AUDITORÍA Y CONTROL INTERNO

Semana 8
Implementación de Sistemas de Control Interno
 Semana 8
Implementación de Sistemas de Control Interno

APRENDIZAJE ESPERADO

El estudiante será capaz de:

• Planificar la implementación del sistema de control interno en un contexto organizacional con la

finalidad de entregar recomendaciones para su correcta aplicación.

Reservados todos los derechos Instituto Superior de Artes y Ciencias de la Comunicación S.A. No se permite copiar, reproducir, reeditar, descargar, publicar,
emitir, difundir, de forma total o parcial la presente obra, ni su incorporación a un sistema informático, ni su transmisión en cualquier forma o por cualquier
medio (electrónico, mecánico, fotocopia, grabación u otros) sin autorización previa y por escrito de Instituto Superior de Artes y Ciencias de la Comunicación
S.A. La infracción de dichos derechos puede constituir un delito contra la propiedad intelectual.

IACC 2022 2
 Semana 8
Implementación de Sistemas de Control Interno

ÍNDICE
ÍNDICE ................................................................................................................................................................................. 3
INTRODUCCIÓN ................................................................................................................................................................... 4
RESUMEN ............................................................................................................................................................................ 5
PALABRAS CLAVE ................................................................................................................................................................. 5
PREGUNTAS GATILLANTES ................................................................................................................................................... 5
1. IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL INTERNO EN ORGANIZACIONES SIN SISTEMAS DE CONTROL
INTERNO.............................................................................................................................................................................. 6
2. ETAPAS DE IMPLEMENTACIÓN DEL SISTEMA DE CONTROL INTERNO ................................................................................. 6
2.1. SITUACIÓN ACTUAL DE LA ORGANIZACIÓN ........................................................................................................................... 8
2.2. DEPARTAMENTOS INVOLUCRADOS ....................................................................................................................................... 9
2.2.1. PROCEDIMIENTOS Y DOCUMENTOS ............................................................................................................................... 9
2.3. RIESGOS EXISTENTES EN LA ORGANIZACIÓN ......................................................................................................................... 9
2.3.1. MEDICIÓN DE SU IMPACTO Y PROBABILIDAD ............................................................................................................... 10
2.3.2. CONTROLES PARA MITIGAR RIESGOS ............................................................................................................................ 12
2.3.3. SEGREGACIÓN DE FUNCIONES DE LOS CONTROLES ESTABLECIDOS ............................................................................. 14
COMENTARIO FINAL .......................................................................................................................................................... 16
REFERENCIAS ..................................................................................................................................................................... 17

IACC 2022 3
 Semana 8
Implementación de Sistemas de Control Interno

INTRODUCCIÓN
Los sistemas de controles internos permiten al auditor de estados financieros determinar el grado de confiabilidad
mediante el cual efectuará las posteriores pruebas sustantivas para determinar la razonabilidad de dichos estados.
En este contexto, es fundamental que las empresas cuenten con un sistema de control interno confiable y acorde
con la realidad de la empresa, donde se resguarden los activos de esta, siendo el más importante la información que
maneja. Pues mientras más confiable y robusto sea el sistema de control interno de una organización, más confianza
le brindará al auditor de estados financieros.

Además de considerar la confianza de los auditores financieros, se debe tomar en cuenta que los sistemas de control
interno tienen que ser revisados por la propia empresa en forma sistemática, ya que hay que asegurarse de que los
controles que se han ido implementando estén funcionando, del buen funcionamiento del control interno de las
organizaciones depende el cumplimiento de los objetivos planteados.

En ese sentido, esta semana se estudiará la implementación de los sistemas de control interno en las organizaciones,
específicamente en aquellas que no cuenten con uno ya establecido. Para ello, el auditor o el asesor de la empresa
se apoyará en los mismos conceptos de una evaluación para elaborarla.

