2 2
obligaciones con seguimiento de partidas antiguas
proveedores.
Solicitud de anticipos con niveles
28 relacionados al negocio Manual 1 2 2
de aprobación
relacionados al negocio son Cupos autorizados con tarjeta de
29 Manual 1 2 2
ejecutados con tarjeta de crédito corporativa
crédito corporativa
Incumplimiento políticas
establecidas para la
ejecución y reembolso de Revisión de documentos
30 Manual 2 2 4
gastos de viaje o habilitantes para reembolso
misceláneos por parte de
empleados
Riesgo Residual para los procesos de ingresos

Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Definir precios demasiados

altos que no permitan acceder
Procedimiento de análisis para la
al mercado o precio
1 Manual creación o actualización de precios y 1 3 3
demasiado bajos que no
descuentos
permitan obtener márgenes de
Precios de venta al
público/descuentos no
Aprobaciones a través de la "Solicitud
aprobados por la alta gerencia
2 Manual para la creación o actualización de 1 3 3
que podría generar
precios"
inconvenientes financieros no
planificados
Política de fijación de precios que
Precios o descuentos
incluya lineamientos para la revisión
3 registrados en el sistema Manual 1 3 3
periódica de precios vigentes versus
precios aprobados
Procedimiento para la apertura y
Crear canales de ventas que
4 Manual crecimiento de canales de venta que 1 2 2
no sean eficientes ni rentables
incluya el respectivo análisis
125
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Incorporar canales de venta

no aprobados por la alta
gerencia que podrían generar Política para la aprobación de apertura
5 Manual 1 2 2
inconvenientes financieros no o crecimiento de canales de venta
planificados e incluso litigios
legales
Canales de venta que Solicitud de apertura de accesos y
comercialicen los productos y códigos de venta deberá tener adjunto
6 Manual 1 3 3
servicios de la compañía sin el contrato legalizado con el canal de
suscribir un contrato ventas
Canal de venta sin Procedimiento para la apertura y
conocimiento adecuado que crecimiento de canales de venta que
7 podría impactar en el nivel de Manual incluya certificación de la 1 2 2
ventas, así como en reclamos capacitación previo a la creación del
o deserción de clientes código de ventas
Aplicación de matriz de perfiles y
Accesos inadecuados a los
accesos para el sistema E- Sales.
8 sistemas que conlleven a Manual 2 2 4
Segregación de funciones en la
fraude
solicitud, aprobación y creación de
Incumplimiento en las metas
de venta, cobranza y churn Seguimiento de reportes diarios del
9 Automático 1 2 2
que impacten en los nivel de ventas y churn por canal.
resultados de la compañía
Información sensible de
clientes expuesta en la Dispositivo para captación de datos de
Solicitud de Servicios que clientes que no guarde ningún historial
pasa por personal de visible sobre información sensible del
distribuidores o interno con cliente
fines fraudulentos
crédito que no hayan sido
analizados adecuadamente Metodología para el análisis de la
11 que ocasionen ineficiencias y Manual adopción o actualización de políticas 1 3 3
otros efectos negativos en la de Crédito
calidad de clientes que
ingresan a la compañía
Listas negras desactualizadas
lo cual permita el ingreso de Procedimiento para la actualización de
12 Manual 1 2 2
clientes con historial de Listas Negras
fraude o morosidad
Aprobar el ingreso de clientes
Bloqueo automático para el ingreso de
que se encuentran en listas
13 Manual clientes que se encuentran en listas 1 2 2
negras por morosidad,
negras
piratería u otro tipo de fraude
Política de Crédito que especifica los
parámetros bajo los cuales un cliente
puede ser aprobado manualmente por
que no cumplen con las
un Analista de Crédito.
14 políticas de crédito Manual 1 2 2
Verificación periódica de la evidencia
establecidas por la
relacionada a la información crediticia
administración
con la que un cliente fue dado de alta
por el Analista de Crédito
126
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Verificación de documentación que

Reclamos de clientes o soporta la relación con el cliente:
instituciones financieras por -Contrato de Subscripción
ejecución de cobros no -Autorización de débito
15 autorizados lo que peude Manual -Documentos de identificación del 2 3 6
ocasionar litidios legales y cliente
pérdida de la la relación con No pago de comisiones por ventas sin
la institución financiera documentación soporte y sanciones
por incumplimientos
Crear contratos de clientes Política de Crédito que establece los
rechazados de acuerdo a las parámetros bajo los cuales una
16 Manual 1 2 2
políticas y requisitos persona natural o jurídica no puede
establecidos por la compañía ingresar como cliente
Verificar que el dueño de la tarjeta de
crédito sea quien firma la autorización
de débito
Fraude con tarjetas de crédito
La tarjeta de crédito pertenezca al
17 de clientes (cobros no Automático 1 3 3
propietario del contrato de servicio
autorizados )
caso contrario, la autorización de
débito debe estar firmada pr el titular
de dicha tarjeta.
Conciliación diaria entre el cierre del
18 Cobros duplicados Manual POS y las ventas registradas en el 1 2 2
sistema ICC
Procesamiento de la venta sin
Bloqueo de la venta mientras el
19 el respectivo cobro de HU (en Automático 1 2 2
sistema no confirme el cobro del HU
el caso de Televentas)
Pérdida de nuevos clientes al
cortar el proceso de venta y
20 Automático Cobro en línea del HU 1 2 2
enviar a los clientes a realizar
el depósito bancario
Generación de órdenes de Conciliación de transacciones
21 Manual 1 2 2
instalación ficticias financieras vs órdenes de instalación
Falta de análisis de las reglas Procedimiento para garantizar
de negocio para la facturación integridad en las pruebas de
22 Manual 1 2 2
que impacten en el valor facturación cada que se ejecuten
facturado a clientes nuevas ofertas, campañas o productos
Inconsistencias detectadas por
el robot pre facturador que no Correr reporte final de robot Pre
han sido corregidas por los facturador y revisar que no exista
23 Manual 1 3 3
dueños de procesos, que ninguna inconsistencia previo a la
generen fallas o errores en los ejecución del paso de facturación
valores facturados a clientes
Errores o fraude en el proceso
Interface automática para envío de
de facturación debido a
24 Automático base de clientes para facturación 1 2 2
manipulación en la base de
electrónica o física
clientes facturados
Base de datos de clientes que Clausulas legales de confidencialidad

25 puede ser mal utilizada por el Manual en el contrato de prestación de 1 3 3
proveedor servicios
127
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Reclamos de clientes por no

recepción de factura que Ejecutar auditorías de control al
26 Manual 2 2 4
puede generar sanciones por courrier.
parte del ente regulador.
Alta rotación de ejecutivos de
servicio al cliente y
Reporte de tendencias y desvíos en el
27 retenciones, que puede Automático 1 2 2
procesamiento de ajustes financieros
impactar en el incremento de
Criterio erróneo en el análisis,
Aplicativo que valide
lo que podría generar un
automáticamente los parámetros y
28 incremento en la cantidad y Automático 1 2 2
permita o bloquee el procesamiento de
monto de ajustes financieros
los ajustes financieros.
de clientes.
Matriz automatizada de aprobación de
ajustes financieros por monto:
-0 a 35 USD Ejecutivos de atención
Ajustes financieros no al cliente.
autorizados que originen -35 a 200 USD Analistas de Reclamos
pérdidas económicas a la Financieros.
compañía. -200 a 1000 USD Gerente de
Facturación y Cobranzas.
-Mayor a 1000 USD Dirección
Financiera.
Acceso para la ejecución de Aplicativo para el análisis y
transacciones financieras procesamiento automático de ajustes
(ajustes) a demasiados financieros con impacto directo en las
30 usuarios y a todo nivel Automático transacciones financieras del sistema 1 2 2
jerárquico lo que podría ICC , con lo cual no es necesario
incrementar el riesgo de error otorgar al personal accesos para la
o fraude. ejecución de transacciones financieras.
clientes facturados previo al Interface automática para envío de la
31 envío al cobro a las Automático base de clientes a las Instituciones 1 2 2
instituciones financieras que financieras para el cobro.
Uso indebido de información
Transferencia de información
de clientes por falta de
32 Automático encriptada y por medio de un sitio 1 2 2
seguridades en el envío de la
seguro (https).
información.
Error en la aplicación de Aplicación de cobros en línea
33 pagos o registro de pagos Automático (Interface directa entre swicth 1 3 3
indebidos. transaccional y sistema ICC).
clientes facturados previo al Interface automática para envío de la
34 envío al cobro a las Automático base de clientes a las Instituciones 1 2 2
instituciones financieras que financieras para el cobro.
Actualización diaria de la base de
Cobros duplicados por
clientes para ejecución de intentos de
ejecución de débitos
cobro.
35 automáticos en clientes que Automático 1 2 2
Conexión para aplicación de pagos en
han realizado pago por
línea con todas las instituciones
ventanilla.
financieras y de recaudo.
128
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Conexión para aplicación de pagos en

Cobros no aplicados o mal
36 Automático línea con todas las instituciones 1 2 2
aplicados.
financieras y de recaudo.
Reclamos de clientes por
mantener mensajes de mora
Reportes periódicos para revisar el
en su pantalla o el servicio
37 Automático funcionamiento adecuado del proceso 1 2 2
automático de arrears.
generar pérdidas económicas
por sanciones del regulador.
Definir campañas y
estrategias que no impacten
positivamente en el Procedimiento de análisis para la
38 cumplimiento de las metas de Manual creación o actualización de objetivos y 1 3 3
cobro e incluso afecten los campañas de cobranza.
márgenes de rentabilidad
esperados.
Bases de datos Proceso diario de actualización de
desactualizadas o erróneas bases de datos para cobranza
39 Manual 1 2 2
que generen ineficiencias en Automatización para la generación de
la gestión de cobro. bases de datos.
arrears para el envío de
Reportes de control periódicos para
mensajes OSD a clientes, lo
40 Automático asegurar el funcionamiento adecuado 1 3 3
que puede impactar en la
del OSD.
gestión de cobranza y el nivel
de churn.
arrears para la desconexión
Reportes de control periódicos para
del servicio a clientes con
41 Automático asegurar el funcionamiento adecuado 1 3 3
deuda, lo que puede impactar
de las desconexiones.
en la eficiencia de gestión de
cobranza y el nivel de churn.
contactabilidad lo que impide Campañas de actualización de bases
42 Manual 3 2 4
realizar una adecuada gestión de datos de clientes.
de cobranza.
Mala gestión de cobranza por Reporte de tendencias de cobro por
parte de los ejecutivos lo que asesor con el fin de generar
43 puede impactar en la Manual retroalimentación periódica y oportuna 1 2 2
eficiencia de cobro y nivel de sobre técnicas y calidad en la llamada
churn. de cobranza.
Equipos no recuperados que
Proceso para cobranza de equipos no
44 implican pérdidas para la Manual 1 2 2
recuperados.
compañía.
Aprobación formal sobre el cálculo de
45 provisión para cuentas Manual 1 2 2
provisión para incobrables.
incobrables.
Personal no autorizado que Autorización de perfiles de acceso de
ejecute cambios o registros en la Gerencia de Control Interno
46 Manual 1 3 3
el sistema que conlleven a Auditoría de accesos al sistema de
fraude o errores. ingresos.
129
• Planes de acción.- La presente metodología propone que la supervisión (monitoreo),

se realce con la visión de gestión de riesgo operativo, que requiere una revisión
continua de los riesgos identificados así como de las acciones planteadas por los
usuarios como parte del tratamiento de los mismos, por lo que la Gerencia de Procesos
y Control Interno desarrolló una matriz de Planes de Acción, los mismos que serán
monitoreados mensualmente con el fin de asegurar su implementación dentro de los
plazos pactados, teniendo a la fecha 20 planes de acción establecidos para los procesos
de egresos y 33 planes de acción establecidos para los procesos de ingresos como
parte del presente trabajo:
Planes de acción para los procesos de egresos
No. RIESGOS IDENTIFICADOS RIESGO RESIDUAL Plan de Acción
Implementar aprobaciones de Casa

