1UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

FACULTAD DE CIENCIAS ECONÓMICAS

ESCUELA DE CONTADURÍA PÚBLICA Y AUDITORÍA

CURSO: SEMINARIO DE INTEGRACIÓN PROFESIONAL

LIC. CARLOS ROBERTO MAURICIO GARCÍA

SALÓN: 211 S/12

GRUPO NO. 5

TRABAJO DE INVESTIGACIÓN NO. 25

MATRICES DE RIESGOS - GESTIÓN DE RIESGOS

GUATEMALA, 24 DE FEBRERO DE 2023.

 UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

FACULTAD DE CIENCIAS ECONOMICAS

ESCUELA DE CONTADURIA PÚBLICA Y AUDITORÍA

CURSO: SEMINARIO DE INTEGRACIÓN PROFESIONAL

LIC. CARLOS ROBERTO MAURICIO GARCÍA

AUX. MARIVEL VALENZUELA

No. CARNÉ NOMBRES Y APELLIDOS PARTICIPACIÓN

1 200514033 Mywer Johanna Guzmán Morales 100%

2 201111386 Edwin René Guay Ajsoc 100%

3 201216185 Karen Ivonne Ardiano Vásquez 100%

4 201612774 Marvin Antonio Morales Muñoz 100%

5 201613192 José Alejandro Rivas Paredes 100%

6 201616882 María Filomena Pelicó Ixcoy 100%

7 201617048 Griselda Xiomara Tereta Cumez 100%

8 201704556 Edwin Roberto Arias Hernández 100%

9 201704667 Gema Carolina Guox Culajay 100%

10 201709880 Franky Omar González Hernández 100%

COORDINADOR:

201704556edwinarias@gmail.com Teléfono: 4277-4227

Edwin Roberto Arias Hernández

Introducción

El buen desempeño de una administración de negocios o corporativa depende en

gran medida de la eficacia de los controles internos implementados y del personal
que los lleva a cabo; sin embargo, existe el riesgo de que éstos no sean
desarrollados adecuadamente, creando un ambiente propicio en una empresa
para la generación de pérdidas, fraudes, sanciones regulatorias y fiscales entre
otros resultados negativos.

La evaluación oportuna y la respuesta que ayude a mitigar y buscar soluciones a

los riesgos detectados son componentes claves para que la compañía continúe
sus operaciones adecuadamente. En la actualidad se cuenta con una herramienta
de trabajo para evaluar el control interno que podría ser utilizada por la auditoría
interna de una entidad o empresa, conocida como metodología modelo COSO
ERM, por sus siglas en inglés (Comité de Organizaciones Patrocinadas; Gestión
Empresarial de Riesgos, COSO ERM o COSO ll), permite a través del análisis de
la estructura, evaluación y ejecución del control interno de una empresa, medir los
riesgos que la entidad tiene de seguir operando con sus actuales políticas y
controles; además, evalúa si está encaminada a cumplir con los objetivos de
negocio propuestos por la administración.

Cabe mencionar que la auditoría interna juega un papel protagónico en la

implementación del modelo COSO dentro de las empresas y organizaciones por
ser el asesor directo y el encargado de velar por la implementación del mismo.

El propósito del presente trabajo, es que pueda ser de ayuda o como una
herramienta alternativa de consulta y apoyo para conocer el uso y aplicación del
informe modelo COSO ERM por parte del Contador Público y Auditor, en el
ejercicio de su profesión dentro de las entidades que deseen fortalecer su control
interno.

AUDITORIA INTERNA

1.1 Definición de auditoria

Auditoría interna es una actividad independiente y objetiva de aseguramiento y
consulta concebida para agregar valor y mejorar las operaciones de una
organización. Ayuda a una organización a cumplir sus objetivos aportando un
enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los
procesos de gestión de riesgos, control y gobierno.

Contar con un sistema de control dentro de la gestión de riesgos te permite vigilar

y monitorear el funcionamiento correcto de los procesos. Existen diferentes tipos
de auditorías, pero es la auditoría interna la que se enfoca en el cumplimiento de
los objetivos de la organización. Esta actividad se hace de manera independiente
con el fin de generar valor y mejorar las operaciones del negocio. 

1.2 Importancia de la auditoría interna

La auditoría interna es una actividad de evaluación independiente y objetiva para
agregar valor y mejorar las operaciones contables, financieras y administrativas de
una organización, ayudándole a cumplir sus objetivos, por medio de la evaluación
y mejora de la eficacia de sus procesos, proporcionando así un servicio efectivo a
los más altos niveles de la administración.

1.3 Auditor interno

El auditor interno es la persona que se encarga de llevar a cabo auditorías dentro
de la institución, forma parte de la empresa, conoce su dinámica de trabajo y tiene
el rol de garantizar que todos los procesos que esta realice sean ordenados y se
encuentren dentro del marco que las leyes guatemaltecas establecen.

1.3.1. Conocimientos y experiencia

El conocimiento específico, teórico y práctico, de la profesión, evidentemente es

muy importante. Para poder llevar a cabo una buena labor profesional en un
determinado puesto, la persona designada deberá contar con los conocimientos y
habilidades necesarios para poder llevar a cabo dicha labor. Las competencias y
habilidades de un profesional se pueden definir como un conjunto de recursos
personales que entran en juego en la ejecución de una determinada actividad
laboral. Esto englobaría a habilidades, conocimientos, destrezas y
comportamientos.