IACC 2022 4
 Semana 8
Implementación de Sistemas de Control Interno

RESUMEN

Es importante que una entidad bien organizada cuente con apropiado Sistema de Control Interno, ya que de esta
manera se puede garantizar protección de los bienes, que los registros y resultados contables sean fidedignas; las
cuales son necesarias para el buen manejo de la organización.
La implementación y funcionamiento del sistema de control interno en una organización es de responsabilidad de
sus directivos y colaboradores, ya que los resultados de este favorecen para fortalecer a la empresa y así contar con
las acciones adecuadas para superar los riesgos encontrados.

PALABRAS CLAVE

Control Interno Matriz de Riesgo

Procedimientos Segregación de funciones

Riesgos Diagrama de Flujo

PREGUNTAS GATILLANTES
• ¿Qué es la implementación del Control Interno?
• ¿Cuáles son las etapas de implementación del Sistema de Control Interno?
• ¿Cuáles son los riesgos existentes en una organización?

IACC 2022 5
 Semana 8
Implementación de Sistemas de Control Interno

1. IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL INTERNO

EN ORGANIZACIONES SIN SISTEMAS DE CONTROL INTERNO

En el contexto de una organización sin sistema de control interno establecido, se debe efectuar una evaluación de
acuerdo con las características, la información que maneja y las operaciones que realiza la empresa.
Pues una organización que no posee un control interno definido se expone a riesgos altamente probables y de alto
impacto negativo sobre la información que genera, sus activos, sus procedimientos, entre otros.

Es común ver que las micros y pequeñas empresas no poseen sistemas de control interno, debido a que estas
organizaciones cuentan con baja cantidad de personal, además de pocos y no definidos procedimientos. Ante lo cual,
por falta de conocimiento o de recursos, no consideran importante la implementación de un sistema de control
interno.

Es menester decir que los sistemas de control interno están presentes en todas las organizaciones de alguna u otra
forma. Las personas controlan los procesos que realizan a diario y más aún cuando este se relaciona con dinero. Por
ejemplo, en una panadería pequeña, el cajero debe ir pegando las boletas de venta correlativas del día en un
cuaderno, para que al final del día el dueño de la organización realice una cuadratura de caja. Si bien es un control
manual y expuesto a riesgos, es un control que probablemente como es un quehacer cotidiano, los trabajadores no
lo reconozcan como parte de un sistema de control interno.

Conforme a los riesgos existentes en todas las organizaciones, sin importar el rubro ni el tamaño, es importante
definir controles internos para los procesos, sobre todo para aquellos que pueden poner en juego la permanencia
de la empresa en el mercado. Los sistemas de control interno pueden ser adaptados a las características de la
empresa, así es que, el que sean organizaciones pequeñas, no es un impedimento para una implementación de este
sistema.

2. ETAPAS DE IMPLEMENTACIÓN DEL SISTEMA DE CONTROL

INTERNO

Para realizar una implementación de sistema de control interno es importante seguir una secuencia de pasos: desde
medir la situación actual de la organización, hasta establecer la segregación de funciones de acuerdo con los
controles que se han establecido.

IACC 2022 6
 Semana 8
Implementación de Sistemas de Control Interno

De acuerdo con José Schuster en su libro “Control interno” (1992), las etapas de implementación de un sistema de
control interno son las siguientes:

PLANIFICACIÓN EJECUCIÓN EVALUACIÓN

ETAPA I ETAPA II ETAPA III ETAPA IV ETAPA V

Reportes de
Evaluación y
Cierre de brechas mejora continúa.
7. Ejecutar las 8. Elaborar
Elaboración del acciones reportes de
Plan de Trabajo definidas en el evaluación
Identificación de para el cierre de plan de trabajo. respecto a la
Brechas brechas implementación
6. Elaborar el del Sistema de
Acciones 4. Elaborar el
plan de trabajo Control Interno.
Preliminares programa de
trabajo para con base en los 9. Elaborar un
1. Suscribir acta
realizar el resultados del informe final.
de compromiso.
diagnóstico del diagnóstico del 10.
2. Conformar
Sistema de Sistema de Retroalimentar el
comité de Control
Control Interno. Control Interno. proceso para la
Interno.
5. Realizar el mejora continua
3. Sensibilizar y
diagnóstico del del Sistema de
capacitar el
Sistema de Control Interno.
Control Interno.
Control Interno.

