PREGUNTAS Y CUESTIONARIO

E.R.M
RIESGO ORGANIZACIONAL Y CONTROL INTERNO
Grupo 11.

Estudiante: Sandra Milena De La Cruz Moya

Profesor: Saul Zuleta Salazar

Universidad del Atlántico
Contaduría Pública
Agosto 30, 2022.
 1

Contenido

Preguntas y cuestionamientos E.R.M .......................................................................................... 3

1. ¿Qué tienen que ver los hechos sucedidos en EEUU a final del pasado milenio de
maquillajes de balances, quiebras de empresas, sanciones a firma de auditores con la
administración de riesgos empresariales E.R.M. o gestión de riesgos? .................................... 3
2. ¿Qué responsabilidad tiene ahora sobre el control interno de las empresas a nivel de
EEUU la administración, la auditoría interna y externa de una empresa? ............................. 3
3. ¿Qué obliga la Sección 404 de la Ley Sarbanes Oxley referido al control interno? ........ 3
4. Defina la administración de riesgos empresariales E.R.M. o Gestión de Riesgos ........... 4
5. ¿Qué conceptos fundamentales resalta la definición del E.R.M.? .................................... 4
6. ¿Cuáles son los fundamentos del E.R.M.? .......................................................................... 5
7. ¿Qué se entiende por el componente de entorno interno? ................................................. 5
8. El diseño y funcionamiento de las actividades de control, de los sistemas de
información y comunicación como las de monitoreo, ¿qué tienen que ver con el entorno
interno? .......................................................................................................................................... 6
9. ¿Qué se entiende por el componente de definición de objetivos? ..................................... 6
10. ¿Qué tiene que ver una determinación de visión y misión de la planeación estratégica
con el componente de definición de objetivos? ........................................................................... 6
11. ¿Qué es una incertidumbre? ............................................................................................ 6
12. ¿Los eventos son todos negativos en una empresa? ....................................................... 7
13. ¿Qué metodologías se conocen en las empresas y en los auditores para la
identificación de eventos? ............................................................................................................. 7
14. ¿Qué se entiende por el componente de respuesta al riesgo? ........................................ 7
15. ¿Qué son controles generales? ......................................................................................... 8
16. ¿Qué son controles de aplicación? ................................................................................... 8
17. ¿Qué se entiende por el componente de información y comunicación? ....................... 9
18. ¿Qué se entiende por el componente de monitoreo (ongoing)? ..................................... 9
19. ¿Qué reglas estableció el COSO II para un adecuado monitoreo?............................. 10
Cuestionamientos ........................................................................................................................ 11
1. ¿Qué ha significado para las empresas, la expedición del COSO II referida a la
Administración de Riesgos o ERM? .......................................................................................... 11
2. ¿Qué nuevos componentes de control se formularon en el COSO II? ........................... 11
 2

3. ¿Qué influencia tuvo para la expedición del COSO II, la Ley Sarbanes Osley? ........... 12
4. Los cambios formulados en el COSO II han evolucionado las auditorías internas y
externas, cómo? ........................................................................................................................... 12
5. ¿Qué relación tiene el gobierno corporativo con la administración de riesgos
empresariales o gestión de riesgos? ........................................................................................... 13
6. ¿Qué responsabilidad tiene la auditoría interna de una empresa con la administración
de riesgos o gestión de riesgos? .................................................................................................. 13
7. ¿Qué relación tienen los Acuerdos de Basilea I y II con la administración de riesgos de
las entidades financieras? ........................................................................................................... 13
8. ¿De quién o quiénes es (son) la responsabilidad principal del establecimiento de un
proceso de administración de riesgos E.R.M. o Gestión de Riesgos? ..................................... 14
Bibliografía .................................................................................................................................. 15
 3

Preguntas y cuestionamientos E.R.M

1. ¿Qué tienen que ver los hechos sucedidos en EEUU a final del pasado milenio
de maquillajes de balances, quiebras de empresas, sanciones a firma de
auditores con la administración de riesgos empresariales E.R.M. o gestión de
riesgos?

Los hechos sucedidos en EEUU fueron el inicio de la gran idea del gobierno de intervenir y

determinar exigencias especiales a los auditores externos y a los administradores en el

cumplimiento de aspectos fundamentales de control interno, procesos y en especial,

exigencias de los llamados inicialmente Gestión de Riesgos o Gerencia de Riesgos. Podemos

suponer que, si no fuesen pasado tantos sucesos, no fueses tenido la gran idea de intervenir e

implementar estrategias y leyes para el control interno de una entidad.