1.3.2. Alcance de la auditoria

Se conoce como alcance de auditoria la profundidad que tiene un arbitraje
realizado según los objetivos que se quieran buscar. Así se realizan por diversos
motivos: detectar un fraude dentro de una empresa, el incumplimiento normativo,
así como otros.

Esto se debe que su alcance presenta un significado diferente según las personas
que están encargadas de realizar la auditoria, y la razón que existe detrás. Así
conocer que es el alcance de la auditoria, es muy importante pues va desde lo
más simple hasta lo más complejo, así como elaborar diversos volúmenes de
documentos de la empresa.

En base a esto, se definen los procedimientos considerados necesarios para

lograr los objetivos de la auditoria, y se debe determinar por el mismo auditor.
Todo esto, teniendo en cuenta las diversas normas nacionales o internacionales
presentes en la auditoria.

Es importante saber que es el alcance de la auditoría interna, pues incluyen los

exámenes y la evaluación del sistema de control interno de las empresas. Así
como su forma eficaz sobre el cumplimiento de las diferentes actividades que son
asignadas en las mismas, también:

 Permite que se pueda evaluar, revisar, validar, la calidad de la aplicación

sobre los controles financieros y operativos de la empresa, desarrollando un
efectivo control.
 Ayudar y asegurarse que las políticas, los programas y procedimientos
formados por la empresa u organización se cumplan.
 Estar seguros de que los activos se encuentran registrados debidamente
por las perdidas.
  Asegurar la información para que sea utilizada de manera responsable.
 Evaluar la eficacia y calidad sobre la ejecución de las actividades
asignadas.
 Asesorar las mejoras dentro de las organizaciones.
 Ayudar e identificar los ahorros y valores potenciales, así como el impacto
que puede producir su resultado financiero.
 Revisar de forma correcta las recomendaciones, y sugerencias presentes
en la auditoria.

1.4. Objetivos que persigue la auditoría interna

Pese a que la función de la auditoria interna presenta responsabilidades sobre
emitir los informes y las recomendaciones, no se pueden tomar medidas
operativas. Teniendo en cuenta esto y conociendo qué es el alcance de la
auditoria, se deben destacar sus objetivos:

 Actuar con independencia sobre las acciones y los criterios de los órganos
en las empresas para el cumplimiento de los objetivos, desempeños y
funciones.
 Desarrollar su cometido en todas las áreas establecido en el programa
anual de auditoria-
 Acceder a la empresa y garantizar todas las fuentes de información de la
organización y compañía.
 Recibir las normas e instrucciones al funcionamiento de la compañía, y
observar que se cumplan de forma obligatoria.
 Colaborar con los diferentes órganos de los sistemas y procedimientos para
tener una gran eficacia en las diferentes prácticas de gestión.
 Solicitar colaboración en cualquier departamento de las empresas para
lograr los objetivos.

1.5. Normas internacionales para el ejercicio profesional de la auditoría

1.5.1 Normas sobre atributos

Las Normas de Atributos trata acerca de las características de las organizaciones
y las personas de desarrollan actividades de auditoría interna.

La actividad de auditoría interna debe estar definida en un estatuto, conforme a

políticas establecidas por la máxima autoridad. Los objetivos, funciones, autoridad
y responsabilidad de una Dirección o Gerencia de Auditoría Interna deben estar de
conformidad con las Normas de Auditoría Interna y estar aprobadas por el Consejo
o Máxima Autoridad. Los servicios de aseguramiento proporcionados a la
organización, ente o empresa, o prestados a terceros, ajenos a la organización,
deben estar definidos en el estatuto de auditoría. Asimismo, si auditoría interna
presta servicios de consultoría, esta actividad también debe estar definida en el
estatuto. Es de hacer notar que, en la actividad de auditoría interna, no existen
limitaciones en el alcance del trabajo, por lo que esta situación debe exponerse en
el estatuto de auditoría interna. El estatuto de la función de auditoría interna es un
documento formal escrito, el cual debe contemplar entre otros, los siguientes
aspectos:

 Funciones, autoridad y responsabilidad.

 Posición de la Dirección o Gerencia dentro de la estructura organizativa.

 Estructura organizativa de la Dirección o Gerencia de Auditoría Interna.

 Debe exponerse que, al realizar las auditorías, se tiene acceso a los

registros, al personal y a los activos o bienes de la organización o ente.

1.5.2. Normas sobre desempeño

El director o Gerente de Auditoría Interna debe procurar que las actividades

realizadas por su unidad generen valor agregado o mejoras a los procesos. De allí
que, cuando establece el Plan Operativo Anual, debe considerar los riesgos
inherentes a los procesos de la organización y determinar prioridades en la
actividad de auditoría interna para el desarrollo de las mismas. En la elaboración
de este plan, también debe considerarse los trabajos de consultoría solicitados por
las unidades administrativas o máxima autoridad.