Título: Etapas de implementación Sistema Control Interno.

Fuente: Elaboración para el curso.

IACC 2022 7
 Semana 8
Implementación de Sistemas de Control Interno

SITUACIÓN ACUAL DE
LA ORGANIZACIÓN
DEPARTAMENTOS
Procedimientos, INVOLUCRADOS
personas, Procedimientos y
departamentos e documentos.
informes.

RIESGOS EXISTENTES EN
LA ORGANIZACIÓN
Medición de su impacto y
probabilidad
(matriz de riesgo).
Controles para mitigar
riesgos.
Segregación de funciones de
los controles.

Título: Proceso de implementación Sistema Control Interno.

Fuente: Elaboración propia

2.1. SITUACIÓN ACTUAL DE LA ORGANIZACIÓN

Es importante que la estructura organizacional cuando se evalúa un sistema de control interno de una organización,
ya que requiere varias consideraciones para verificar que todas las operaciones sean eficientes, para así alcanzar
resultado favorable de acuerdo con las estructuras establecidas por la empresa.

1.1.1 PROCEDIMIENTOS, PERSONAS, DEPARTAMENTOS E INFORMES

• De cuántos departamentos se compone la organización.

• Cuántas personas trabajan en cada departamento, cuál es su cargo y las funciones dentro de este.
• Verificar si existe un manual de procedimientos. En caso de no existir, realizar entrevistas a los encargados
de cada proceso y registrar cuáles son los procedimientos de cada área, quiénes participan, qué documentos
se generan, cuáles son las autorizaciones que existen, etc. Se recomienda confeccionar flujogramas de
procesos.
• Identificar sistemas de información manual y/o computacional.
• Elaborar un informe con la información recopilada.

IACC 2022 8
 Semana 8
Implementación de Sistemas de Control Interno

2.2. DEPARTAMENTOS INVOLUCRADOS

Tal como se mencionaba anteriormente es necesario una adecuada estructura organizacional, así establecer
divisiones y departamentos funcionales, para la delegación de las responsabilidades y además de las políticas de
asignación de autoridad.

Es importante que el personal que se encuentre a cargo de ejecutar el sistema de control interno tenga integridad
para ejecutar los métodos y procedimientos para el logro de los objetivos de la organización.

2.2.1. PROCEDIMIENTOS Y DOCUMENTOS

Los documentos de los controles internos pueden ser de varias formas, tales como diagramas de flujo,
procedimientos, manuales de políticas, etc., y el alcance de éstos varían según la complejidad del área u organización.
Para documentar de manera eficiente los controles internos, es necesario comprender el flujo de las transacciones,
desde su inicio, como se registran, autorizan, procesan y se informan, identificando y documentando los riesgos
dentro de los procesos.
Esto es fundamental para tener control y respaldo documental por lo que debe implementarse procedimientos que
además cumplan de manera correcta con la responsabilidad, segregación de funciones, el archivo respaldatorio, no
impidan el flujo de información para agilizar y no entrabar los procesos de la organización para que cumplan con los
objetivos y metas de ésta.

2.3. RIESGOS EXISTENTES EN LA ORGANIZACIÓN

En esta etapa se deben identificar los riesgos existentes asociados a cada proceso, para posteriormente, crear los
controles para cada proceso.
Los riesgos se definen como la posibilidad de que algo sufra un daño, o que la amenaza afecte a los puntos débiles
de un sistema de control interno.
Estos puntos débiles corresponden a aquellos elementos de los sistemas de control interno que, al ser afectados por
amenazas, perjudican directamente la seguridad.
Como ejemplo de puntos débiles en los sistemas, se pueden nombrar los siguientes:

• Físicos: instalaciones inadecuadas, cableados desordenados, equipos no identificados.