2. ¿Qué responsabilidad tiene ahora sobre el control interno de las empresas a

nivel de EEUU la administración, la auditoría interna y externa de una
empresa?

La administración, la auditoria interna y externa de una empresa tienen la responsabilidad de

emitir un informe anual de control interno, preparado y firmado por el auditor externo, donde:

• Requiere que la compañía evalúe y prepare una declaración sobre la efectividad de sus

sistemas de control interno sobre información financiera.

• Requiere que el auditor externo verifique y dictamine sobre la evaluación efectuada por la

administración en su reporte anual.

3. ¿Qué obliga la Sección 404 de la Ley Sarbanes Oxley referido al control

interno?

La sección 404 de la Ley Sarbanes-Oxley estableció normas específicas para endurecer los

controles en las empresas, particularmente en lo relacionado con la obligación de certificar

 4

los estados financieros y sus procesos de elaboración y la evaluación de los controles

internos.

4. Defina la administración de riesgos empresariales E.R.M. o Gestión de Riesgos

La gestión de riesgos empresariales (ERM) es un marco para administrar los riesgos en el

ámbito organizacional. Riesgo organizacional es un término muy amplio. Puedes abarcar un

amplio rango de inquietudes, desde garantizar la seguridad de los empleados hasta proteger

los datos confidenciales y cumplir así con la normativa y detener el fraude financiero. El

riesgo puede ser interno, como fallos en equipos, o externo, como desastres naturales. La

definición de riesgo varía en función de la entidad.

La percepción clásica de la gestión de riesgos consiste en las estrategias empleadas para

minimizar el daño al valor que la organización crea para sí misma, los empleados, los

accionistas, los clientes y la comunidad. Todas las empresas deciden qué es lo que entienden

como un riesgo para la organización y realizan alguna forma de evaluación de riesgos. Un

marco de ERM es un conjunto de principios y procedimientos que ayuda a la organización a

gestionar los riesgos previstos para que la empresa logre sus objetivos.

En este sentido, las soluciones de gestión de riesgos hacen dos cosas: proteger a la empresa

de daños y crear oportunidades para mejorar el rendimiento empresarial.

5. ¿Qué conceptos fundamentales resalta la definición del E.R.M.?

 Un proceso, es un medio para un fin, no un fin en sí mismo.

 Efectuado por gente no es solamente política, estudio y forma, sino que involucra

gente en cada nivel de una organización.

 Aplicado en la definición de la estrategia.

 5

 Aplicado a través de la administración en cada nivel y unidad, incluye asumir un

punto de vista de portafolio de los riesgos a nivel de la entidad.

 Diseñado para identificar los eventos que potencialmente afectan la entidad y para

administrar los riesgos dentro del apetito por los riesgos.

 Provee seguridad razonable para la administración y para la junta de una entidad.

 Orientado al logro de los objetivos en una o más categorías separadas, pero al mismo

tiempo se sobreponen unas con otras.

La definición captura los conceptos fundamentales que son claves sobre la manera como las

compañías y otras organizaciones administran el riesgo, proveyendo una base para la

aplicación a través de diferentes tipos de organizaciones y sectoriales. Se centra directamente

en el logro de los objetivos de la entidad y ésta provee una base para definir la efectividad de

la administración del riesgo empresarial.

6. ¿Cuáles son los fundamentos del E.R.M.?

Las empresas con ánimo o sin ánimo de lucro deben propender a crear valor a sus protectores,

dueños o accionistas, así como la de enfrentar y superar las incertidumbres, desafiándolas

con preparación suficiente, para poder proveer una estructura conceptual, así la gerencia trate

de manera efectiva la incertidumbre que representan los riesgos y oportunidades, y así

enriquecer su capacidad para generar valor.

7. ¿Qué se entiende por el componente de entorno interno?

El ambiente interno de una organización lo constituyen todos los elementos o fuerzas internas

que influyen en ella, como son los incentivos, el clima organizacional, el liderazgo, el

cumplimiento de normas y valores, etc, Es el fundamento de todos los otros componentes del
 6

E.R.M., creando disciplina y organizando adecuadamente la estructura empresarial,

determinando las estrategias y los objetivos, como también estructurando las actividades del

negocio e identificando, valorando y actuando sobre los riesgos.

8. El diseño y funcionamiento de las actividades de control, de los sistemas de

información y comunicación como las de monitoreo, ¿qué tienen que ver con el
entorno interno?