El Plan Operativo Anual y los requerimientos de recursos (Financieros, de

Personal y Materiales) deben ser comunicados a la máxima autoridad para su
revisión y aprobación. Asimismo, debe comunicarse el impacto que tendría en el
desarrollo de las actividades de auditoría interna por cualquier limitación en los
recursos solicitados. Si existen cambios eventuales importantes, también deben
ser informados a la máxima autoridad para su aprobación y conocimiento. La
programación, el plan de desarrollo profesional y el presupuesto de la Dirección o
Gerencia de Auditoría Interna darán una idea a la alta dirección de las actividades
que realizarán.

El titular de auditoría interna debe procurar que los recursos aprobados sean
adecuados y suficientes: para cumplir con el Plan Operativo Anual y el desarrollo
profesional del personal. El director o Gerente de Auditoría Interna debe informar
periódicamente a la alta dirección o máxima autoridad, sobre el desempeño de la
actividad de auditoría interna. Esta información debe contemplar entre otros
aspectos la ejecución del programa de trabajo o Plan Operativo Anual, los riesgos
relevantes y aspectos de controles importantes que deben ser corregidos (Público,
2004).

2. MODELO COSO
2.1 Definición

COSO (Committee of Sponsoring Organizations of the Tradeway Commission) es

una organización compuesta por organismos privados, establecida en los EEUU,
dedicada a proporcionar un modelo común de orientación a las entidades sobre
aspectos fundamentales de:

 gestión ejecutiva y de gobierno,

 ética empresarial,
 control interno,
  gestión del riesgo empresarial,
 control del fraude, y
 presentación de informes financieros.

2.2 Objetivos del modelo COSO

Uno de los principales objetivos del modelo COSO se encuentra en “Proporcionar
liderazgo intelectual a través del desarrollo de marcos generales y orientaciones
sobre la Gestión del Riesgo, Control Interno y Disuasión del Fraude, diseñado
para mejorar el desempeño organizacional y reducir el alcance del fraude en las
organizaciones.”1

Para los efectos de Auditoría Interna, el modelo COSO se considera que puede
servir como base para elaborar cuestionarios de control interno, evaluación de
riesgos, guías de auditoría, etc. a ser utilizadas principalmente en las evaluaciones
de auditoría operacional. El contar con este modelo de control interno brinda
varios beneficios que se pueden enumerar a continuación:

 Es un enfoque sistemático de una empresa genérica lo cual permite

asegurar que quedan aspectos importantes sin considerar en los estudios
realizados.
 Permite a las jefaturas delimitar con mayor precisión los alcances de los
estudios a realizar, haciendo referencia a los contenidos de los
macroprocesos y los objetivos de control interno del modelo.
 El analista que realiza el estudio cuenta con guías y cuestionarios básicos
que le sirven como punto de partida para la realización del estudio, lo cual
garantiza una cobertura mínima de aspectos importantes en el área
auditada.
 El analista ahorra tempo al contar con guías y cuestionarios de control
prefabricados, impidiendo que se pierda tiempo en inventarlo todo desde
cero en cada estudio.

1
Metodología de Supervisión del Office of Superintendent of Financial Institutions (OSFI) del Canadá y del
Banco de España.
  Se dispone de una metodología de control que es un estándar internacional
ampliamente reconocido, lo cual aumenta la confiabilidad y credibilidad del
trabajo realizado.

2.3 Cambios y desarrollo de COSO

Evolución del Modelo COSO:

1992: publicación del Internal Control – Integrated Framework (Informe COSO o

COSO I), como un marco integrado para ayudar a las empresas a evaluar y
mejorar sus sistemas de control interno.

2004: se publica el Modelo COSO ERM (Enterprise Risk Management –

Integrated Framework) o COSO II, permitiendo a las compañías mejorar su
gestión de control interno mediante un proceso más completo de gestión del
riesgo.

2013: publicación del modelo COSO III, actualizado en el modelo COSO ERM

2017, que mejora el Marco Integrado para permitir una mayor cobertura de los
riesgos a los que se enfrentan las organizaciones.

2.4 Relación entre Componentes y Principios

2.4.1 Ambiente de control
1. La organización demuestra compromiso por la integridad y valores éticos.
2. El Consejo de Administración demuestra una independencia de la
administración y ejerce una supervisión del desarrollo y el rendimiento de los
controles internos.
3. La Administración establece, con la aprobación del Consejo, las estructuras,
líneas de reporte y las autoridades y responsabilidades apropiadas en la
búsqueda de objetivos.
4. La organización demuestra un compromiso a atraer, desarrollar y retener
personas competentes en alineación con los objetivos.
5. La organización retiene individuos comprometidos con sus
responsabilidades de control interno en la búsqueda de objetivos
2.4.2 Valoración de Riesgos
1. La organización especifica objetivos con suficiente claridad para permitir la
identificación y valoración de los riesgos relacionados a los objetivos.
2. La organización identifica los riesgos sobre el cumplimiento de los objetivos
a través de la entidad y analiza los riesgos para determinar cómo esos
riesgos deben de administrarse.
3. La organización considera la posibilidad de fraude en la evaluación de
riesgos para el logro de los objetivos.
4. La organización identifica y evalúa cambios que pueden impactar
significativamente al sistema de control interno.