• Hardware: equipos en malas condiciones, no hay políticas de conservación, no se actualizan.
• Software: incorrecta instalación de programas, sistemas operativos mal-configurados, correos spam,
navegadores de internet, política de antivirus inexistente.

IACC 2022 9
 Semana 8
Implementación de Sistemas de Control Interno

• Recurso humano: falta de capacitación a los usuarios respecto al uso de software y software, no
concientización de los sistemas de seguridad de información, inexistencia de políticas de contraseñas y
accesos restringidos.

Las amenazas corresponden a agentes que pueden atacar los puntos débiles de los sistemas de control interno
causando daños a los activos que estos resguardan y, a la vez, afectando a la empresa.
Existen distintos tipos de amenazas, entre las que se encuentran:

• Naturales: corresponden a sucesos sobre los cuales las empresas no tienen control, como, por ejemplo, los
terremotos, inundaciones, incendios, etc. Si bien las empresas cuentan con medidas de seguridad para
minimizar el impacto de estos sucesos, siempre existe la posibilidad de que estas amenazas recaigan en los
sistemas de información.
• Intencionales: son aquellos sucesos donde se evidencia la intencionalidad de un tercero, el cual puede ser
un agente interno, como, por ejemplo, un propio trabajador o un agente externo, como los hackers.
• Involuntarias: desconocimiento por parte los participantes de los procesos, lo que puede traer como
consecuencia, por ejemplo: modificaciones o eliminaciones de información fundamental para las empresas.

2.3.1. MEDICIÓN DE SU IMPACTO Y PROBABILIDAD

Los riesgos pueden ser calculados a través de una matriz, donde se mide la probabilidad de ocurrencia de un suceso
negativo en un proceso, y cuál es el impacto que puede causar.
La matriz de riesgo permite a los usuarios de esta, medir los niveles de prioridad de los riesgos, esto a través del
análisis de su probabilidad e impacto. De esta forma, aquellos riesgos que tengan más probabilidad de ocurrencia e
impactos altos serán los prioritarios y donde se generarán fuertes controles.

Matriz de Riesgo
Para elaborar una matriz con los riesgos es identificada por el auditor, persona o equipo que se encuentre
implementando el sistema de control interno, se debe dar una calificación numérica a cada rango de probabilidad o
impacto. Esta calificación, no es única (puede variar) y corresponde a la empresa o la persona que está asesorando
dar los valores de los niveles.

IACC 2022 10
 Semana 8
Implementación de Sistemas de Control Interno

Título: Matriz de Riesgo.

Fuente: IACC, AUDITORÍA Y CONTROL INTERNO, Implementación de un sistema de control
interno en la organización, Semana 8 (2018).

La empresa NIXA S.A. se encuentra elaborando una matriz de riesgos y para ello, determina los siguientes niveles
riesgos de probabilidad e impacto con sus respectivos valores.

Título: Matriz de Riesgo.

Fuente: IACC, AUDITORÍA Y CONTROL INTERNO, Implementación de un sistema de control
interno en la organización, Semana 8 (2018).

Con estos valores se realiza una tabla que nos permite dar una calificación numérica de prioridad a los riesgos.

Título: Matriz de Riesgo.

Fuente: IACC, AUDITORÍA Y CONTROL INTERNO, Implementación de un sistema de control
interno en la organización, Semana 8 (2018).

Entonces, si un riesgo tiene una probabilidad baja y un impacto alto, su calificación será de 3.
Se debe poner especial atención a aquellos riesgos que sean calificados en los rangos amarillos y sobre todo rojos.
Luego de realizar esta calificación, se puede realizar una matriz donde se identifique lo siguiente:

IACC 2022 11
 Semana 8
Implementación de Sistemas de Control Interno

1. Departamento al que afecta el riesgo.

2. Descripción del riesgo.
3. Efecto que puede producir.
4. Impacto (con su valor).
5. Probabilidad (con su valor).
6. Calificación.

Con esta matriz es posible llevar a cabo el proceso de identificación de riesgos y, además, su medición para realizar
la priorización de estos y continuar con la siguiente etapa.