Ejecución de gastos no autorizados o Matriz en el sistema SAP para el
1 1
no clasificados adecuadamente. procesamiento de requisición de
compra.
Implementar aprobaciones en el sistema
Compras no planificadas que afecten
2 3 SAP de la Gerencia de Planificación
el presupuesto de la compañía.
Financiera.
Fragmentación de requisiciones de Implementar aprobaciones en el sistema
3 compra para evadir niveles de 9 SAP de la Gerencia de Planificación
autorización. Financiera.
Creación de la Unidad de Gestión de
4 Operaciones con proveedores ficticios. 1 Inventarios bajo la dependencia de la
Gerencia de Logística.
Verificar el cumplimento de políticas
5 Colusión con proveedores. 3
(ex post).
Falta de procesos y políticas de
Diseño, Implementación y capacitación
licitación y cotización que no permitan
6 3 de Instructivos para ejecución de
gestionar ahorros y eficiencias para la
licitaciones.
compañía.
Proveedores que incumplan con
fechas de entrega y la calidad deseada Emisión de Certificado de calificación
7 en los bienes y servicios contratados 2 para el pago emitida por firma
por la compañía, por inconsistencia en calificadora.
proceso de calificación.
Incumplimiento de políticas y Capacitación al personal sobre procesos
8 procedimientos para para aprobación 6 de ejecución de órdenes de compra y
de órdenes de compra. contratos.
Reporte de compras mensuales para un
9 Fragmentación de órdenes de compra. 1
mismo item
Operaciones de compra efectuadas sin
Creación de procedimiento alterno con
10 contrato por incumplimiento de 4
niveles de autorización.
políticas y procedimientos.
Creación de órdenes de compra Ejecución de procesos de auditoría de
11 4
ficticias y/o sin contratos. pagos.
Falta de procedimientos de Creación de procedimiento alterno de
12 contingencia en caso de fallas en el 9 contingencia para compras por fallas en
sistema de compras el sistema.
130
No. RIESGOS IDENTIFICADOS RIESGO RESIDUAL Plan de Acción
Recepción de bienes y servicios

13 1 N/A
registrados en períodos incorrectos
Recepción de Materiales y servicios
que no cumple especificaciones para Generación de cláusulas contractuales
14 el proceso de producción y/o 3 por incumplimiento de estándares de
estándares de calidad y tiempo de la calidad.
compañía.
registrados en el Maestro de
Proveedores en especial números de
15 1 N/A
cuentas bancarias lo que puede
ocasionar errores o fraudes el pago a
proveedores.
Trabajar con proveedores no Calificación interna de proveedores al
adecuados que pongan en riesgo el finalizar prestación de servicio y
16 3
cumplimiento con las necesidades de creación de bases de datos de Lista
la compañía. Negra.
Cambios en los datos sensibles del
proveedor sin argumento o evidencia Validación de reporte de cambio de
17 2
que originen fraudes o errores en la datos sensibles de proveedores.
ejecución de pagos a proveedores.
Personal no autorizado que ejecute Automatización de perfiles para
18 cambios o registros en el sistema que 2 segregación de funciones en el sistema
conlleven a fraude o errores. SAP.
Falta de procedimientos y políticas Diseño, procesos, políticas y
19 para compras de bienes o servicios 6 procedimientos específicos para
fuera del proceso estándar. compras por excepción.
20 3 N/A
21 2 N/A
oportunamente.
22 Pagos errados por falta de validación. 3 N/A
Generación de funciones de revisión y
Pagos o desembolsos que no han sido
23 3 control de procesos previos al
aprobados adecuadamente.
desembolso.
Errores en transferencia y acreditación
24 2 N/A
de recursos de desembolsos.
Generación de funciones de revisión y
Fraude, desembolsos ficticios son
25 3 control de procesos previos al
registrados.
desembolso.
Pagos erróneos o duplicados por Desarrollo de aplicación para validación
26 2
errores en sistemas de información. de pagos.
Existencia de partidas antiguas de
27 anticipos y obligaciones con 2 N/A
proveedores.
28 2 N/A
negocio desembolsados a empleados
29 negocio son ejecutados con tarjeta de 2 N/A
crédito Corporativa.
Incumplimiento políticas establecidas
para la ejecución y reembolso de
30 4 N/A
gastos de viaje o misceláneos por
parte de empleados.
131
Planes de acción para los procesos de ingresos
No. Riesgos Identificados Riesgo Residual Plan de Acción
Definir precios demasiados altos que

no permitan acceder al mercado o Auditorías sobre el cumplimiento del
1 precio demasiado bajos que no 3 procedimiento de análisis de precios y
permitan obtener márgenes de descuentos.
Precios de venta al público/descuentos Política para la fijación de precios y
no aprobados por la alta gerencia que descuentos e implementar aprobaciones
2 3
podría generar inconvenientes automáticas para el cambio o creación de
financieros no planificados. nuevos precios y descuentos.
Reporte de precios vigentes en el sistema
Precios o descuentos registrados en el
3 3 vs solicitudes de creación o actualización
sistema distintos a los autorizados
de precios y descuentos.
Crear canales de ventas que no sean
4 2 N/A
eficientes ni rentables.
Incorporar canales de venta no
aprobados por la alta gerencia que Creación de un comité para la aprobación
5 podrían generar inconvenientes 2 de apertura y expansión de canales de
financieros no planificados e incluso venta.
litigios legales.
Procedimiento para la creación de accesos
Canales de venta que comercialicen
y códigos de venta que determine al
6 los productos y servicios de la 3
contrato legalizado como habilitante para
compañía sin suscribir un contrato
la creación en el sistema.
Canal de venta sin conocimiento
Adjuntar certificado de capacitación a la
adecuado que podría impactar en el
7 2 Solicitud de creación de accesos y
nivel de ventas, así como en reclamos
códigos de venta.
o discreción de clientes.
Asignar la función de solicitud de códigos
Accesos inadecuados a los sistemas y accesos al área de ventas, revisión de
8 4
que conlleven a fraude. requisitos y aprobación al área financiera
administrativa, ejecución al área de IT.
Incumplimiento en las metas de venta,
9 cobranza y churn que impacten en los 2 N/A
resultados de la compañía.
Desarrollo e implementación de un
expuesta en la Solicitud de Servicios
dispositivo móvil que permita el
10 que pasa por personal de 6
enmascaramiento de los datos sensibles
distribuidores o interno con fines
del cliente una vez hayan sido registrados.
fraudulentos.
Parámetros de verificación de crédito
que no hayan sido analizados
Formalizar metodología para ejecutar el
adecuadamente que ocasionen
11 3 análisis de parámetros y políticas
ineficiencias y otros efectos negativos
crediticias.
en la calidad de clientes que ingresan a
la compañía.
Listas negras desactualizadas lo cual
Implementación de un procedimiento para
12 permita el ingreso de clientes con 2
la actualización de listas negras.
historial de fraude o morosidad.
132
Aprobar el ingreso de clientes que se Implementar en el sistema E- Sales el

encuentran en listas negras por bloqueo automático para el ingreso de
13 2
morosidad, piratería u otro tipo de clientes que se encuentran registrados en
fraude. listas negras.
Aprobar el ingreso de clientes que no
14 cumplen con las políticas de crédito 2 Auditorías de cumplimiento de la política.
establecidas por la administración
Reclamos de clientes o instituciones
financieras por ejecución de cobros no Aplicar sanciones importantes debido al
15 autorizados lo que puede ocasionar 6 incumplimiento de las políticas y
litigios legales y pérdida de la relación procedimientos de ingreso de clientes.
con la institución financiera.
Crear contratos de clientes rechazados
16 de acuerdo a las políticas y requisitos 2 Auditorías de cumplimiento de la política.
establecidos por la compañía.
Implementar un desarrollo que al
identificar que el pago de la subscripción
Fraude con tarjetas de crédito de será realizado por un tercero, bloque el
17 3
clientes (cobros no autorizados). registro de la venta y el sistema derive la
revisión del caso a los analistas de crédito
de la compañía.
18 Cobros duplicados 2 N/A
Procesamiento de la venta sin el Automatizar la verificación de cobro de
19 respectivo cobro de HU (en el caso de 2 HU previo a la finalización de la venta y
Televentas). envió de la Orden de Trabajo.
Pérdida de nuevos clientes al cortar el
Implementación de POS virtual para
20 proceso de venta y enviar a los 2
débito bancario.
clientes a realizar el depósito bancario.
Generación de órdenes de instalación
21 2 N/A
ficticias.
Falta de análisis de las reglas de
Generar evidencia de las pruebas
negocio para la facturación que
22 2 ejecutadas en la creación de ofertas,
impacten en el valor facturado a
campañas y productos.
clientes.
Inconsistencias detectadas por el robot
pre facturador que no han sido
Implementar evidencia del reporte del
23 corregidas por los dueños de procesos, 3
robot pre facturador sin inconsistencias.
que generen fallas o errores en los
valores facturados a clientes.
Errores o fraude en el proceso de Desarrollar interface entre sistema de
24 facturación debido a manipulación en 2 facturación ICC y sistema de la compañía
la base de clientes facturados. encargada de la facturación electrónica.
Base de datos de clientes que puede

25 3 N/A
ser mal utilizada por el proveedor.
Reclamos de clientes por no recepción Implementar auditorías de control en el

26 de factura que puede generar 4 courier y atar su cumplimiento al pago
sanciones por parte del ente regulador. por el servicio.
Alta rotación de ejecutivos de servicio
Desarrollar un reporte de tendencias y
al cliente y retenciones, que puede
27 2 desvíos por usuario del procesamiento de
impactar en el incremento de ajustes
financieros.
133
Implementar todos los casos de ajuste en

Criterio erróneo en el análisis, lo que
la herramienta de análisis y
podría generar un incremento en la
28 2 procesamiento de ajustes, con el fin de
cantidad y monto de ajustes
eliminar la posibilidad de que los asesores
financieros de clientes.
tomen criterios inadecuados.
Desarrollar todos los casos de ajustes
financieros en el aplicativo y adecuarlos a
Ajustes financieros no autorizados que la matriz de aprobación por monto
29 originen pérdidas económicas a la 2 Desarrollar un reporte de control para
compañía. asegurar que los ajustes ejecutados en el
período fueron ejecutados de acuerdo a la
matriz de aprobación.
transacciones financieras (ajustes) a
30 demasiados usuarios y a todo nivel 2 N/A
jerárquico lo que podría incrementar
el riesgo de error o fraude
Manipulación en la base de clientes Desarrollar interface entre sistema de
facturados previo al envío al cobro a facturación ICC y las Instituciones
31 2
las instituciones financieras que den Financieras, con l fin de aplicar los cobros
lugar a error o fraude automáticamente.
32 clientes por falta de seguridades en el 2 N/A
envío de la información.
Desarrollar interface entre sistema de
Error en la aplicación de pagos o
33 3 facturación ICC y las Instituciones
registro de pagos indebidos .
Financieras.
Manipulación en la base de clientes Desarrollar interface entre sistema de
facturados previo al envío al cobro a facturación ICC y las Instituciones
34 2
las instituciones financieras que den Financieras, con l fin de aplicar los cobros
lugar a error o fraude. automáticamente.
Desarrollo de conexiones a través de un
Cobros duplicados por ejecución de
switch transaccional con las instituciones
35 débitos automáticos en clientes que 2
financieras para aplicación de pagos en
han realizado pago por ventanilla.
línea en el sistema ICC.
Desarrollo de conexiones a través de un
switch transaccional con las instituciones
36 Cobros no aplicados o mal aplicados. 2
financieras para aplicación de pagos en
línea en el sistema ICC.
Reclamos de clientes por mantener
mensajes de mora en su pantalla o el
37 servicio desconectado, lo que pueden 2 N/A
generar pérdidas económicas por
Definir campañas y estrategias que no
impacten positivamente en el Auditorías sobre el cumplimiento del
38 cumplimiento de las metas de cobro e 3 procedimiento de análisis de objetivos y
incluso afecten los márgenes de campañas de cobranza.
rentabilidad esperados.
Implementar procedimiento para la
39 erróneas que generen ineficiencias en 2
generación diaria de la base de datos.
la gestión de cobro.
134
Fallas en el Aplicativo de arrears para