2.4.3 Actividades de control

1. La organización elige y desarrolla actividades de control que contribuyen a la
mitigación de riesgos para el logro de objetivos a niveles aceptables.
2. La organización elige y desarrolla actividades de control generales sobre la
tecnología para apoyar el cumplimiento de los objetivos.
3. La organización despliega actividades de control a través de políticas que
establecen lo que se espera y procedimientos que ponen dichas políticas en
acción.

2.4.4 Información y Comunicación

1. La organización obtiene o genera y usa información relevante y de calidad
para apoyar el funcionamiento del control interno.
2. La organización comunica información internamente, incluyendo objetivos y
responsabilidades sobre el control interno, necesarios para apoyar
funcionamiento del control interno.
3. La organización se comunica con grupos externos con respecto a
situaciones que afectan el funcionamiento del control interno.
2.4.5 Actividades de Monitorio

1. La organización selecciona, desarrolla, y realiza evaluaciones continuas y/o

separadas para comprobar cuando los componentes de control interno están
presentes y funcionando.
2. La organización evalúa y comunica deficiencias de control interno de
manera adecuada a aquellos grupos responsables de tomar la acción
correctiva, incluyendo la Alta Dirección y el Consejo de Administración,
según sea apropiado.

2.5 COSO II o ERM

La gestión de riesgos empresariales (ERM – Enterprise Risk Management, por sus

siglas en inglés) es una estrategia empresarial basada en planes que tiene como
objetivo identificar, evaluar y prepararse para cualquier riesgo o evento que pueda
afectar, tanto positiva como negativamente, a las operaciones y los objetivos de
una organización.

El objetivo del ERM es evaluar los riesgos relevantes para la compañía

(financieros, estratégicos y operativos), priorizar esos riesgos y tomar decisiones
informadas sobre cómo manejarlos. Los planes de gestión de riesgos que crean
estiman el impacto de varias amenazas y describen las posibles respuestas si uno
de estas amenazas se materializa.

El Marco de COSO 2013 mantiene la definición de Control Interno y los cinco

componentes de control interno, pero al mismo tiempo incluye mejoras y
aclaraciones con el objetivo de facilitar el uso y su aplicación en las Entidades. A
través de esta actualización, COSO propone desarrollar el marco original,
empleando "principios" y "puntos de interés" con el objetivo de ampliar y actualizar
los conceptos de control interno previamente planteado sin dejar de reconocer los
cambios en el entorno empresarial y operativo.
A través de esta actualización, COSO propone desarrollar el marco original
mediante:

• Inclusión de diecisiete principios de control que representan el elemento

fundamental asociados a cada componente del control y que estos deben de estar
operando en forma conjunta.

• Proporciona "puntos de enfoque", o características importantes de los principios;

al tiempo que reconoce que el diseño y la implementación de controles relevantes
para cada principio y componente, requiere de juicio y serán diferentes de acuerdo
a la organización.

• Responsabiliza a la administración quien deberá asegurar que cada uno de los

componentes y principios relevantes del control interno deben estar presente y en
funcionamiento con el fin de contar con un sistema eficaz de control interno.

• Concluyendo que una deficiencia importante en un componente o principio de

control no se puede mitigar con eficacia por la función de otros componentes y
principios de control.

2.6 Aspectos base para la implementación del modelo COSO

Auditoría interna es totalmente independiente y evaluará en forma constante la
eficiencia y eficacia de los procedimientos que se están desarrollando para la
Gestión de Riesgos.

Los pasos por seguir para iniciar con la aplicación del nuevo enfoque de COSO
serian:

 Estudiarlo y entenderlo
 Evaluar el estado actual
 Definir un plan de implementación
 Comunicarlo en la organización
2.6.1 Cuestionario para la evaluación del Control Interno bajo el modelo
COSO
Para la ejecución del trabajo de auditoría y evaluar el control interno se utilizan
cuestionarios enfocados y profesionalmente realizados, los cuales deben tener o
llegar en términos generales los aspectos siguientes:

* Evaluar por medio de cuestionados y otras herramientas disponibles cada uno de

los componentes del control interno, a fin de proponer a la gerencia un diagnóstico
en base al modelo COSO.

* Proponer recomendaciones integrales que le permitan a la administración 31

canalizar los esfuerzos hacia ¡os componentes identificados como débiles dentro
de su operación.

* Probar los controles para determinar si éstos mitigan el riesgo de no lograr los
objetivos propuestos por la administración, en su defecto recomendar la
implementación de controles eficientes.

Figura No. 1

Cuestionario de control interno bajo modelo COSO

Fuente: Control Interno COSO ERM Francisco Joel Rojas Salazar
https://es.scribd.com/document/511367511/Cuestionario-de-Control-Interno-
Metodo-COSO-II-PARMALAT

2.6.2 Matrices de riesgos, evaluación y soporte de la gestión de riesgo

2.6.2.1 Matriz de Riesgo
Una matriz de riesgo constituye una herramienta de control y de gestión
normalmente utilizada para identificar las actividades (procesos y productos) más
importantes de una empresa, el tipo y nivel de riesgos inherentes a estas
actividades y los factores exógenos y endógenos relacionados con estos riesgos
(factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la
efectividad de una adecuada gestión y administración de los riesgos financieros
que pudieran impactar los resultados y por ende al logro de los objetivos de una
organización.