Título: Matriz de Riesgo.

Fuente: IACC, AUDITORÍA Y CONTROL INTERNO, Implementación de un sistema de control
interno en la organización, Semana 8 (2018).

2.3.2. CONTROLES PARA MITIGAR RIESGOS

Una vez identificados los riesgos y medido su prioridad, es necesario crear controles que permitan minimizarlos.
Estos mecanismos constituyen el centro de un sistema de control interno, pues mediante ellos, se logra que los
objetivos de la empresa se concreten sin contratiempos.
Aquí es posible reconocer 3 tipos de controles a crear:

IACC 2022 12
 Semana 8
Implementación de Sistemas de Control Interno

• Preventivos: elaborados para evitar nuevos puntos débiles y amenazas. Por ejemplo, contar con sistema
dactilar para acceder a una sala donde se encuentra toda la información contable de la empresa en libros
empastados, logrando que solo accedan a esta información personas autorizadas.
• Perceptivos: corresponden a aquellos que van surgiendo en el instante mientras las operaciones siguen su
curso. Por ejemplo, los sistemas computarizados pueden ser programados para brindar al usuario una
respuesta inmediata si comete un error, o si se ha procesado una información equivocada, rechazando la
digitación.
• Correctivos: elaborados para corregir y eliminar los errores ya cometidos. Por ejemplo, si se filtró
información acerca de las remuneraciones en los departamentos de una empresa, debido a que no existe
restricción de accesos y la empresa trabaja a nivel macro con un Enterprise Resource Planning (ERP), lo que
debe hacer como acción correctiva, es crear diversos usuarios que posean distintos accesos y Es importante
tener en cuenta que cada riesgo que se identifique debe ser atendido con algún control para prevenirlo,
mitigarlo y en lo posible eliminarlo si es que el caso no pudo prevenirse.

Costos-beneficios de los controles establecidos

“El costo del control no puede ser superior al valor de lo que se controla” (Schuster, 1992, p. 138).

Esta afirmación es fundamental para comprender que, al momento de crear un control, se deben considerar los
aspectos de costos y beneficios que este control traerá. Determinar el valor de un control no es tarea fácil.
Un ejemplo de lo anterior, sería que el costo de las instalaciones, custodia y métodos de registro de las existencias
de diarios viejos no puede ser superior al valor de venta de dichos diarios como papel (Schuster, 1992).

Además, se debe tomar en cuenta la realidad de la empresa al momento de crear controles, por ejemplo: con cuánto
personal se dispone, si la empresa se encuentra en condiciones de desembolsar dinero en caso de requerir más
trabajadores, comprar algún software para automatizar procesos, o la implementación de autorizaciones
automáticas, etc.

Es recomendable crear los mejores controles en base a lo que la empresa puede acceder, porque si se crean y
recomiendan controles que suponen altos costos, aun cuando tengan varios beneficios, la empresa no los
implementará.

IACC 2022 13
 Semana 8
Implementación de Sistemas de Control Interno

2.3.3. SEGREGACIÓN DE FUNCIONES DE LOS CONTROLES ESTABLECIDOS

En esta etapa, de acuerdo con la información obtenida en la fase anterior, se analiza la segregación de funciones por
procedimiento, con el objetivo de evitar fraudes y violaciones del sistema de seguridad de la empresa, designando
las personas que realizan cada procedimiento para evitar que una misma persona realice más de un proceso crítico.
Un ejemplo de una incorrecta segregación de funciones es un procedimiento donde la persona que genera las
órdenes de compra sea el mismo que las apruebe y además reciba las facturas.
En el caso anterior la persona tendría libertad para elegir el proveedor que desee al momento de comprar, de definir
precios y, además, recibir los materiales comprados, pudiendo cometerse un fraude.
Es fundamental que los procedimientos sean realizados por personas diferentes, sobre todo aquellos en donde se
requieren autorizaciones. En estos casos, una persona debiese tener una determinada función, y otra debiese validar
mediante una autorización, pues no todo debe recaer sobre una persona.
La segregación de funciones debe analizarse y establecerse a raíz de la información recopilada en la primera etapa,
donde se definen departamentos, personas que trabajan en ellos, procedimientos por departamentos, manuales,
documentos, entrevistas, etc.
Mediante dicha información, es posible reconocer los procesos que requieren de autorizaciones y qué procesos son
susceptibles de fraudes. Es donde el auditor, conforme a su juicio, debe establecer cuál es la mejor forma de distribuir
al personal entre los distintos procesos presentes en la empresa.
Etapa de diseño de propuesta de control interno