el envío de mensajes OSD a clientes,
40 3 N/A
lo que puede impactar en la gestión de
cobranza y el nivel de churn.
Fallas en el Aplicativo de arrears para
la desconexión del servicio a clientes
41 con deuda, lo que puede impactar en la 3 N/A
eficiencia de gestión de cobranza y el
nivel de churn.
Índices elevados de no contactabilidad
Implementar campañas de actualización
42 lo que impide realizar una adecuada 4
de datos.
gestión de cobranza.
Mala gestión de cobranza por parte de
los ejecutivos lo que puede impactar
43 2 N/A
en la eficiencia de cobro y nivel de
churn.
Equipos no recuperados que implican Implementar procedimiento para cobranza
44 2
pérdidas para la compañía. de equipos no recuperados.
Error en el cálculo de la provisión para
45 2 N/A
cuentas incobrables.
46 cambios o registros en el sistema que 3 N/A
conlleven a fraude o errores.
Establecimiento de Indicadores
Una vez establecidos los planes de acción la metodología propone el establecimiento de

indicadores para detectar señales tempranas sobre la exposición creciente de los riesgos
a los que están expuestas las diversas áreas de negocio, de manera que alerten sobre esta
situación y puedan adoptarse las medidas correctivas que resulten pertinentes, antes de
que los efectos negativos se hayan materializado sobre los objetivos.
Los indicadores clave de riesgo son variables que ofrecen una base razonable para estimar
la probabilidad e impacto de uno o más eventos de riesgo operacional, así también, es una
herramienta que permite la validación, cálculo y monitoreo de los indicadores clave de
riesgo, para los procesos de ingresos y egresos de la compañía.
La Gerencia de Procesos y Control Interno conforme a la estructura de gestión de control

interno y riesgo empresariales detallada en el presente modelo, será la encargada de
consolidar la información enviada por las áreas operativas (propietarias del riesgo) con el
135
fin de identificar fluctuaciones que alerten la existencia de una posible exposición ante
un evento de riesgo operacional y definir planes de acción correctivos.
En el presente modelo se proponen 53 indicadores, 20 indicadores para los procesos de

egresos y 33 indicadores para los procesos de ingresos los cuales se presentan a
continuación:
Tabla Indicadores Procesos de egresos
Plan de Acción
Establecimient
Identificados
indicadores
tratamiento
Opción de
Residual
Riesgos
Riesgo
o de
No.
Implementar aprobaciones de # Formularios de Compras

Ejecución de gastos no
Casa Matriz en el sistema Mitigar el aprobados / # Total de
1 autorizados o no clasificados 1 Compras Activos
SAP para el procesamiento riesgo.
adecuadamente. Ejecutadas.
de requisición de compra.
Implementar aprobaciones en # Total de Compras

Compras no planificadas que
el sistema SAP de la Mitigar el Aprobadas por Gerencia
2 afecten el presupuesto de la 3 Planificación Financiera / #
Gerencia de Planificación riesgo.
compañía. Compras Totales
Financiera.
Fragmentación de Implementar aprobaciones en

Número de compras
requisiciones de compra para el sistema SAP de la Mitigar el
3 9 mensuales efectuadas de un
evadir niveles de Gerencia de Planificación riesgo mismo ítem..
autorización. Financiera.
Creación de la Unidad de
Operaciones con proveedores Gestión de Inventarios bajo Mitigar el Conciliación mensual de
4 1 inventarios y activos fijos.
ficticios la dependencia de la riesgo
Gerencia de Logística.
Verificar el cumplimento de Mitigar el
5 Colusión con proveedores 3 Auditorías de Procesos.
políticas (ex post) riesgo
Diseño, Implementación y # de actas de licitaciones y
de licitación y cotización que
capacitación de Instructivos Mitigar el comités de compras/ #Total
6 no permitan gestionar ahorros 3 de compras que requieren
para ejecución de riesgo
y eficiencias para la licitación
licitaciones.
compañía
Proveedores que incumplan
con fechas de entrega y la Emisión de Certificado de
Reporte de pagos vs
calidad deseada en los bienes calificación para el pago Transferir
7 2 certificados de calificación a
y servicios contratados por la emitida por firma el riesgo proveedores.
compañía, por inconsistencia calificadora.
en proceso de calificación.
Incumplimiento de políticas y Capacitación al personal # Contratos de compra
procedimientos para para sobre procesos de ejecución Transferir legalizados / # de órdenes de
8 6
aprobación de órdenes de de órdenes de compra y el riesgo compra que requieren
compra. contratos. contrato
Reporte de compras Número de compras
Fragmentación de órdenes de Mitigar el
9 1 mensuales para un mismo mensuales efectuadas de un
compra. riesgo mismo ítem.
ítem
136
Plan de Acción
Establecimient
Identificados
indicadores
tratamiento
Opción de
Residual
Riesgos
Riesgo
o de
No.
Creación de procedimiento
efectuadas sin contrato por Mitigar el
10 4 alterno con niveles de Auditorías de Procesos.
incumplimiento de políticas y riesgo
autorización.
procedimientos.
Creación de órdenes de
Ejecución de procesos de Mitigar el # de contratos y órdenes de
11 compra ficticias y/o sin 4 compra autorizados / Total
auditoría de pagos. riesgo de pagos.
contratos.
Creación de procedimiento
alterno de contingencia para Mitigar el Pruebas de funcionamiento
12 contingencia en caso de fallas 9 de planes de contingencia.
compras por fallas en el riesgo
en el sistema de compras.
sistema.
13 servicios registrados en 1 N/A N/A N/A
Recepción de Materiales y
servicios que no cumple Generación de cláusulas
especificaciones para el contractuales por Transferir Sanciones ejecutadas por
14 3 incumplimiento de contratos
proceso de producción y/o incumplimiento de el riesgo / total de contratos.
estándares de calidad y estándares de calidad.
registrados en el Maestro de
Proveedores en especial
15 números de cuentas bancarias 1 N/A N/A N/A
lo que puede ocasionar
errores o fraudes el pago a
proveedores
Trabajar con proveedores no Calificación interna de
adecuados que pongan en proveedores al finalizar
Mitigar el Reporte de calificación de
16 riesgo el cumplimiento con 3 prestación de servicio y proveedores y bases de datos
riesgo de lista negra.
las necesidades de la creación de bases de datos de
compañía Lista Negra.
Validación de reporte de
argumento o evidencia que Mitigar el Reporte de cambios de
17 2 cambio de datos sensibles de datos vs evidencia
originen fraudes o errores en riesgo documental de cambios.
proveedores.
la ejecución de pagos a
proveedores
Automatización de perfiles
ejecute cambios o registros en Mitigar el Matriz de quiebre de regla y
18 2 para segregación de controles compensatorios.
el sistema que conlleven a riesgo
funciones en el sistema SAP.
fraude o errores
Falta de procedimientos y
Diseño, procesos, políticas y
políticas para compras de Mitigar el Revisión de pagos que
19 6 procedimientos específicos ingresan por módulo FI
bienes o servicios fuera del riesgo (transacciones financieras).
para compras por excepción.
proceso estándar.
20 3 N/A N/A N/A
137
Plan de Acción
Establecimient
Identificados
indicadores
tratamiento
Opción de
Residual
Riesgos
Riesgo
o de
No.
21 2 N/A N/A N/A
oportunamente.

22 3 N/A N/A N/A
validación.
Generación de funciones de
Pagos o desembolsos que no
revisión y control de Mitigar el # de pagos no aprobados / #
23 han sido aprobados 3 Total de pagos.
procesos previos al riesgo
adecuadamente.
desembolso.
24 acreditación de recursos de 2 N/A N/A N/A
desembolsos.
Generación de funciones de
Fraude, desembolsos ficticios revisión y control de Mitigar el # Pagos no aprobados / #
25 3 Total de pagos.
son registrados. procesos previos al riesgo
desembolso.
Pagos erróneos o duplicados
Desarrollo de aplicación para Mitigar el # Pagos duplicados o errados
26 por errores en sistemas de 2 / # total de pagos.
validación de pagos. riesgo
información.
antiguas de anticipos y
27 2 N/A N/A N/A
obligaciones con
proveedores.
28 relacionados al negocio 2 N/A N/A N/A
relacionados al negocio son
29 2 N/A N/A N/A
ejecutados con tarjeta de
crédito Corporativa.
establecidas para la ejecución
30 y reembolso de gastos de 4 N/A N/A N/A
viaje o misceláneos por parte
de empleados.
Tabla Indicadores Procesos de ingresos

138
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Definir precios demasiados altos

que no permitan acceder al Auditorías sobre el
mercado o precio demasiado cumplimiento del Mitigar
1 3 Auditorías de Procesos
bajos que no permitan obtener procedimiento de análisis de el riesgo
márgenes de rentabilidad precios y descuentos.
adecuados.
Reporte el sistema de
Política para la fijación de
Precios de venta al cambio de precios y
precios y descuentos e
público/descuentos no aprobados descuentos en el maestro
implementar aprobaciones Mitigar
2 por la alta gerencia que podría 3 de clientes vs Solicitudes
automáticas para el cambio o el riesgo
generar inconvenientes de Creación o
creación de nuevos precios y
financieros no planificados. actualización de precios
descuentos.
aprobadas.
# de cambios sin
solicitudes de Creación o
Reporte de precios vigentes
Precios o descuentos registrados actualización de precios
en el sistema vs solicitudes de Mitigar
3 en el sistema distintos a los 3 aprobadas / # Total de
creación o actualización de el riesgo
autorizados. cambio de precios y
precios y descuentos.
descuentos vigentes en el
sistema
Crear canales de ventas que no
4 2 N/A N/A N/A
sean eficientes ni rentables.
Incorporar canales de venta no #de canales de venta sin
aprobados por la alta gerencia Creación de un comité para la actas de aprobación del
que podrían generar aprobación de apertura y Mitigar comité de canales / #
5 2
inconvenientes financieros no expansión de canales de el riesgo Total de canales de venta
planificados e incluso litigios venta. reportados por el sistema
legales. en el período.
Procedimiento para la
Canales de venta que creación de accesos y códigos
comercialicen los productos y de venta que determine al Mitigar
6 3 Auditorías de Procesos.
servicios de la compañía sin contrato legalizado como el riesgo
suscribir un contrato. habilitante para la creación en
el sistema
Canal de venta sin conocimiento Adjuntar certificado de
adecuado que podría impactar en capacitación a la Solicitud de Mitigar
7 2 Auditorías de Procesos.
el nivel de ventas, así como en creación de accesos y códigos el riesgo
reclamos o deserción de clientes. de venta
Asignar la función de
# de códigos y accesos sin
solicitud de códigos y accesos
solitudes aprobadas/ #
al área de ventas, revisión de
Accesos inadecuados a los Mitigar Total de códigos y
8 4 requisitos y aprobación al
sistemas que conlleven a fraude. el riesgo accesos creados en el
área financiera
sistema E- sales en el
administrativa, ejecución al
período
área de IT.
Incumplimiento en las metas de
venta, cobranza y churn que Mitigar
9 2 N/A N/A
impacten en los resultados de la el riesgo
compañía.
139
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Desarrollo e implementación
de un dispositivo móvil que Eliminación de
expuesta en la Solicitud de
permita el enmascaramiento Mitigar autorizaciones físicas de
10 Servicios que pasa por personal 6
de los datos sensibles del el riesgo débito bancario o de
de distribuidores o interno con
cliente una vez hayan sido tarjetas de crédito.
fines fraudulentos.
registrados.
crédito que no hayan sido
Formalizar metodología para Reporte de cambios en las
analizados adecuadamente que
ejecutar el análisis de Mitigar políticas de crédito vs
11 ocasionen ineficiencias y otros 3
parámetros y políticas el riesgo evidencia del análisis
efectos negativos en la calidad de
crediticias. ejecutado.
clientes que ingresan a la
compañía.
Listas negras desactualizadas lo
Implementación de un
cual permita el ingreso de Mitigar
12 2 procedimiento para la Auditoría de procesos.
clientes con historial de fraude o el riesgo
actualización de listas negras.
morosidad.
Implementar en el sistema E-
Sales el bloqueo automático
que se encuentran en listas Mitigar
13 2 para el ingreso de clientes Auditoría del sistema.
negras por morosidad, piratería u el riesgo
que se encuentran registrados
otro tipo de fraude.
en listas negras
# Total de clientes con
Aprobar el ingreso de clientes evidencia de estatus
que no cumplen con las políticas Auditorías de cumplimiento Mitigar crediticio en el momento
14 2
de crédito establecidas por la de la política. el riesgo del alta / # Total de
administración. clientes aprobados
manualmente
Reclamos de clientes o
instituciones financieras por Aplicar sanciones
ejecución de cobros no importantes debido al # Total de ventas no
Mitigar
15 autorizados lo que puede 6 incumplimiento de las regularizadas /# Total de
el riesgo
ocasionar litigios legales y políticas y procedimientos de ventas
pérdida de la relación con la ingreso de clientes.
institución financiera.
Crear contratos de clientes
rechazados de acuerdo a las Auditorías de cumplimiento Mitigar
16 2 Resultados de la Auditoría
políticas y requisitos establecidos de la política. el riesgo
por la compañía.
Implementar un desarrollo
que al identificar que el pago
de la subscripción será
realizado por un tercero, # de demandas o reclamos
Fraude con tarjetas de crédito de Mitigar
17 3 bloque el registro de la venta de clientes por cobros no
clientes (cobros no autorizados). el riesgo
y el sistema derive la autorizados.
revisión del caso a los
analistas de crédito de la
compañía.
18 Cobros duplicados. 2 N/A N/A N/A