La matriz debe ser una herramienta flexible que documente los procesos y evalúe
de manera integral el riesgo de una institución, a partir de los cuales se realiza un
diagnóstico objetivo de la situación global de riesgo de una entidad. Exige la
participación activa de las unidades de negocios, operativas y funcionales en la
definición de la estrategia institucional de riesgo de la empresa. Una efectiva
matriz de riesgo permite hacer comparaciones objetivas entre proyectos, áreas,
productos, procesos o actividades. Todo ello constituye un soporte conceptual y
funcional de un efectivo Sistema Integral de Gestión de Riesgo.
A partir de los objetivos estratégicos y plan de negocios, la administración de
riesgos debe desarrollar un proceso para la “identificación” de las actividades
principales y los riesgos a los cuales están expuestas; entendiéndose como riesgo
la eventualidad de que una determinada entidad no pueda cumplir con uno o más
de los objetivos.

Figura No. 2

Fases de la elaboración de una matriz de riesgo

Fuente: El portal de los expertos en prevención de riesgos de Chile

https://www.sigweb.cl/wp-content/uploads/biblioteca/MatrizdeRiesgo.pdf

2.7 Clasificación del riesgo según el modelo COSO

Una vez establecidas todas las actividades, se deben identificar las fuentes o
factores que intervienen en su manifestación y severidad, es decir los llamados
“factores de riesgo o riesgos inherentes”. El riesgo inherente es intrínseco a toda
actividad, surge de la exposición y la incertidumbre de probables eventos o
cambios en las condiciones del negocio o de la economía que puedan impactar
una actividad. Los factores o riesgos inherentes pueden no tener el mismo impacto
sobre el riesgo agregado, siendo algunos más relevantes que otros, por lo que
surge la necesidad de ponderar y priorizar los riesgos primarios. Los riesgos
inherentes al negocio de las entidades financieras pueden ser clasificados en
riesgos crediticios, de mercado y liquidez, operacionales, legales y normativos
estratégicos2

Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el

proceso del trabajo de estimar la probabilidad de riesgo. Al respecto, debe notarse
que, si bien la valoración de riesgo contenida en una matriz de riesgo es
mayormente de tipo cualitativo, también se utiliza un soporte cuantitativo basado
en una estimación de eventos ocurridos en el pasado, con lo cual se obtiene una
mejor aproximación a la probabilidad de ocurrencia del evento.

La valorización consiste en asignar a los riesgos calificaciones dentro de un rango,

que podría ser, por ejemplo:

de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta (5)

Dependiendo de la combinación entre impacto y probabilidad. En la siguiente

gráfica se puede observar un ejemplo de esquema de valorización de riesgo en
función de la probabilidad e impacto de tipo numérico con escala:

Figura No. 3

Valoración de riesgo inherente

Fuente: El portal de los expertos en prevención de riesgos de Chile

https://www.sigweb.cl/wp-content/uploads/biblioteca/MatrizdeRiesgo.pdf

2
Metodología de Supervisión del Office of Superintendent of Financial Institutions (OSFI) del Canadá y del
Banco de España.
2.8 Evaluación del riesgo
Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de
la gestión”, a fin de determinar cuán eficaces son los controles establecidos por la
empresa para mitigar los riesgos identificados. En la medida que los controles
sean más eficientes y la gestión de riesgos pro-activa, el indicador de riesgo
inherente neto tiende a disminuir. Por ejemplo, una escala de valoración de
efectividad de los controles podría ajustarse a un rango similar al siguiente:

Control Efectividad
Ninguno 1
Bajo 2
Medio 3
Alto 4
Destacado 5

Finalmente, se calcula el “riesgo neto o residual”, que resulta de la relación entre

el grado de manifestación de los riesgos inherentes y la gestión de mitigación de
riesgos establecida por la administración. A partir del análisis y determinación del
riesgo residual los administradores pueden tomar decisiones como la de continuar
o abandonar la actividad dependiendo del nivel de riesgos; fortalecer controles o
implantar nuevos controles; o finalmente, podrían tomar posiciones de cobertura,
contratando por ejemplo pólizas de seguro. Esta decisión está delimitada a un
análisis de costo beneficio y riesgo. En el siguiente cuadro se muestra un ejemplo
para calcular el riesgo neto o residual utilizando escalas numéricas de posición de
riesgo.

Figura No. 4

Riesgo Neto o Residual en escalas numéricas

Fuente: El portal de los expertos en prevención de riesgos de Chile
https://www.sigweb.cl/wp-content/uploads/biblioteca/MatrizdeRiesgo.pdf

3. Componentes del modelo coso ERM

Existe una relación directa entre los objetivos, que la entidad desea lograr y los
componentes de la gestión de riesgos corporativos, que representan lo que hace
falta para lograr aquellos. La relación se representa con una matriz tridimensional,
en forma de cubo (Commission, 2005).

Los componentes de la administración de riesgos corporativos del modelo COSO

está representado por medio de un cubo compuesto por:

 Cuatro categorías de objetivos.

 Ocho componentes.
 La entidad y sus unidades.

FIGURA 5

Componentes de la administración de riesgos corporativos Modelo COSO

Imagen basada del documento COSO II Internal Control Integrated Framework,
versión 2013

Las cuatro categorías de objetivos (estrategia, operaciones, información y

cumplimiento) están representadas por las columnas verticales. Los ochos
componentes están representados por las filas horizontales. La entidad y sus
unidades están representadas por la tercera dimensión del cubo.