Estos diseños y funcionamientos son de las actividades de control interno de la empresa, de

ahí su relación. Es el monitoreo y supervisión que se tiene adentro de la entidad

9. ¿Qué se entiende por el componente de definición de objetivos?

Los objetivos internos se formulan en base a la misión y visión de la empresa, van

vinculados a ellos, también aquellos relacionados con la efectividad y eficiencia de

actividades operativas.

10. ¿Qué tiene que ver una determinación de visión y misión de la planeación
estratégica con el componente de definición de objetivos?

La emisión y la visión de una entidad se formulan al momento en que esta se constituye, no

obstante, estos pueden ir cambiando con el transcurrir del tiempo, adaptándose al contexto

en que se desenvuelve la empresa, los objetivos son los pequeños pasos que debe cumplir la

entidad para así, lograr alcanzar la visión establecida por ellos, cada objetivo debe ser igual

o mayor al anterior para mantener el crecimiento o el fin deseado de la empresa.

11. ¿Qué es una incertidumbre?

 7

La incertidumbre surge como un hecho que dilata el concepto real de lo que trata la auditoría,

quedando en la penumbra el hecho de que existen actuaciones que no fueron o no se pudieron

clarificar.

12. ¿Los eventos son todos negativos en una empresa?

Los eventos no solo pueden impactar negativamente, impactan, igualmente, positivo o de

ambos, representando los primeros riesgos inmediatos, mediatos o de largo plazo, los cuales

deben ser evaluados dentro de la gestión de riesgos empresariales.

13. ¿Qué metodologías se conocen en las empresas y en los auditores para la

identificación de eventos?

Dentro de las metodologías más conocidas para la identificación de eventos, las cuales se han

aplicado de parte de varias firmas de auditores y dentro de las metodologías internas de la

empresa son las matrices “análisis PETS o GESI”, “análisis FODA o DOFA”, “análisis de

las cinco fuerzas” y “matriz de conocimiento del negocio e identificación de riesgos”

14. ¿Qué se entiende por el componente de respuesta al riesgo?

La planificación de la respuesta al riesgo consiste en desarrollar procedimientos y técnicas

que permitan mejorar las oportunidades y disminuir las amenazas que inciden sobre los

objetivos del proyecto. Este suele ser el proceso más importante de la gestión de riesgos, pues

es aquí donde se toma la decisión de cómo responder a cada riesgo identificado. Identifica y

evalúa las posibles respuestas de los riesgos y considera su efecto en la probabilidad y el

impacto. Evalúa las opciones en relación con el apetito del riesgo en la entidad, el costo y su

beneficio de la respuesta a los riesgos potenciales, y el grado que más reporta las
 8

posibilidades de riesgo. Las respuestas al riesgo caen dentro de las categorías de evitar,

reducir, compartir y aceptar el riesgo.

15. ¿Qué son controles generales?

Los controles generales son las políticas y procedimientos que se aplican a la totalidad o a

gran parte de los sistemas de información de una entidad, incluyendo la infraestructura y

plataformas TI de la organización auditada y ayudan a asegurar su correcto funcionamiento.

16. ¿Qué son controles de aplicación?

Los controles de aplicación son procedimientos manuales o automatizados que operan a nivel

de procesos de gestión y que se aplican al procesamiento de las transacciones mediante

aplicaciones informáticas específicas. Estos controles se extienden sobre el conjunto del

proceso de gestión o actividad cubierto por la aplicación de gestión. Su comprobación

proporcionará confianza únicamente sobre aquellas clases de transacciones concretas

procesadas por esa aplicación, ya que son controles específicos y únicos para cada aplicación

informática.

Ejemplos de controles de aplicación incluyen la comprobación de la exactitud aritmética de

los registros, el mantenimiento y revisión de las cuentas y balances de comprobación,

controles automatizados tales como filtros de datos de entrada y comprobaciones de

secuencia numérica, y el seguimiento manual de los informes de excepciones. La finalidad

de los controles de aplicación en un entorno informatizado es establecer procedimientos de

control específicos sobre las aplicaciones de gestión con el fin de asegurar razonablemente

que todas las transacciones son autorizadas y registradas, y que son procesadas de forma

completa, adecuada y oportuna, y de garantizar la exactitud de los resultados. En

 9

consecuencia, los controles juegan un papel central en la realización de los objetivos de la

entidad, de la protección del patrimonio, de la exactitud y de la fiabilidad de la contabilidad

y del respeto a las normas.