140
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Automatizar la verificación
Procesamiento de la venta sin el
de cobro de HU previo a la Mitigar
19 respectivo cobro de HU (en el 2 # de ventas sin HU.
finalización de la venta y el riesgo
caso de Televentas).
envió de la Orden de Trabajo.
Pérdida de nuevos clientes al

cortar el proceso de venta y Implementación de POS Mitigar #de preventas canceladas
20 2
enviar a los clientes a realizar el virtual para débito bancario. el riesgo por falta de pago de HU.
depósito bancario.
21 2 N/A N/A N/A
instalación ficticias.
Falta de análisis de las reglas de Generar evidencia de las

negocio para la facturación que pruebas ejecutadas en la Mitigar Resultados de la auditoría
22 2
impacten en el valor facturado a creación de ofertas, campañas el riesgo de procesos.
clientes. y productos.
Inconsistencias detectadas por el

robot pre facturador que no han Implementar evidencia del # Total de errores en el
sido corregidas por los dueños de reporte del robot Mitigar proceso de facturación / #
23 3
procesos, que generen fallas o prefacturador sin el riesgo errores derivados del
errores en los valores facturados inconsistencias. proceso de prefacturación.
a clientes.
Desarrollar interface entre
Errores o fraude en el proceso de # Total de reclamos de
sistema de facturación ICC y
facturación debido a Mitigar clientes / # de reclamos de
24 2 sistema de la compañía
manipulación en la base de el riesgo clientes por errores en la
encargada de la facturación
clientes facturados factura.
electrónica
Base de datos de clientes que
25 puede ser mal utilizada por el 3 N/A N/A N/A
proveedor
Reclamos de clientes por no Implementar auditorías de

recepción de factura que puede control en el courier y atar su Mitigar % Tendencias y desvíos
26 4
generar sanciones por parte del cumplimiento al pago por el el riesgo injustificados
ente regulador servicio
Alta rotación de ejecutivos de Desarrollar un reporte de

servicio al cliente y retenciones, tendencias y desvíos por Mitigar % Tendencias y desvíos
27 2
que puede impactar en el usuario del procesamiento de el riesgo injustificados
incremento de ajustes financieros ajustes financieros
Implementar todos los casos
Criterio erróneo en el análisis, lo de ajuste en la herramienta de
# de ajustes financieros
que podría generar un análisis y procesamiento de
Mitigar ejecutados por usuario
28 incremento en la cantidad y 2 ajustes, con el fin de eliminar
el riesgo automático / # Total de
monto de ajustes financieros de la posibilidad de que los
ajustes financieros
clientes asesores tomen criterios
inadecuados
Ajustes financieros no Desarrollar todos los casos de # de ajustes financieros
autorizados que originen ajustes financieros en el Mitigar ejecutados por montos
29 2
pérdidas económicas a la aplicativo y adecuarlos a la el riesgo incorrectos / # Total de
compañía matriz de aprobación por ajustes financieros
141
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
monto
Desarrollar un reporte de
control para asegurar que los
ajustes ejecutados en el
período fueron ejecutados de
acuerdo a la matriz de
aprobación
transacciones financieras
(ajustes) a demasiados usuarios y
30 2 N/A N/A N/A
a todo nivel jerárquico lo que
podría incrementar el riesgo de
error o fraude
Manipulación en la base de Desarrollar interface entre # de reclamos de clientes
clientes facturados previo al sistema de facturación ICC y por errores en el cobro por
Mitigar
31 envío al cobro a las instituciones 2 las Instituciones Financieras, envío de base errónea / #
el riesgo
financieras que den lugar a error con el fin de aplicar los Total de reclamos de
o fraude cobros automáticamente clientes.
32 clientes por falta de seguridades 2 N/A N/A N/A
en el envío de la información
# de reclamos de clientes
Desarrollar interface entre
Error en la aplicación de pagos o Mitigar por errores en el cobro / #
33 3 sistema de facturación ICC y
registro de pagos indebidos. el riesgo Total de reclamos de
las Instituciones Financieras.
clientes.
Manipulación en la base de Desarrollar interface entre
# de reclamos de clientes
clientes facturados previo al sistema de facturación ICC y
Mitigar por errores en el cobro / #
34 envío al cobro a las instituciones 2 las Instituciones Financieras,
el riesgo Total de reclamos de
financieras que den lugar a error con el fin de aplicar los
clientes.
o fraude. cobros automáticamente.
Desarrollo de conexiones a
Cobros duplicados por ejecución través de un switch
de débitos automáticos en transaccional con las Mitigar # Total de cobros en línea
35 2
clientes que han realizado pago instituciones financieras para el riesgo / # Total de cobros.
por ventanilla. aplicación de pagos en línea
en el sistema ICC.
Desarrollo de conexiones a
través de un switch # Reclamos por errores o
Cobros no aplicados o mal transaccional con las Mitigar duplicación en cobros/ #
36 2
aplicados. instituciones financieras para el riesgo Total de cobros
aplicación de pagos en línea efectuados en el período.
en el sistema ICC.
Reclamos de clientes por
mantener mensajes de mora en su
pantalla o el servicio
37 2 N/A N/A N/A
generar pérdidas económicas por
142
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Definir campañas y estrategias

Auditorías sobre el
que no impacten positivamente
cumplimiento del
en el cumplimiento de las metas Mitigar
38 3 procedimiento de análisis de Auditorías de Procesos.
de cobro e incluso afecten los el riesgo
objetivos y campañas de
márgenes de rentabilidad
cobranza.
esperados.
Implementar procedimiento # Total de clientes
erróneas que generen Mitigar
39 2 para la generación diaria de la contactados / # Total de
ineficiencias en la gestión de el riesgo
base de datos. clientes cobrados.
cobro.

para el envío de mensajes OSD a
40 clientes, lo que puede impactar 3 N/A N/A N/A
en la gestión de cobranza y el
nivel de churn.

para la desconexión del servicio
a clientes con deuda, lo que
41 3 N/A N/A N/A
puede impactar en la eficiencia
de gestión de cobranza y el nivel
de churn.
# de clientes contactados /
contactabilidad lo que impide Implementar campañas de Mitigar
42 4 #de clientes de la base de
realizar una adecuada gestión de actualización de datos. el riesgo
cobro.
cobranza.
Mala gestión de cobranza por
parte de los ejecutivos lo que
43 2 N/A N/A N/A
puede impactar en la eficiencia
de cobro y nivel de churn.
Equipos no recuperados que Implementar procedimiento # Total de equipos
Mitigar
44 implican pérdidas para la 2 para cobranza de equipos no cobrados/ # Total de
el riesgo
compañía. recuperados. equipos por recuperar
45 provisión para cuentas 2 N/A N/A N/A
incobrables.
ejecute cambios o registros en el
46 3 N/A N/A N/A
sistema que conlleven a fraude o
errores.
A continuación, se presenta la matriz de evaluación de riesgos completa para los

procesos de ingresos y egresos la cual está conformada por: Megaproceso, proceso,
subproceso, actividades, riesgos identificados, factores de riesgo (personas, tecnología
143
de la información, procesos, eventos externos), riesgo inherente, tipos de control,

control, riesgo residual, planes de acción, opción de tratamiento e Indicadores.
Riesgos de Nivel Alto
En la aplicación de la presente metodología se identificaron 7 riesgos de nivel alto, 3

para los procesos de ingresos y 4 para los procesos de gastos. El modelo propone que
para aquellos indicadores con fluctuaciones importantes se definan planes de acción
correctivos, los mismos que han sido propuestos y/o diseñados por las unidades de
negocio y apoyo; la responsabilidad de la Gerencia de Procesos y Control Interno será
hacer el seguimiento exhaustivo a la definición de los planes de acción establecidos
hasta la fecha de su implementación.
A continuación, se presenta un detalle de los planes de acción de los riesgos calificados

con un nivel de riesgo alto los cuales requieren especial atención:
144
Matriz de evaluación del riesgo procesos de egresos planes de acción e indicadores
Establecimiento de
Riesgo Residual
Tipo de Control
Plan de Acción
Eventos Externos
Tecnología de
Megaproceso
Riesgo Inherente
Probabilidad
Probabilidad
Subprocesos
Información
indicadores
tratamiento
Opción de
Controles
Personas
Procesos
Impacto
Impacto
Proceso
Identificados
No.
Riesgos
Niveles de Autorización y
montos:
Presidente Ejecutivo más
de US $ 100.000 Implementar
Fragmentación de Número de
Director Financiero desde aprobaciones en el
Requisición compras para evadir Mitigar el compras mensuales
1 X 3 3 9 Automático US $ 50.000 a US $ 3 3 9 sistema SAP de la
de Compras niveles de riesgo efectuadas de un
100.000 Gerencia de
autorización mismo ítem.
Director de Área hasta US Planificación Financiera
$ 50.000
Gerente de Área hasta US
$ 10.0000
Incumplimiento de # Contratos de
Capacitación al
políticas y Reporte de órdenes de compra legalizados
personal sobre procesos Transferir
2 procedimientos para X 3 3 9 Manual compra y contratos 2 3 6 / # de órdenes de
Gastos Compras de ejecución de órdenes el riesgo
para aprobación de emitidos compra que
Orden de de compra y contratos
órdenes de compra. requieren contrato
Compras y
Falta de Creación de
Contratos Pruebas de
procedimientos de Procedimiento alterno de procedimiento alterno
Mitigar el funcionamiento de
3 contingencia en caso X 3 3 9 Manual compras por fallas en 3 3 9 de contingencia para
riesgo planes de
de fallas en el sistema sistema compras por fallas en el
contingencia
de compras sistema
# de pagos que
Falta de
Diseño, procesos, cumplen con la
Compras de procedimientos y
políticas y política/ # Total de
Servicios políticas para Autorización de Orden de Mitigar el
4 X 3 2 6 Manual 2 3 6 procedimientos pagos que ingresan
Excepcionad compras de bienes o Pago riesgo
específicos para por módulo FI
os servicios fuera del
compras por excepción (transacciones
proceso estándar.
financieras)
145
Matriz de evaluación del riesgo procesos de ingresos planes de acción e indicadores
Riesgo Inherente
Tecnología de la
Eventos Externos
Establecimiento
Tipo de Control
Plan de Acción
de indicadores
Riesgo Residual
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
tratamiento
Opción de
Personas
Procesos
Impacto
Impacto
Riesgos
Proceso
Control
No.
Información sensible
Desarrollo e
de clientes expuesta
Dispositivo para captación implementación de un
en la Solicitud de Eliminación de
de datos de clientes que no dispositivo móvil que
Servicios que pasa Mitigar autorizaciones físicas
10 X 3 3 9 Automático guarde ningún historial 2 3 6 permita el enmascaramiento
por personal de el riesgo de débito bancario o
visible sobre información de los datos sensibles del
distribuidores o de tarjetas de crédito
sensible del cliente cliente una vez hayan sido
interno con fines
registrados
fraudulentos
Captación de
Verificación de
Gestión de la preventa y Reclamos de clientes
Ingresos documentación que soporta
Venta análisis de o instituciones
la relación con el cliente:
crédito financieras por
-Contrato de Subscripción Aplicar sanciones
ejecución de cobros
-Autorización de débito importantes debido al # Total de ventas no
no autorizados lo que Mitigar
15 X 3 3 9 Manual -Documentos de 2 3 6 incumplimiento de las regularizadas / #
puede ocasionar el riesgo
identificación del cliente políticas y procedimientos Total de ventas
litigios legales y
No pago de comisiones por de ingreso de clientes
pérdida de la
ventas sin documentación
relación con la
soporte y sanciones por
institución financiera
incumplimientos
146
La aplicación de la metodología permitirá a la Gerencia de Procesos y Control Interno de