Los ocho componentes del COSO II están interrelacionados entre sí, alineados
con los cuatro objetivos, en donde se consideran las actividades en todos los
niveles de la organización.

3.1 Propósito de los componentes del modelo COSO

El propósito de los componentes del modelo COSO está orientado a establecer

una definición común de control interno y proveer una guía para la creación y el
mejoramiento de la estructura de control interno de las entidades. Así como
desarrollar marcos y orientaciones generales sobre el control interno, la gestión
del riesgo empresarial y la prevención del fraude, diseñados para mejorar el
desempeño organizacional y la supervisión, y reducir el riesgo de fraude en las
organizaciones.
3.2 Componentes del modelo COSO ERM

La gestión de riesgos corporativos consta de ocho componentes interrelacionados,

derivados de la manera como la dirección lleva el negocio, que se integran en el
proceso de gestión. Estos componentes son:

3.2.1 Ambiente Interno

El ambiente interno abarca el talante de una organización, que influye en la

conciencia de sus empleados sobre el riesgo y forma la base de los otros
componentes de la gestión de riesgos corporativos, proporcionando disciplina y
estructura.

Es la base fundamental para los otros componentes del COSO ERM, dando
disciplina y estructura. Incide en:

 El modo en que las estrategias y objetivos son establecidos, las actividades

del negocio son estructuradas e identifican y evalúan los riesgos, y actúa
sobre ellos.
 Incide en la concientización del personal, respecto del riesgo y el control.
 Influye en estrategia y objetivos, actividades de negocio, riesgos
identificados, evaluación de riesgos y acciones sobre éstos.
 Influye en el diseño de actividades de control, sistemas de información y
comunicación, y supervisión de actividades.
 Aquí es donde las metas establecidas por la Alta Dirección, la filosofía,
apetito y cultura de riesgo también emanados de la Dirección, integra a
ERM con todas las actividades relacionadas.

Este componente enmarca el tono de la organización influenciado la conciencia

del riesgo de su personal. Es la base del resto de los componentes y provee
disciplina y estructura. Este componente establece:

 Una filosofía de gestión integral de riesgo que es el conjunto de creencias y

actitudes compartidas que caracterizan cómo se contempla el riesgo en
ella, desde el desarrollo e implantación de la estrategia hasta sus
 actividades cotidianas. Refleja los valores de la entidad, influye en su
cultura y estilo operativo y afecta a cómo se aplican los componentes de
dicha gestión, incluyendo la identificación de riegos, los tipos de riesgo
aceptados y cómo son gestionados.
 Nivel de riesgo que una entidad está dispuesta a aceptar en su búsqueda
de valor.
 El grado de implicación y supervisión de las actividades y la adecuación
de sus acciones del consejo de administración en la gestión integral del
riesgo.
 La integridad y los valores éticos, dado que la reputación de una entidad es
tan valiosa, las normas de conducta deben ir más allá del mero
cumplimiento de la ley.
 Una estructura organizacional de gestión integral del riesgo.
 La asignación de autoridad y responsabilidad que implica el establecimiento
de relaciones de información y protocolos de autorización, además de
políticas que describan las prácticas empresariales adecuadas.
 Estándares de recursos humanos, habilidad y competencia de los
empleados. La dirección establece los niveles de competencia para trabajos
concretos y los transforma en conocimientos y habilidades requeridos.

3.2.2 Establecimiento de Objetivos

Es la condición previa para la identificación de eventos, la evaluación de riesgos y

la repuesta a ellos. Tienen que existir primero los objetivos para que la dirección
pueda identificar y evaluar los riesgos que impiden su consecución y adoptar
medidas para administrar dichos riesgos.

La gestión integral del riesgo se asegura que la gerencia cuente con un proceso
para definir objetivos que estén alineados con la misión y visión, con el apetito del
riesgo y niveles de tolerancia.

Los objetivos se clasifican en cuatro categorías:

  Estratégicos: Se refieren a lo que se aspira alcanzar. Sea “misión”,
“visión”, o finalidad. Reflejan la opción que ha elegido la dirección en cuanto
a cómo la entidad creará valor para sus grupos de interés.
 Operativos: Corresponden con la efectividad y eficiencia de las
operaciones de la entidad, incluyendo los objetivos de rendimiento y
rentabilidad y de salvaguarda de recursos frente a pérdidas.
 De reporte o información: Relativos a la confiabilidad de reportes.
Incluyen reportes internos y externos y deben involucrar la información
financiera y no financiera. Una información fiable proporciona a la dirección
datos seguros y completos, adecuados para la finalidad pretendida, y la
presta apoyo en su toma de decisiones y en el seguimiento de las
actividades y rendimientos de la entidad.
 De cumplimiento: Se refieren al cumplimiento de leyes y regulaciones
relevantes. dependen de factores externos y tienden a ser similares entre
entidades, en algunos casos, y sectorialmente, en otros.

3.2.3 Identificación de Eventos

Un evento es un incidente o acontecimiento, derivado de fuentes internas o

externas, que afecta a la implantación de la estrategia o la consecución de
objetivos. Los eventos pueden tener un impacto positivo, negativo o de ambos
tipos a la vez.