17. ¿Qué se entiende por el componente de información y comunicación?

Identifica, captura y comunica información de fuentes internas y externas, en una forma y en

una franja de tiempo que le permita al personal llevar a cabo sus responsabilidades. La

comunicación efectiva también ocurre en un sentido amplio, hacia abajo o a través y hacia

arriba en la entidad. En todos los niveles, se requiere información para identificar, valorar y

responder a los riesgos, así como para operar y lograr los objetivos. Asimismo, se entiende

por componente de información y comunicación, los métodos, procesos, canales, medios y

acciones que, con enfoque sistémico y regular, aseguren el flujo de información en todas las

direcciones con calidad y oportunidad. Esto permite cumplir con las responsabilidades

individuales y grupales.

18. ¿Qué se entiende por el componente de monitoreo (ongoing)?

El monitoreo ongoing ocurre en el curso de las operaciones. Incluye las actividades regulares

de administración y supervisión, así como otras acciones personales tomadas en el

desempeño de sus obligaciones. Es un proceso que valora tanto la presencia como el

funcionamiento de sus componentes y la calidad de su desempeño en el tiempo. Se puede

realizar mediante actividades de ongoing o a través de evaluaciones separadas, los dos

aseguran que la administración de riesgos continúa aplicándose en todos los niveles y a través

de una evaluación continua y periódica que hace la gerencia de la eficacia del diseño y
 10

operación de la estructura del control interno, para lograr una adecuada identificación del

riesgo, de acuerdo con lo planificado, modificando los procedimientos cuando se requiera

19. ¿Qué reglas estableció el COSO II para un adecuado monitoreo?

 Obtención de evidencia de que existe una cultura a la identificación del riesgo.

 Si las comunicaciones externas corroboran las internas.

 Si se hacen comparaciones periódicas

 Si se revisan y se hacen cumplir las recomendaciones de los auditores.

 Si las capacitaciones proporcionan realidad de lograr una cultura del riesgo.

 Si el personal cumple las normas y procedimientos y es cuestionado.

 Si son confiables y efectivas las actividades de la auditoría interna y externa

 11

Cuestionamientos

1. ¿Qué ha significado para las empresas, la expedición del COSO II referida a la

Administración de Riesgos o ERM?
Obtener beneficios entre los cuales están:

 Alinea la gestión de riesgos con la estrategia para analizarlos.

 Mejora las decisiones importantes de respuesta ante los riesgos o crisis.

 Reduce el número de eventos sorpresivos y, en consecuencia, de pérdidas operacionales.

 Identifica, agrupa y gestiona toda la diversidad de eventos perjudiciales para la empresa.

 Mejora la inversión y el presupuesto de una compañía, disminuyendo los impactos

negativos.

2. ¿Qué nuevos componentes de control se formularon en el COSO II?

La novedad que introduce COSO II-ERM es la ampliación de componentes de COSO I de

cinco a ocho:

1. Ambiente de control

2. Establecimiento de objetivos

3. Identificación de eventos

4. Evaluación de Riesgos

5. Respuesta a los riesgos

6. Actividades de control
 12

7. Información y comunicación

8. Supervisión

3. ¿Qué influencia tuvo para la expedición del COSO II, la Ley Sarbanes Osley?

COSO II es el instrumento más usado para la evaluación de gestión de control interno, ya

que este posee el modelo que más se ajusta a los requerimientos exigidos en la sección 404

de la Ley Sarbanes Osley.

4. Los cambios formulados en el COSO II han evolucionado las auditorías

internas y externas, cómo?

Estos cambios si hicieron evolucionar las auditorías internas y externas, porque al aumentar
los componentes se permite una mayor cobertura de riesgo a los que se enfrentan actualmente
 13

las organizaciones. Podemos ver esto cuando actualizo el contexto de la aplicación del
control interno a muchos cambios en las empresas y ambientes operativos, y amplio su
aplicación al expandir los objetivos operativos.

5. ¿Qué relación tiene el gobierno corporativo con la administración de riesgos

empresariales o gestión de riesgos?

La Administración de Riesgos (ERM) y el Gobierno Corporativo van entrelazados y

enfocados hacia el control operativo, legal, financiero, logístico y de medio ambiente,

independientes de parte de la Junta Directiva o Consejo de Administración, desligándolos de

los controles administrativos y contables utilizados dentro de la organización a nivel interno.

6. ¿Qué responsabilidad tiene la auditoría interna de una empresa con la

administración de riesgos o gestión de riesgos?