CORPORACIÓN CABLE TV Cía. Ltda. gestionar el sistema de Control Interno a través
de un modelo basado en riesgo operativo para los procesos de ingresos y egresos,
cumpliendo con los siguientes objetivos:
• Contar con modelo conceptualmente sólido que sea aplicable de manera integral
a todos los procesos de CORPORACION CABLE TV Cía. Ltda.
• Establecer reportes periódicos sobre la exposición al riesgo operacional, que
incluya la identificación de posibles eventos de pérdida, dirigidos a las áreas
operativas y de negocio, direcciones y presidencia ejecutiva, la empresa debe
establecer procedimientos para tomar acciones apropiadas según la información
incluida en dichos reportes que permitirán a la compañía tomar decisiones
oportunas.
• Contar con una base de datos de eventos de pérdida por riesgo operacional, que
permita la transición de un modelo cualitativo a un modelo cuantitativo.
• El presente modelo dota de la base conceptual y técnica para la implementación
de un software especializado que facilite la generación de reportes e incluya la
base de datos para una eficiente gestión de los riesgos empresariales.
La Metodología ha sido construida a través del análisis de la base de datos institucional

de procesos de Ingresos y Egresos, en este sentido, las variables que se incluyen en el
modelo son de tipo cualitativo y son propias para las Empresas del Sector, sin embargo,
el presente caso servirá de guía metodológica para la construcción de modelos de gestión
de control interno y riesgo empresariales para empresas de similares características.
Si bien se ha observado que CORPORACIÓN CABLE TV Cía. Ltda.; cuenta con una
buena gestión del sistema de control interno debido al compromiso logrado por parte de
la administración y al trabajo realizado por la Gerencia de Procesos y Control Interno, la
falta de un modelo metodológico formal para la gestión de control interno y riesgo
empresariales basada en riesgo operativo tal como se propone en el presente trabajo, ha
arrojado como resultado lo siguiente:
147
a) Luego de realizar el levantamiento, se observa que el factor de riesgo

predominante en los procesos de egresos son las personas, con lo cual las
acciones de mitigación irán más direccionadas a fortalecer el diseño de los
controles dotados de un constante seguimiento y evidencia adecuada, así
como automatización de pequeños procesos dentro de lo que fuere posible.
Para el caso de los procesos de ingresos se observa que el factor de riesgo
predominante son los procesos, con lo cual son las acciones de mitigación
irán más direccionadas a la revisión, mejora y automatización de ciertos
procesos claves que actualmente se realizan de forma manual,
incrementándose así la exposición al riesgo.
b) Se han propuesto planes de acción e indicadores para el 67% y 71% de los

riesgos identificados en los procesos de egresos e ingresos respectivamente,
los planes de acción propuestos para los riesgos encontrados contribuirán
sin duda a reducir el grado de exposición a eventos de riesgo operativo que
de momento no están cubiertos adecuadamente.
c) A pesar de los planes de acción e indicadores propuestos, como resultado

final del modelo se ha obtenido que del 100% de riesgos operativos
identificados en los procesos de ingresos y egresos, existe un 13% y 4% de
riesgos respectivamente que se mantienen calificados como riesgos de nivel
alto, para los cuales será indispensable hacer el seguimiento exhaustivo de
los planes de acción establecidos hasta la fecha de su implementación para
su posterior y constante monitoreo.
d) El 13% de riesgos de los procesos de egresos que se mantienen calificados

con un nivel de riesgo alto, corresponden específicamente al proceso de
compras, donde se proponen planes de acción e indicadores con el fin
asegurar principalmente mayor control en el cumplimiento de la “Política
de compras de bienes y Servicios” que si bien existe en la compañía, no ha
sido implementada en su totalidad pues siguen presentándose casos de
incumplimientos y de falta de evidencia de los controles internos diseñados.
Por otro lado, se propone un procedimiento para las compras por excepción,
que son aquellas que por su naturaleza no pueden pasar por el proceso
148
normal, pero que requieren un tratamiento especial con el fin de controlar

que dichas excepciones sean justificadas.
e) El 4% de riesgos de los procesos de ingresos que se mantienen calificados

con un nivel de riesgo alto luego de aplicar el modelo, corresponden
específicamente al proceso de captación de preventas y análisis creditico.
Principalmente se ha identificado que las actividades de captación de
preventas requieren de un mayor nivel de automatización en el manejo de
cobros de la subscripción inicial, así como mayor rigidez en el
cumplimiento y medición del “Procedimiento de Aprobación de Preventas”
en lo que se refiere a la regularización de toda la documentación necesaria
tanto para la subscripción como para el cobro recurrente.
149
ANEXO
Matriz de Evaluación de Riesgos para los Procesos de Egresos
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
Niveles de
Aprobación
automáticos para
Casa Matriz: Implementar
Registro de - Niveles de # Formularios de
aprobaciones de
la Ejecución de gastos aprobación de gastos Compras
Casa Matriz en el
Requisición no autorizados o no superiores a US $ Mitigar aprobados / #
1 X 2 3 6 Automático 1 1 1 sistema SAP para
de Compra clasificados 300.000 el riesgo Total de
el procesamiento
en el adecuadamente - Niveles de Compras Activos
de requisición de
Sistema SAP aprobación de activos Ejecutadas.
compra.
superiores a US $
25.000
Niveles de
Autorización y
montos:
Requisición # Total de
Gastos Compras Presidente Ejecutivo Implementar
de Compras Compras no Compras
más de US $ 100.000 aprobaciones en
planificadas que Aprobadas por
Director Financiero el sistema SAP Mitigar
2 afecten el X 2 3 6 Automático 1 3 3 Gerencia
desde US $ 50.000 a de la Gerencia de el riesgo
Análisis y presupuesto de la Planificación
US $ 100.000 Planificación
Revisión compañía Financiera / #
Director de área hasta Financiera
para la Compras Totales
US $ 50.000
Aprobación
Gerente de área hasta
o Rechazo
US $ 10.0000
de la
Niveles de
Requisición
Autorización y
de Compra Implementar
Fragmentación de montos: Número de
aprobaciones en
requisiciones de Presidente Ejecutivo compras
el sistema SAP Mitigar
3 compra para evadir X 3 3 9 Automático más de US $ 100.000 3 3 9 mensuales
de la Gerencia de el riesgo
niveles de Director Financiero efectuadas de un
Planificación
autorización desde US $ 50.000 a mismo ítem..
Financiera
US $ 100.000
Director de área hasta
150
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
US $ 50.000
US $ 10.0000
Creación del área