Son muchos los factores externos e internos que provocan eventos que afectan a
la implantación de la estrategia y la consecución de objetivos.

Los factores externos, junto con ejemplos de eventos relacionados y

sus implicaciones, incluyen los siguientes:

 Económicos
Eventos tales como los cambios de precios, la disponibilidad de capital o
unas menores barreras a la entrada de la competencia, que generan
mayores o menores costes de capital y competidores nuevos.
  Medioambientales
Incluyen las inundaciones, incendios y terremotos, que provocan daños
a las instalaciones o edificios, un acceso restringido a las materias primas o
la pérdida de capital humano.

 Políticos
Incluyen la elección de gobiernos con nuevos programas políticos, leyes y
normas, que provocan, por ejemplo, nuevas restricciones o aperturas en
el acceso a merca-dos extranjeros o impuestos mayores o menores.

 Sociales
Relacionados con los cambios demográficos, costumbres sociales,
estructuras familiares, prioridades trabajo/ocio y actividades terroristas,
que tienen como resultado cambios en la demanda de productos y
servicios, nuevos puntos de venta, aspectos relacionados con recursos
humanos y paros en la producción.

 Tecnológicos
Relativos a los nuevos medios de comercio electrónico, que generan una
mayor disponibilidad de datos, reducciones de costes de infraestructura y
un mayor aumento en la demanda de servicios basados en la tecnología.

Los eventos también se derivan de las decisiones de la dirección respecto a cómo

se producirán. La aptitud y capacidad de una entidad para reflejar las decisiones
previas influye en los acontecimientos futuros y afecta a las decisiones de la
dirección. Los factores internos, junto con ejemplos de eventos relacionados y sus
implicaciones, incluyen los siguientes:

 Infraestructura
 Eventos como el incremento de asignación de capital para mantenimiento
preventivo y el apoyo a los centros de atención a clientes reducen el tiempo
de inactividad del equipo y se mejora la satisfacción del cliente.

 Personal
Eventos como los accidentes laborales, las actividades fraudulentas y el
vencimiento de convenios colectivos, causan pérdidas de personal
disponible o monetarias, daños de imagen y paros en la producción.

 Procesos
Eventos como la modificación de procesos sin adecuados protocolos para
la gestión de los cambios, los errores en su ejecución y la externalización
de entregas al cliente con un control insuficiente, provocan pérdidas de
cuota de mercado, ineficiencias e insatisfacción y pérdidas de clientes.

 Tecnología
Eventos como el aumento de recursos para gestionar la volatilidad de
volumen, los fallos de seguridad y la potencial caída de los sistemas dan
lugar a atrasos en la producción, transacciones fraudulentas e incapacidad
para continuar las operaciones del negocio.

La metodología de identificación de eventos de una entidad puede comprender

una combinación de técnicas, junto con herramientas de apoyo. Por ejemplo,  la
dirección puede usar talleres interactivos de trabajo como parte de dicha
metodología, con un monitor que emplee alguna herramienta tecnológica para
ayudar a los participantes.

Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez.
Los de signo negativo representan riesgos, que requieren la evaluación y
respuesta de la dirección. Por tanto, un riesgo es la posibilidad de que ocurra un
evento que afecte de modo adverso a la consecución de objetivos.
Los eventos de signo positivo representan oportunidades, que compensan los
impactos negativos de los riesgos. Una oportunidad es la posibilidad de que ocurra
un evento que afecte positivamente a la consecución de objetivos y la creación de
valor.

3.2.4 Evaluación de Riesgos

La evaluación de riesgos permite a una entidad considerar la amplitud con que los
eventos potenciales impactan en la consecución de objetivos.

La dirección evalúa estos acontecimientos desde una doble perspectiva,

probabilidad e impacto- y normalmente usa una combinación de métodos
cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos
potenciales deben examinarse, individualmente o por categoría, en toda la
entidad. Los riesgos se evalúan con un doble enfoque: riesgo inherente y riesgo
residual.

 Riesgo inherente: al que se enfrenta en ausencia de acciones de la

dirección para modificar su probabilidad.
 Riesgo residual: es el que permanece después de que la dirección
desarrolle sus respuestas a los riesgos.

La incertidumbre de los eventos potenciales se evalúa desde dos perspectivas

probabilidad e impacto. La primera representa la posibilidad de que ocurra un
evento determinado, mientras que la segunda refleja su efecto.

Las estimaciones de la probabilidad del riesgo y su impacto se determinan usando

datos procedentes de eventos anteriores observables, que proporcionan una base
más objetiva que las estimaciones totalmente subjetivas. Los datos generados
internamente a partir de la experiencia propia de la entidad pueden reflejar un
menor sesgo subjetivo personal y proporcionan mejores resultados que los
datos procedentes de fuentes externas.