Luego de haber realizado el diagnóstico, se analiza la situación y se puede comenzar a diseñar una propuesta de
control interno que considere los puntos de inflexión y los riesgos que se encuentran en el sistema actual y se
propongan controles, procedimientos, segregación de funciones con el objeto de prevenir, mitigar y eliminar los
riesgos detectados.
La propuesta se puede realizar por medio de un diagrama de flujo y su manual de procedimientos respectivos, los
que, deben ser autorizados para su posterior socialización e implementación por medio de un plan de trabajo.

Implementación del Sistema de Control Interno

En esta etapa, se ejecuta el plan de trabajo estableciendo las políticas y normativas del control que son necesarias
para salvaguarda de los objetivos de la organización; además, en los procesos críticos, previa individualización de los
objetivos y riesgos que amenazan el cumplimiento de los objetivos de la organización.
Cuando se implementa el sistema de control interno, aquellos que son responsables hacerse cargo de la
implementación deben garantizar su cumplimiento, a través del seguimiento continuo y el apoyo de la auditoría
interna.
En este punto es cuando se toman las acciones correctivas necesarias para hacer ajustes finales, para posteriormente
proceder a la a evaluación de los controles existentes asegurando la obtención de los análisis de los riesgos.

IACC 2022 14
 Semana 8
Implementación de Sistemas de Control Interno

Recordemos que todo debe ser planificado.

Etapa de evaluación y monitoreo

Como se ha indicado anteriormente cuando los objetivos están definidos, las amenazas, los riesgos y las medidas
preventivas, el personal responsable de verificar el cumplimento de las medidas y periodicidad debe supervisar el
plan de medidas que ayudan a dar cumplimiento a todas las observaciones detectadas, realizándose una verificación
a través del plan de mejoras continúas que cuenta la organización.
En esta etapa, las acciones orientadas están enfocadas al logro de un adecuado proceso de implementación del
sistema de control interno, que este sea eficaz en su funcionamiento, a través de la mejora continua.

IACC 2022 15
 Semana 8
Implementación de Sistemas de Control Interno

COMENTARIO FINAL

La evaluación periódica de los sistemas de control interno es fundamental para asegurar el cumplimiento de los
objetivos de las empresas, detectar desviaciones y corregir errores.
Esta evaluación permite ir mejorando constantemente los procesos y anticiparse a posibles fraudes. Además, esta
evaluación realizada por auditores externos permite asegurar un grado razonable de confiabilidad al momento de
realizar la planificación sobre la auditoría de los estados financieros.
Es importante seguir la metodología vista durante esta semana para la evaluación de sistemas de control interno, ya
que el paso a paso permite que el examen sea seguro y proporciona a los profesionales la suficiente información
para realizar recomendaciones a las empresas.

IACC 2022 16
 Semana 8
Implementación de Sistemas de Control Interno

REFERENCIAS

Aguirre, Juan. (1998). Control interno, áreas específicas de implantación, procedimiento y control. Madrid, España:
Cultural de Ediciones S.A.

Schuster, J. (1992). Control Interno. Buenos Aires, Argentina: Ediciones Macchi.

Mantilla Blanco, S. A. (2018). Auditoría del Control Interno (4a. ed.). Ecoe Ediciones.
https://elibro.net/es/ereader/iacc/70533

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2022). Implementación de sistemas de control interno. Auditoría y Control Interno. Semana 8.

IACC 2022 17