de gestión de Conciliación
Reportes de la
Operaciones con Inventarios bajo Mitigar mensual de
4 X 1 3 3 Manual Unidad de Gestión de 1 1 1
proveedores ficticios la dependencia el riesgo inventarios y
Inventarios
de la gerencia de activos fijos.
Análisis y
Logística.
Comparació
Verificar el
n de Ofertas Políticas y
Colusión con cumplimento de Mitigar Auditorías de
a través de 5 X 1 3 3 Manual procedimientos de 1 3 3
proveedores políticas (ex el riesgo Procesos.
Cotización compras
post)
Licitaciones
# de actas de
o Comité de Falta de procesos y Diseño,
licitaciones y
Compras políticas de licitación Implementación
Reporte de Compras comités de
y cotización que no y capacitación de Mitigar
6 X 3 3 9 Manual por montos de 1 3 3 compras/ #Total
permitan gestionar Instructivos para el riesgo
adquisición de compras que
Selección ahorros y eficiencias ejecución de
requieren
del para la compañía licitaciones.
licitación
Proveedor
Calificar
proveedores
capaces de
Proveedores que
responder a
incumplan con fechas
las
de entrega y la Emisión de
necesidades
calidad deseada en Certificado de Certificado de Reporte de pagos
de compra Transfer
los bienes y servicios calificación vigente calificación para vs certificados de
de la 7 X 2 2 4 Manual 1 2 2 ir el
contratados por la como habilitante para el pago emitida calificación a
compañía en riesgo
compañía, por el pago. por firma proveedores.
base a
inconsistencia en calificadora
parámetros
proceso de
calidad
calificación.
tiempos
precios y
pagos
Orden de Solicitud y Incumplimiento de Reporte de órdenes Capacitación al Transfer # Contratos de
Compras y aprobación 8 políticas y X 3 3 9 Manual de compra y contratos 2 3 6 personal sobre ir el compra
Contratos formal de la procedimientos para emitidos procesos de riesgo legalizados / # de
151
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
orden de para aprobación de ejecución de órdenes de
compra del órdenes de compra. órdenes de compra que
bien o compra y requieren
servicio contratos contrato
requerido Niveles de
por Autorización y
CORPORA montos:
CION Presidente Ejecutivo
Número de
CABLE TV, más de US $ 100.000 Reporte de
compras
por medio Fragmentación de Director Financiero compras Mitigar
9 X 2 2 4 Automático 1 1 1 mensuales
del sistema órdenes de compra. desde US $ 50.000 a mensuales para el riesgo
efectuadas de un
SAP. US $ 100.000 un mismo ítem
mismo ítem.
Director de área hasta
US $ 50.000
US $ 10.0000
Operaciones de
Proceso de Creación de
compra efectuadas
regularización de procedimiento
sin contrato por Mitigar Auditorías de
10 X 3 3 9 Manual compras con 2 2 4 alterno con
incumplimiento de el riesgo Procesos.
procedimiento niveles de
políticas y
alterno. autorización.
procedimientos.
# de contratos y
Elaboración Ejecución de
Creación de órdenes Creación de órdenes órdenes de
de Contratos procesos de Mitigar
11 de compra ficticias X 2 2 4 Automático de compra a través de 2 2 4 compra
que protegen auditoría de el riesgo
y/o sin contratos. sistema SAP autorizados /
los intereses pagos.
Total de pagos.
de las partes
Creación de
Falta de procedimiento
Pruebas de
procedimientos de Procedimiento alterno alterno de
Mitigar funcionamiento
12 contingencia en caso X 3 3 9 Manual de compras por fallas 3 3 9 contingencia para
el riesgo de planes de
de fallas en el sistema en sistema compras por
contingencia.
de compras fallas en el
sistema
Recepción / Registro de Recepción de bienes
Ingreso de la hoja de y servicios Reporte de compras Asumir
13 X 2 2 4 Automático 1 1 1 N/A
Bienes y entrada registrados en abiertas sin recepción el riesgo
Servicios aceptación períodos incorrectos
152
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
del bien o Recepción de
servicio Materiales y
servicios que no Generación de Sanciones
cumple Verificación de cláusulas ejecutadas por
Transfer
especificaciones para condiciones de contractuales por incumplimiento
14 X 1 3 3 Manual 1 3 3 ir el
el proceso de calidad del área incumplimiento de contratos /
riesgo
producción y/o solicitante de estándares de total de
estándares de calidad calidad. contratos.
y tiempo de la
compañía.
Datos incorrectos
podrían ser
Creación o registrados en el Validación de
Actualizació Maestro de cambios de datos
n de Proveedores en sensibles de
Proveedores
15
especial números de
X 1 2 2 Manual
proveedores
1 1 1 N/A N/A N/A
en el cuentas bancarias lo (certificados
Sistema que puede ocasionar bancarios)
errores o fraudes el
pago a proveedores
Calificación
Trabajar con interna de
Administraci proveedores no proveedores al Reporte de
Administraci Depuración y
ón del adecuados que finalizar calificación de
ón del Bloqueo de Mitigar
maestro de 16 pongan en riesgo el X 1 3 3 Semiautomático 1 3 3 prestación de proveedores y
Maestro de Proveedores en el el riesgo
proveedores cumplimiento con las servicio y bases de datos de
Proveedores Sistema
necesidades de la creación de bases lista negra.
compañía de datos de Lista
Negra.
sensibles del
Validación proveedor sin Validación de Reporte de
de Cambios argumento o reporte de cambios de datos
Reporte de cambio de Mitigar
de Datos 17 evidencia que X 2 2 4 Automático 1 2 2 cambio de datos vs evidencia
datos de proveedores el riesgo
Sensibles de originen fraudes o sensibles de documental de
Proveedores errores en la proveedores cambios.
ejecución de pagos a
proveedores
153
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
Creación o Personal no
Automatización
AdministraciActualizació autorizado que Autorización de Matriz de
de perfiles para
ón de n de perfiles ejecute cambios o perfiles de accesos de Mitigar quiebre de regla
18 X 1 2 2 Manual 1 2 2 segregación de
aplicación de
de acceso al registros en el la Gerencia de el riesgo y controles
funciones en el
compras Sistema de sistema que conlleven Control Interno compensatorios.
sistema SAP.
Compras a fraude o errores
Solicitud de
Servicios
Falta de Diseño, procesos, Revisión de
que por su
Compras de procedimientos y políticas y pagos que
naturaleza
Servicios políticas para Autorización de procedimientos Mitigar ingresan por
son 19 X 3 2 6 Manual 2 3 6
Excepcionad compras de bienes o Orden de Pago específicos para el riesgo módulo FI
recurrentes y
os servicios fuera del compras por (transacciones
necesarios
proceso estándar. excepción financieras).
para la
operación
Generación de
Anticipo a Solicitud de anticipos de Autorización de
20 X 2 3 6 Manual 1 3 3 N/A N/A N/A
Proveedores Anticipo proveedores no Anticipo
autorizados
Facturas no
Reporte de Hojas de
21 registradas X 2 2 4 Manual 1 2 2 N/A N/A N/A
Recepción y Entrada sin Factura
oportunamente
Validación
Revisión y Validación de
de Facturas
registro de documentos
con
Facturas Pagos errados por habilitantes (orden de
Documentos 22 X 1 3 3 Manual 1 3 3 N/A N/A N/A
Cuentas falta de validación compra, hoja de
Habilitantes
por Pagar entrada y datos de
factura)
Generación de
Niveles de
Pagos o desembolsos funciones de
Registro del Autorización de # de pagos no
que no han sido revisión y control Mitigar
Pago en el 23 X 1 3 3 Manual generación de cuenta 1 3 3 aprobados / #
aprobados de procesos el riesgo
Procesamien Sistema por pagar y Total de pagos.
adecuadamente previos al
to de Pagos desembolso.
desembolso.
Errores en Reporte de
Desembolso
24 transferencia y X 1 2 2 Manual Antigüedad de 1 2 2 N/A N/A N/A
y
acreditación de Anticipos
154
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
Liquidación recursos de
del anticipo desembolsos.
Generación de
funciones de
Fraude, desembolsos Niveles de # Pagos no
revisión y control Mitigar
25 ficticios son X 1 3 3 Manual aprobación para 1 3 3 aprobados / #
de procesos el riesgo
registrados desembolsos Total de pagos.
previos al
desembolso.
Validación de
Pagos erróneos o Desarrollo de # Pagos
comprobantes de
duplicados por aplicación para Mitigar duplicados o
26 X 1 3 3 Automático pago vs transacciones 1 2 2
errores en sistemas de validación de el riesgo errados / # total
del Cash
información. pagos de pagos.
Management.
Existencia de partidas Reporte de
Cierre de Liquidación
antiguas de anticipos Antigüedad y
Cuentas por de cuentas 27 X 1 2 2 Manual 1 2 2 N/A N/A N/A
y obligaciones con seguimiento de
pagar por Pagar
proveedores. partidas antiguas
Solicitud de relacionados al Solicitud de anticipos
Anticipo de 28 negocio X 1 2 2 Manual con niveles de 1 2 2 N/A N/A N/A
Empleados desembolsados a aprobación
empleados
relacionados al
Desembolso Cupos autorizados
negocio son
s con Tarjeta 29 X 1 2 2 Manual con tarjeta de crédito 1 2 2 N/A N/A N/A
Otros Reembolsos ejecutados con tarjeta
Corporativa corporativa
Gastos de Gastos de crédito
Corporativa
Incumplimiento
Liquidación políticas establecidas
Revisión de
del Anticipo para la ejecución y
documentos
con 30 reembolso de gastos X 3 2 6 Manual 2 2 4 N/A N/A N/A
habilitantes para
Documentos de viaje o
reembolso
Habilitantes misceláneos por parte
de empleados
155
Anexo 1
Matriz de Evaluación de Riesgos para los Procesos de Ingresos
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Proponer precios
Definir precios
y descuentos de
demasiados altos Auditorías
productos/servici
que no permitan sobre el
os que
acceder al mercado Procedimiento de cumplimiento
CORPORACIO
o precio demasiado análisis para la creación del Mitigar Auditorías de
N CABLE TV 1 X 2 3 6 Manual 1 3 3
bajos que no o actualización de procedimiento el riesgo Procesos
coloca en el
permitan obtener precios y descuentos de análisis de
mercado en
márgenes de precios y
función a costos
rentabilidad descuentos
y márgenes de
adecuados.
rentabilidad
Reporte el
Política para
sistema de
la fijación de
Precios de venta al cambio de
Aprobación de precios y
público/descuentos precios y
precios y descuentos e
Administraci no aprobados por la Aprobaciones a través descuentos en el
Administr descuentos por implementar
INGR ón de alta gerencia que de la "Solicitud para la Mitigar maestro de
ación de parte de 2 X 2 3 6 Manual 1 3 3 aprobaciones
ESOS Precios y podría generar creación o actualización el riesgo clientes vs
Ventas Presidencia y automáticas
Descuentos inconvenientes de precios" Solicitudes de
Direcciones para el cambio
financieros no Creación o
correspondientes o creación de
planificados actualización de
nuevos precios
precios
y descuentos
aprobadas.
# de cambios sin
Reporte de solicitudes de
precios Creación o
Política de fijación de
Precios o vigentes en el actualización de
precios que incluya
Ingresar lista de descuentos sistema vs precios
lineamientos para la Mitigar
precios vigentes 3 registrados en el X 1 3 3 Manual 1 3 3 solicitudes de aprobadas / #
revisión periódica de el riesgo
en ICC sistema distintos a creación o Total de cambio
precios vigentes versus
los autorizados actualización de precios y
precios aprobados
de precios y descuentos
descuentos vigentes en el
sistema
156
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Identificación y Procedimiento para la
Crear canales de
análisis de apertura y crecimiento
ventas que no sean
necesidad o 4 X 3 2 6 de canales de venta que Manual 1 2 2 N/A N/A N/A
eficientes ni
crecimiento de incluya el respectivo
rentables
canales de venta análisis
Incorporar canales
#de canales de
de venta no
Creación de un venta sin actas de
aprobados por la
comité para la aprobación del
Aprobación de alta gerencia que Política para la
aprobación de comité de
apertura o podrían generar aprobación de apertura Mitigar
5 X 3 2 6 Manual 1 2 2 apertura y canales / # Total
expansión de inconvenientes o crecimiento de el riesgo
expansión de de canales de
canales de venta financieros no canales de venta
canales de venta reportados
planificados e
venta por el sistema en
incluso litigios
el período.
legales
Procedimiento
para la
Gestión de creación de
Canales de Elaboración y Canales de venta accesos y
Venta Solicitud de apertura de
firma del que comercialicen códigos de
accesos y códigos de
contrato de los productos y venta que
venta deberá tener Mitigar Auditorías de
prestación de 6 servicios de la X 3 3 9 Manual 1 3 3 determine al
adjunto el contrato el riesgo Procesos.
servicios y la compañía sin contrato
legalizado con el canal
autorización de suscribir un legalizado
de ventas
débito respectiva contrato como
habilitante para
la creación en
el sistema
Canal de venta sin
Adjuntar
conocimiento Procedimiento para la
certificado de
Capacitación y adecuado que apertura y crecimiento
capacitación a
entrenamiento podría impactar en de canales de venta que
la Solicitud de Mitigar Auditorías de
sobre el producto 7 el nivel de ventas, X 2 2 4 incluya certificación de Manual 1 2 2
creación de el riesgo Procesos.
/ servicio para su así como en la capacitación previo a
accesos y
comercialización reclamos o la creación del código
códigos de
deserción de de ventas
venta
clientes
157
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Asignar la
función de
solicitud de # de códigos y
Aplicación de matriz de códigos y accesos sin
Creación de perfiles y accesos para accesos al área solitudes
Accesos
accesos al el sistema E- Sales. de ventas, aprobadas/ #
inadecuados a los Mitigar
sistema E-Sales 8 X 3 2 6 Segregación de Manual 2 2 4 revisión de Total de códigos
sistemas que el riesgo
para la captación funciones en la requisitos y y accesos
conlleven a fraude
de ventas solicitud, aprobación y aprobación al creados en el
creación de área financiera sistema E- sales
administrativa, en el período
ejecución al
área de IT.
Incumplimiento en
Monitoreo de la las metas de venta, Seguimiento de reportes
Gestión cobranza y churn diarios del nivel de
9 X 1 2 2 Automático 1 2 2 N/A N/A N/A
ejecutada por que impacten en los ventas y churn por
cada Canal resultados de la canal.
compañía
Desarrollo e
implementació
Información
n de un
sensible de clientes
Recopilar Dispositivo para dispositivo Eliminación de
expuesta en la
información del captación de datos de móvil que autorizaciones
Solicitud de
cliente en el clientes que no guarde permita el Mitigar físicas de débito
10 Servicios que pasa X 3 3 9 Automático 2 3 6
formato ningún historial visible enmascaramie el riesgo bancario o de
por personal de
"Solicitud de sobre información nto de los tarjetas de
distribuidores o
Captación de Servicio" sensible del cliente datos sensibles crédito.
interno con fines
Gestión de la preventa y del cliente una
fraudulentos
Venta análisis de vez hayan sido
crédito registrados
Ingresar datos Parámetros de
Formalizar Reporte de
del cliente en verificación de
metodología cambios en las
sistema de crédito que no Metodología para el
para ejecutar el políticas de
preventas E- hayan sido análisis de la adopción Mitigar
11 X 2 2 4 Manual 1 3 3 análisis de crédito vs
Sales y procesar analizados o actualización de el riesgo
parámetros y evidencia del
información para adecuadamente que políticas de Crédito
políticas análisis
verificación ocasionen
crediticias ejecutado.
crediticia, así ineficiencias y
158
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
como de piratería otros efectos
o mora actual negativos en la
con DTV calidad de clientes
que ingresan a la
compañía
Listas negras Implementació
desactualizadas lo n de un
Procedimiento para la
cual permita el procedimiento Mitigar Auditoría de
12 X 2 2 4 actualización de Listas Manual 1 2 2
ingreso de clientes para la el riesgo procesos.
Negras
con historial de actualización
fraude o morosidad de listas negras
Implementar
en el sistema
Aprobar el ingreso
E- Sales el
de clientes que se Bloqueo automático
bloqueo
encuentran en listas para el ingreso de
automático Mitigar Auditoría del
13 negras por X 2 2 4 clientes que se Manual 1 2 2
para el ingreso el riesgo sistema.
morosidad, encuentran en listas
de clientes que
piratería u otro tipo negras
se encuentran
de fraude
registrados en
Aprobar o
listas negras
rechazar preventa
Política de Crédito que
según el
especifica los
resultado de
parámetros bajo los
análisis manual o # Total de
cuales un cliente puede
automático según clientes con
Aprobar el ingreso ser aprobado
sea el caso evidencia de
de clientes que no manualmente por un
Auditorías de estatus crediticio
cumplen con las Analista de Crédito. Mitigar
14 X 2 2 4 Manual 1 2 2 cumplimiento en el momento
políticas de crédito Verificación periódica el riesgo
de la política del alta / # Total
establecidas por la de la evidencia
de clientes
administración relacionada a la
aprobados
información crediticia
manualmente
con la que un cliente
fue dado de alta por el
Analista de Crédito
159
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Verificación de
documentación que
Reclamos de
soporta la relación con
clientes o Aplicar
el cliente:
instituciones sanciones
-Contrato de
financieras por importantes
Firma de Subscripción
ejecución de cobros debido al # Total de ventas
contrato de -Autorización de débito
no autorizados lo incumplimient Mitigar no regularizadas
servicios y 15 X 3 3 9 -Documentos de Manual 2 3 6
que puede o de las el riesgo /# Total de
autorización de identificación del
ocasionar litigios políticas y ventas
débito cliente
legales y pérdida de procedimientos
No pago de comisiones
la relación con la de ingreso de
por ventas sin
institución clientes
documentación soporte
financiera
y sanciones por
incumplimientos
Crear contrato en
el sistema para
aquellas
preventas
aprobadas ya sea Crear contratos de Política de Crédito que
automática o clientes rechazados establece los
manualmente y de acuerdo a las parámetros bajo los Auditorías de
Mitigar Resultados de la
derivarlas al 16 políticas y X 2 2 4 cuales una persona Manual 1 2 2 cumplimiento
el riesgo Auditoría
proceso de requisitos natural o jurídica no de la política
instalaciones, establecidos por la puede ingresar como
caso contrario compañía cliente
registrar los
motivos del
rechazo en el
sistema
Si la forma de Verificar que el dueño Implementar
pago del cliente de la tarjeta de crédito un desarrollo
es tarjeta de sea quien firma la que al # de demandas o
Fraude con tarjetas
crédito, ingresar autorización de débito identificar que reclamos de
Cobro de de crédito de Mitigar
datos de tarjeta 17 X 2 3 6 La tarjeta de crédito Automático 1 3 3 el pago de la clientes por
Hook Up clientes (cobros no el riesgo
de crédito en el pertenezca al subscripción cobros no
autorizados )
sistema de propietario del contrato será realizado autorizados.
preventas E- de servicio caso por un tercero,
Sales y realizar el contrario, la bloque el
160
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
cobro de forma autorización de débito registro de la
automática a debe estar firmada por venta y el
través de POS el titular de dicha sistema derive
Virtual. tarjeta. la revisión del
Automáticament caso a los
e el pago es analistas de
asociado a crédito de la
contrato en el compañía.
sistema ICC. Conciliación diaria
entre el cierre del POS
18 Cobros duplicados x 2 2 4 Manual 1 2 2 N/A N/A N/A
y las ventas registradas
en el sistema ICC
Automatizar la
Si la forma de verificación de
pago del cliente Procesamiento de cobro de HU
Bloqueo de la venta
es débito la venta sin el previo a la
mientras el sistema no Mitigar # de ventas sin
automático, 19 respectivo cobro de X 2 2 4 Automático 1 2 2 finalización de
confirme el cobro del el riesgo HU.
solicitar el HU (en el caso de la venta y
HU
depósito o Televentas) envió de la
transferencia del Orden de
valor de Trabajo
subscrición en Pérdida de nuevos
las cuentas clientes al cortar el Implementació #de preventas
bancarias de proceso de venta y n de POS Mitigar canceladas por
20 X 2 2 4 Cobro en línea del HU Automático 1 2 2
CORPORACIO enviar a los virtual para el riesgo falta de pago de
N CABLE TV. clientes a realizar el débito bancario HU.
depósito bancario
Finalización de
Conciliación de
la venta y Generación de
transacciones
generación de la 21 órdenes de X 1 2 2 Manual 1 2 2 N/A N/A N/A
financieras vs órdenes
orden de instalación ficticias
de instalación
instalación
Revisión y Procedimiento para Generar
Falta de análisis de
actualización de garantizar integridad en evidencia de
Facturació las reglas de Resultados de la
Prefacturaci las reglas de las pruebas de las pruebas Mitigar
ny 22 negocio para la X 2 2 4 Manual 1 2 2 auditoría de
ón negocio facturación cada que se ejecutadas en el riesgo
Ajustes facturación que procesos.
establecidas para ejecuten nuevas ofertas, la creación de
impacten en el
la facturación de campañas o productos ofertas,
161
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
productos y valor facturado a campañas y
servicios, así clientes productos.
como también
para la aplicación
de descuentos y
promociones.
Análisis
automático de
toda la base de
suscriptores
Previo Pago por Inconsistencias
medio del Robot detectadas por el
Prefacturador, robot pre Implementar
Correr reporte final de # Total de errores
buscando facturador que no evidencia del
robot Pre facturador y en el proceso de
posibles han sido corregidas reporte del
revisar que no exista Mitigar facturación / #
inconsistencias 23 por los dueños de X 2 3 6 Manual 1 3 3 robot
ninguna inconsistencia el riesgo errores derivados
en las reglas de procesos, que prefacturador
previo a la ejecución del proceso de
negocio generen fallas o sin
del paso de facturación prefacturación.
configuradas en errores en los inconsistencias
el sistema con el valores facturados
fin de notificar a a clientes
los dueños de
proceso para su
corrección en la
base
Generación
masiva de cargos
y descuentos en
Desarrollar
el sistema de
interface entre # Total de
facturación de la Errores o fraude en
Interface automática sistema de reclamos de
compañía para la el proceso de
para envío de base de facturación clientes / # de
emisión de la facturación debido Mitigar
Facturación 24 X 3 2 6 clientes para Automático 1 2 2 ICC y sistema reclamos de
base general de a manipulación en el riesgo
facturación electrónica de la compañía clientes por
clientes la base de clientes
o física encargada de errores en la
facturados y facturados
la facturación factura.
segmentación de
electrónica
la base de
clientes con
factura
162
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
electrónica y
factura Impresa.
Envío de Base a
Imprenta para la
emisión de
Facturas
Impresas
Base de datos de Cláusulas legales de
Envío de la base
clientes que puede confidencialidad en el
de clientes con 25 X 2 3 6 Manual 1 3 3 N/A N/A N/A
ser mal utilizada contrato de prestación
factura
por el proveedor de servicios
electrónica al
proveedor para
emisión y envío
de documentos
electrónicos
Implementar
Reclamos de
Envío al courier auditorías de
clientes por no
de la base de control en el
recepción de % Tendencias y
clientes para Ejecutar auditorías de courrier y atar Mitigar
26 factura que puede X 3 2 6 Manual 2 2 4 desvíos
distribución de control al courrier su el riesgo
generar sanciones injustificados
facturas cumplimiento
por parte del ente
impresas. al pago por el
regulador
servicio
Los reclamos Desarrollar un