La auditoría interna debe evaluar y contribuir a la gestión de riesgos, aportando así a la mejora

de los procesos de control, utilizando un enfoque sistemático y disciplinad

7. ¿Qué relación tienen los Acuerdos de Basilea I y II con la administración de

riesgos de las entidades financieras?

El Acuerdo de Capital de Basilea de 1988, estableció por primera vez un sistema para medir

el capital de los bancos en función del riesgo de crédito o incumplimiento en el pago de sus

activos. Dirigido a la adecuada gestión de riesgos para el sistema financiero. Se trata de un

marco regulatorio que se basa en principios y estándares de supervisión bancaria.

El acuerdo de Basilea I, se firmó en 1988, estableció unos principios básicos en los que debía

fundamentarse la actividad bancaria como el capital regulatorio, requisito de permanencia,

capacidad de absorción de pérdidas y de protección ante quiebra. Este capital debía ser
 14

suficiente para hacer frente a los riesgos de crédito, mercado y tipo de cambio. El acuerdo

establecía también que el capital mínimo de la entidad bancaria debía ser el 8% del total de

los activos de riesgo (crédito, mercado y tipo de cambio sumados).

El acuerdo Basilea II, aprobado en 2004. Desarrollaba de manera más extensa el cálculo de

los activos ponderados por riesgo y permitía que las entidades bancarias aplicaran

calificaciones de riesgo basadas en sus modelos internos, siempre que estuviesen

previamente aprobadas por el supervisor. Este acuerdo incorporaba, por lo tanto, nuevas

tendencias en la medición y el seguimiento de las distintas clases de riesgo. Se hizo énfasis

en metodologías internas, revisión de la supervisión y disciplina de mercado.

8. ¿De quién o quiénes es (son) la responsabilidad principal del establecimiento de

un proceso de administración de riesgos E.R.M. o Gestión de Riesgos?

La alta dirección de una organización siempre va a ser la máxima responsable del

funcionamiento del sistema de Gestión de Riesgos. De esta forma, la dirección ejecutiva es

la encargada de asignar la autoridad a quienes la requieran, aprobar o rechazar políticas o

realizar revisiones periódicas del sistema

 15

Bibliografía

Ley Sarbanes-Oxley: un nuevo enfoque de control interno. Revista Nº 20 Oct.-Dic.

2004. Obtenido de:

https://xperta.legis.co/visor/rcontador/rcontador_7680752a7d96404ce0430a010151404c/re

vista-internacional-legis-de-contabilidad-y-auditoria/ley-sarbanes-oxley%3a-un-nuevo-

enfoque-de-control-interno

La incertidumbre. ¿Por qué surge en auditoría?. 20 de diciembre, 2019. Obtenido de:

https://www.auditool.org/blog/auditoria-externa/6903-la-incertidumbre-por-que-surge-en-

auditoria#:~:text=La%20incertidumbre%20surge%20como%20un,o%20no%20se%20pudi

eron%20clarificar.

Revisión de los controles generales de tecnologías de información en un entorno de

administración electrónica. Obtenido de: https://asocex.es/wp-

content/uploads/2018/11/GPF-OCEX-5330_Revision_CGTI.pdf

Danre, A. Implementación de respuesta de riesgo. Obtenido de:

https://pirhua.udep.edu.pe/bitstream/handle/11042/3603/5a806159ff0a0745fe4eb5f18ef8eb

09c472c53c1138581373d692c101a65af6.pdf?sequence=1&isAllowed=y#:~:text=La%20pl

anificaci%C3%B3n%20de%20la%20respuesta,sobre%20los%20objetivos%20del%20proy

ecto.

Abella Rubio, Ramón. "COSO II y la gestión integral de riesgos del

negocio". Estrategia Financiera. Obtenido de: https://www.esan.edu.pe/conexion-

 16

esan/coso-ii-los-sistemas-para-el-control-

interno#:~:text=Como%20resultado%2C%20el%20COSO%20II,en%20consecuencia%2C

%20de%20p%C3%A9rdidas%20operacionales.

La dimensión interna de las empresas. 31 de octubre 2016. Obtenido de:

https://www.esan.edu.pe/conexion-esan/la-dimension-interna-en-las-
empresas#:~:text=El%20ambiente%20interno%20de%20una,de%20normas%20y%20valor
es%2C%20etc.&text=Los%20factores%20internos%20pueden%20crear%20tantos%20pro
blemas%20como%20los%20externos.