Alta rotación de
financieros de reporte de
ejecutivos de
clientes son Reporte de tendencias y tendencias y
servicio al cliente y % Tendencias y
Reclamos receptados a desvíos en el desvíos por Mitigar
27 retenciones, que X 2 2 4 Automático 1 2 2 desvíos
Financieros través de procesamiento de usuario del el riesgo
puede impactar en injustificados
cualquier canal ajustes financieros procesamiento
el incremento de
de comunicación de ajustes
ajustes financieros
con el cliente financieros
163
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Los reclamos
financieros son Implementar
analizados todos los casos
inicialmente por de ajuste en la
ejecutivos de Criterio erróneo en herramienta de
# de ajustes
servicio al cliente el análisis, lo que Aplicativo que valide análisis y
financieros
determinando si podría generar un automáticamente los procesamiento
ejecutados por
proceden o no. incremento en la parámetros y permita o de ajustes, con Mitigar
28 X 3 2 6 Automático 1 2 2 usuario
En caso de no cantidad y monto bloquee el el fin de el riesgo
automático / #
proceder son de ajustes procesamiento de los eliminar la
Total de ajustes
derivados a financieros de ajustes financieros posibilidad de
financieros
segunda línea e clientes que los
verificación, asesores tomen
pudiendo llegar criterios
hasta una tercera inadecuados
línea.
Desarrollar
todos los casos
de ajustes
financieros en
Matriz automatizada de
el aplicativo y
aprobación de ajustes
adecuarlos a la
financieros por monto:
matriz de
-0 a 35 USD
aprobación por # de ajustes
Ejecutivos de atención
Ajustes financieros monto financieros
Aprobación o al cliente
no autorizados que Desarrollar un ejecutados por
rechazo de -35 a 200 USD Mitigar
29 originen pérdidas X 2 2 4 Automático 1 2 2 reporte de montos
reclamos Analistas de Reclamos el riesgo
económicas a la control para incorrectos / #
financieros Financieros
compañía asegurar que Total de ajustes
-200 a 1000 USD
los ajustes financieros
Gerente de Facturación
ejecutados en
y Cobranzas
el período
-Mayor a 1000 USD
fueron
Dirección Financiera
ejecutados de
acuerdo a la
matriz de
aprobación
164
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Aplicativo para el
Acceso para la análisis y
ejecución de procesamiento
transacciones automático de ajustes
Ejecución del financieras financieros con impacto
ajuste financiero (ajustes) a directo en las
o devolución al demasiados transacciones
cliente y emisión usuarios y a todo financieras del sistema
de la nota de nivel jerárquico lo ICC , con lo cual no es
crédito que podría necesario otorgar al
incrementar el personal accesos para la
riesgo de error o ejecución de
fraude transacciones
financieras
Desarrollar
Segmentación y interface entre
formateo de la Manipulación en la sistema de # de reclamos de
base de clientes base de clientes facturación clientes por
Interface automática
facturados por facturados previo al ICC y las errores en el
para envío de la base
Institución envío al cobro a las Instituciones Mitigar cobro por envío
31 X 3 3 9 de clientes a las Automático 1 2 2
Financiera , de instituciones Financieras, el riesgo de base errónea /
Instituciones financieras
acuerdo al financieras que den con l fin de # Total de
para el cobro
formato a lo lugar a error o aplicar los reclamos de
establecido por fraude cobros clientes.
cada Banco. automáticamen
Gestión de Recaudación
te
Recaudos masiva con
Envío de las
y Cuentas débito Uso indebido de
bases
por Cobrar automático información de Transferencia de
segmentadas y
clientes por falta de información encriptada
formateadas a 32 X 2 3 6 Automático 1 2 2 N/A N/A N/A
seguridades en el y por medio de un sitio
cada institución
envío de la seguro (https)
Financiera para
información
el cobro.
Aplicación en el # de reclamos de
Aplicación de cobros en Desarrollar
sistema de los Error en la clientes por
línea (Interface directa interface entre
pagos aplicación de pagos Mitigar errores en el
33 X 2 3 6 entre swicth Automático 1 3 3 sistema de
confirmados por o registro de pagos el riesgo cobro / # Total
transaccional y sistema facturación
cada institución indebidos de reclamos de
ICC) ICC y las
financiera. clientes.
165
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Instituciones
Financieras
Desarrollar
interface entre
Preparación de la
Manipulación en la sistema de
base para el
base de clientes facturación # de reclamos de
envío a la Interface automática
facturados previo al ICC y las clientes por
Institución para envío de la base
envío al cobro a las Instituciones Mitigar errores en el
Financiera con el 33 X 3 3 9 de clientes a las Automático 1 2 2
instituciones Financieras, el riesgo cobro / # Total
fin de realizar Instituciones financieras
financieras que den con l fin de de reclamos de
reintentos de para el cobro
lugar a error o aplicar los clientes.
cobro a clientes
fraude cobros
impagos.
automáticamen
te
Desarrollo de
Cliente se acerca
Actualización diaria de conexiones a
a los puntos
la base de clientes para través de un
autorizados de
Cobros duplicados ejecución de intentos de switch
recaudo y realiza
por ejecución de cobro. transaccional
el pago en caso # Total de cobros
débitos automáticos con las Mitigar
de realizar el 34 X 2 2 4 Automático 1 2 2 en línea / # Total
en clientes que han Conexión para instituciones el riesgo
pago en bancos de cobros.
realizado pago por aplicación de pagos en financieras
notifica o
ventanilla línea con todas las para aplicación
confirma el
instituciones financieras de pagos en
Recaudación depósito para que
y de recaudo línea en el
en este sea aplicado
sistema ICC
Ventanilla
Desarrollo de
conexiones a
# Reclamos por
través de un
Conexión para errores o
switch
Aplicación del Cobros no aplicación de pagos en duplicación en
transaccional Mitigar
pago en el 35 aplicados o mal X 2 2 4 línea con todas las Automático 1 2 2 cobros/ # Total
con las el riesgo
sistema aplicados instituciones financieras de cobros
instituciones
y de recaudo efectuados en el
financieras
período.
para aplicación
de pagos en
166
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
línea en el
sistema ICC
Reclamos de
clientes por
mantener mensajes
de mora en su
Eliminación de Reportes periódicos
pantalla o el
OSD y/o para revisar el
servicio
reconexión de 36 X 2 2 4 funcionamiento Automático 1 2 2 N/A N/A N/A
desconectado, lo
señal de ser el adecuado del proceso
que pueden generar
caso. automático de arrears
pérdidas
económicas por
sanciones del
regulador
Definir campañas y
Auditorías
estrategias que no
sobre el
impacten
Procedimiento de cumplimiento
positivamente en el
Definir objetivos análisis para la creación del
cumplimiento de Mitigar Auditorías de
y estrategias de 37 X 2 3 6 o actualización de Manual 1 3 3 procedimiento
las metas de cobro el riesgo Procesos.
cobranza objetivos y campañas de análisis de
e incluso afecten
de cobranza objetivos y
los márgenes de
Gestión de campañas de
rentabilidad
Cobro cobranza
esperados.
Proceso diario de
Bases de datos Implementar
Generar base de actualización de bases # Total de
desactualizadas o procedimiento
datos de clientes de datos para cobranza clientes
erróneas que para la Mitigar
que requieren 38 X 2 2 4 Manual 1 2 2 contactados / #
generen generación el riesgo
gestión de Automatización para la Total de clientes
ineficiencias en la diaria de la
cobranza generación de bases e cobrados.
gestión de cobro base de datos
datos
167
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Fallas en el
Aplicativo de
Envío automático arrears para el Reportes de control
de mensajes envío de mensajes periódicos para
OSD solicitando 39 OSD a clientes, lo X 2 3 6 asegurar el Automático 1 3 3 N/A N/A N/A
pago a todos los que puede impactar funcionamiento
clientes impagos. en la gestión de adecuado del OSD
cobranza y el nivel
de churn
Desconexión Fallas en el
automática de Aplicativo de
señal a clientes arrears para la Reportes de control
impagos a los 33 desconexión del periódicos para
días de vencida servicio a clientes asegurar el
la factura (En con deuda, lo que funcionamiento
este feriado ya se puede impactar en adecuado de las
ha generado una la eficiencia de desconexiones
nueva gestión de cobranza
facturación) y el nivel de churn
Índices elevados de
no contactabilidad Implementar # de clientes
Campañas de
lo que impide campañas de Mitigar contactados / #de
41 X 3 2 4 actualización de bases Manual 3 2 6
realizar una actualización el riesgo clientes de la
de datos de clientes
adecuada gestión de datos base de cobro.
de cobranza
Gestión de
Reporte de tendencias
Recuperación Mala gestión de
de cobro por asesor con
telefónica cobranza por parte
el fin de generar
de los ejecutivos lo
retroalimentación
42 que puede impactar X 2 2 4 Manual 1 2 2 N/A N/A N/A
periódica y oportuna
en la eficiencia de
sobre técnicas y calidad
cobro y nivel de
en la llamada de
churn
cobranza
168
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Generación de
Orden de
recupero de
equipos a los 62
días de vencida
la factura y
Implementar # Total de
Envío a un Equipos no
Proceso para cobranza procedimiento equipos
tercero de la recuperados que Mitigar
43 X 2 2 4 de equipos no Manual 1 2 2 para cobranza cobrados/ # Total
Cartera de implican pérdidas el riesgo
recuperados de equipos no de equipos por
clientes para la compañía
recuperados recuperar
desconectados y
con orden de
recupero de
equipos para
gestión de
recaudo
Aprobación formal
Registro de la Error en el cálculo
sobre el cálculo de
provisión para 45 de la provisión para X 1 2 2 Manual 1 2 2 N/A N/A N/A
provisión para
incobrables cuentas incobrables
incobrables
Personal no
Autorización de perfiles
Administr Creación o autorizado que
Administraci de acceso de la
ación de Actualización de ejecute cambios o
ón de Gerencia de Control
aplicación perfiles de 47 registros en el X 3 3 9 Manual 1 3 3 N/A N/A N/A
aplicación de Interno
de acceso al Sistema sistema que
ingresos Auditoría de accesos al
Ingresos de Ingresos conlleven a fraude
sistema de ingresos
o errores
169
Referencias:
Bibliografía básica:
Chorafas Dmitris N., Operational Risk Control whith Basel II, Elsevier Butterworth-
Heinemann, Primera Edición, año 2004.
Comité de Supervisión Bancaria de Basilea, Declaración de Principios del Comité para
la reglamentación bancaria y las prácticas de vigilancia de Basilea sobre la
prevención de la utilización del sistema bancario para fines de reciclaje de fondos
derivados de actividades ilegales, diciembre 2004.
Melendez, T. Juan, Métodos de Evaluación de Control Interno, Universidad “Los
Ángeles” de Chimbote, Curso: control interno, Facultad de Ciencias Contables y
Financieras, Escuela Profesional de Contabilidad, México, 2010.
Mendoza A & Castillo M., Diseño de una Metodología para la identificación y la
medición del Riesgo Operativo en Instituciones Financieros, Universidad de los
Andes, Bogotá Colombia.
Rivas, Glenda, Modelos contemporáneos de control interno. Fundamentos teóricos,
Observatorio Laboral Revista Venezolana Vol. 4, Nº 8, julio-diciembre, 2011:
115-136 Universidad de Carabob
Santillana, Juan Ramón: Establecimiento de Sistemas de Control Interno, 1ra edición,
2001.
Sulca, Gabriela; Becerra, Efraín, Espinosa, Veónica, Control Interno, COSO II,
Auditoría, Biblioteca Repositorio Digital, Facultad de Ciencias Administrativas,
Escuela de Contabilidad y Auditoría, disponible en:
https://drive.google.com/drive/folders/0B3gftDYAF3gZUFNsWFRJTEc3ZHM
Bibliografía complementaria:
ARENS A, ELDER R. Y BEASLEY M. (2007). Auditoría. Un enfoque integral.

Undécima edición. Pearson educación. México.
COOPERS & LYBRAND (1997). Los nuevos conceptos de control interno. (Informe
COSO). Primera edición. Ediciones Díaz Santos. España.
ESTUPIÑAN G. RODRIGO (2006). Administración o gestión de riesgos E.R.M. y la
auditoría interna. Primera edición. Ecoe ediciones. Colombia.
170
MANTILLA B. SAMUEL (2003). Auditoría 2005. Primera edición. Editorial Ecoe

ediciones. Colombia.
MANTILLA B. SAMUEL Y BLANCO SANDRA (2005). Auditoría del Control interno.
Primera edición. Editorial Ecoe ediciones. Colombia. PriceWaterhouseCoopers
(2005). Administración de riesgos corporativos – Marco integrado. Resumen
ejecutivo Marco. Primera edición. Editado por la Federación Latinoamericana de
auditores internos (FLAI).
Marco Integrado de Control Interno para Latinoamérica (2004). Disponible:
http://www.sisepuede.com.ec/docs/ MICIL.doc Consultado el 02-01-2012.
QUEVEDO, DOSCARLI Y RAMIREZ ELIANA (2006). Análisis comparativo entre los
enfoques modernos de Control Interno: COSO, COCO y MICIL. Trabajo especial
de grado no publicado. Universidad de Carabobo. República bolivariana de
Venezuela. WARREN CARL, REEVE JAMES, Y FESS PHILIP (2005).
Contabilidad Financiera. Novena edición. Thomsom editores. México.
WHITTINGTON, O Ray y PANY Karls (2005). Principios de auditoría.
Decimocuarta edición. McGraw Hill.
Resolución No. JB-2005-834 de 20 de octubre del 2005 De la Gestión del Riesgo
Operativo
Venegas Martínez, Francisco, Riesgos Financieros y Económicos, Productos derivados y
decisiones económicas bajo incertidumbre, Segunda Edición, Editec S.A., México
año 2008
Netgrafía:
1. http://es.wikipedia.org/wiki/Riesgo_de_cr%C3%A9dito
2. http://es.wikipedia.org/wiki/Basilea_II
3. https://dspace.ups.edu.ec/bitstream/123456789/13237/1/UPS-
GT001732.pdf
4. https://www2.deloitte.com/gt/es/pages/about-deloitte/topics/deloitte-en-
medios/controles-internos-tributarios-a-nivel-empresarial-parte-i.html
5. https://actualicese.com/control-interno-tipos-de-control-y-sus-elementos-
basicos/#:~:text=El%20control%20interno%2C%20de%20acuerdo,de%20l
a%20informaci%C3%B3n%20financiera%20y

Ca4-Unidad Didactica-Control Interno

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ca4-Unidad Didactica-Control Interno

Cargado por

Copyright:

Formatos disponibles

1

UNIVERSIDAD CENTRAL DEL ECUADOR

SEMESTRE: 2022 - 2022

2.5. Metodología COSO ERM ....................................................................................... 32

3.5.3.7. Análisis de saldos y movimientos ..................................................... 63

4.3.7.2. Estructura Táctica ............................................................................. 77

Referencias: ................................................................................................................. 169

La alta competitividad del mercado ha impulsado a varias compañías a incursionar en la

La constante implementación y mejora tecnológica, sistemas y procesos así como las

define como la posibilidad de sufrir pérdidas debido a la inadecuación o a fallos de los

establecimiento de objetivos, identificación de eventos, evaluación de riesgo, respuesta

Tomando en consideración la necesidad que ha surgido a lo largo de estos años de crear

Importancia del Control Interno

El Control Interno contribuye a la seguridad del sistema contable que se utiliza en la

Desde tiempos remotos, el ser humano ha tenido la necesidad de controlar sus

Se dice que el control interno es una herramienta surgida de la imperiosa necesidad de

Relaciones con otras especialidades

- Con la contabilidad financiera

- Con la administración financiera

1.1. Definición de Control Interno

1.2. Principios de Control Interno

b) Fijación de responsabilidad: Garantizar que los procedimientos inherentes al control

La supervisión de las operaciones reflejadas en cada cuenta y subcuenta o análisis en

Los principios de Control Interno en general pueden resumirse en cinco puntos

• Separación de funciones de operación, custodia y registro.

1.3. Objetivos de Control Interno

El primer numeral se enfoca a los objetivos de la entidad inclusive a las metas de

• Obtener información administrativa, contable y financiera, oportuna y

Evaluación de riesgos: Consiste en la identificación de los factores que podrían hacer

Procedimientos de control: Son emitidos por la dirección y consisten en políticas y

Supervisión: Mediante un monitoreo continúo efectuado por la administración se evalúa

Sistemas de información y comunicación: Se utilizan para identificar, procesar y

2. Modelos de Control Interno

2.2. Modelo COSO

Se iniciará el recorrido ubicando al lector en el denominado informe COSO (Committee

A nivel organizacional, se realza la necesidad de que la alta dirección y el resto de la

y esencialmente la consideración del control como un proceso integrado a las operaciones

A nivel normativo, pretende plantear y normas rígidas, compuesto por mecanismos

2.2.1. Primer componente: Ambiente de Control

Ambiente de control de una empresa, es la actitud general de sus administradores y

De acuerdo a Whittington, y Pany (2005: 214), el ambiente de control “crea el tono de la

En el ambiente de control se distinguen siete factores a considerar: (1) Integridad y

• Integridad y valores éticos: son el resultado de las normas éticas y de conducta

el reporte financiero y hacia el procesamiento de la información, funciones

2.2.2. Segundo componente: Evaluación de los Riesgos

Todas las empresas, independientemente de su tamaño, estructura, naturaleza o clase de

- Sistemas de información nuevos o reconstruidos;

2.2.3. Tercer Componente: Actividades de Control

• Revisiones de alto nivel, incluye la comparación del desempeño contra

1. Contabilidad separada de la custodia de los activos financieros;

4. Deberes y responsabilidades del departamento de tecnología de

2.2.4. Cuarto componente: Información y comunicación

La información y la comunicación son elementos esenciales en una estructura de control

En relación a este componente, Mantilla (2005: 71) comenta que: “… El sistema de

2.2.5. Quinto componente: Monitoreo

Las actividades de monitoreo se refieren a la evaluación continua o periódica de calidad

la efectividad del entrenamiento y la supervisión, la reducción de tiempo y recursos u

El Sistema de control interno puede supervisarse mediante acciones continuas de los

2.3. Modelo COCO

El siguiente modelo a considerar es el denominado “Modelo COCO (Criteria of Control)”

El cambio importante que plantea el Modelo Canadiense consiste en que, en lugar de

En este orden de ideas Estupiñán expone (2006:10), el modelo COCO “busca

El objetivo del modelo COCO se orienta a desarrollar lineamientos generales para el