La metodología de evaluación de riesgos de una entidad consiste en una

combinación de técnicas cualitativas y cuantitativas. La dirección aplica técnicas
cualitativas cuando los riesgos no se prestan a la cuantificación o cuando no están
disponibles datos suficientes y creíbles para una evaluación cuantitativa o la
obtención y análisis de ellos no resulte eficaz por su coste. Las técnicas
cuantitativas típicamente aportan más precisión y se usan en actividades más
complejas y sofisticadas, para complementar las técnicas cualitativas

3.2.5 Respuesta a los Riesgos

Una vez evaluados los riesgos, la dirección determina cómo responder a ellos,
(portafolio de riesgos).

 Evitar: supone salirse de las actividades que los generen. Evitar el

riesgo puede implicar el cese de una línea de producto, frenar la expansión
hacia un nuevo mercado geográfico o la venta de una división.
 Reducir: Implica llevar a cabo acciones para reducir la probabilidad o el
impacto del riesgo o ambos conceptos a la vez. Esto implica típicamente a
algunas de las muchas decisiones empresariales cotidianas.
 Compartir: La probabilidad o el impacto del riesgo se reducen trasladando
o, de otro modo, compartiendo una parte del riesgo. Las técnicas comunes
incluyen la contratación de seguros, la realización de operaciones de
cobertura o la externalización de una actividad.
 Aceptar: No se emprende ninguna acción que afecte a la probabilidad o el
impacto del riesgo.

Al determinar la respuesta a los riesgos, la dirección debería tener en cuenta lo
siguiente:

 Los efectos de las respuestas potenciales sobre la probabilidad y el impacto

del riesgo y qué opciones de respuesta están en línea con las tolerancias
al riesgo de la entidad.
 Los costes y beneficios de las respuestas potenciales.
 Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que
va más allá del tratamiento de un riesgo concreto.
Los riesgos inherentes se analizan y las respuestas a ellos se evalúan con el
propósito de conseguir un nivel de riesgo residual en línea con las tolerancias al
riesgo de la entidad.

3.2.6 Actividades de Control

Son las políticas y procedimientos que ayudan a asegurar que ya no se van a dar
dichos riesgos (Controles internos preventivos, controles sobre sistemas de
información, y controles generales). Las actividades de control se
establecen generalmente para asegurar que las respuestas a los riesgos se lleven
a cabo de modo adecuado, con respecto a ciertos objetivos.

Se han propuesto muchas descripciones diferentes de los tipos de actividades de

control, incluyendo los controles de prevención, detección, y de dirección. Las
actividades de control también pueden tipificarse según objetivos concretos de
control, tales como los de asegurar la integridad y exactitud del procesamiento de
datos.

A continuación, se describen las actividades de control utilizadas normalmente,

por el personal en distintos niveles de la organización que sirven para potenciar la
adhesión a los planes de acción establecidos y mantener el rumbo de
las entidades hacia el logro de sus objetivos.

 Revisiones a alto nivel 

La alta dirección revisa el funcionamiento real en contraste con
presupuestos, previsiones y datos de periodos previos y de competidores.
Se hace un seguimiento de las iniciativas importantes para medir hasta qué
punto se consiguen los objetivos.

 Gestión directa de funciones o actividades

 Los directivos que gestionan las funciones o actividades revisan los
informes de rendimiento. Un directivo responsable de los créditos al
consumo de un banco revisa los informes por sucursal, región y tipo de
préstamo (garantías). Verificando los resúmenes, identificando tendencias y
comparando los resultados con estadísticas y objetivos económicos.

 Procesamiento de la información
Se lleva a cabo una variedad de controles para verificar la exactitud,
integridad y autorización de las transacciones. Los datos introducidos están
sometidos a comprobaciones en línea y conciliaciones con ficheros de
control aprobados.

 Controles físicos
Los equipos, existencias, valores, efectivo y demás activos están
físicamente asegurados, se someten periódicamente a recuentos y se
contrastan con los importes de los registros de control.

 Indicadores de rendimiento
El contraste entre sí de diferentes conjuntos de datos (operativos y
financieros) junto con el análisis de relaciones y las acciones de
investigación y corrección, constituye una actividad de control.

 Segregación de funciones

Las funciones se dividen o segregan entre diferentes personas para reducir el

riesgo de error o fraude. Por ejemplo, están segregadas las responsabilidades
para autorizar transacciones, registrarlas y manejar el activo correspondiente.

Las políticas y procedimientos que ayudan a asegurar las respuestas al riesgo se

llevan a cabo adecuadamente:
  Política: qué debe hacerse
 Procedimiento: cómo debe hacerse

Con una dependencia importante de los sistemas de información para operar una
empresa y alcanzar los objetivos de información y cumplimiento, hacen falta
controles sobre dichos sistemas. Pueden usarse dos amplios grupos de
actividades de control de los sistemas de información:

 Controles generales: aseguran que los sistemas trabajan apropiadamente,

infraestructura, seguridad, compras de software, licencias, desarrollo y
mantenimiento, reportes de actividades.
 Controles de aplicaciones: aseguran la integridad, exactitud, autorización,
validez de la captura de datos y proceso de transacciones, interfases de
datos.

3.2.7 Información y Comunicación

La información pertinente se identifica, capta y comunica de una forma y en un

marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades.
Los sistemas de información usan datos generados internamente y otras entradas
de fuentes externas y sus salidas informativas facilitan la gestión de riesgos y la
toma de decisiones informadas relativas a los objetivos.

La información se necesita a todos los niveles de la organización para identificar,

evaluar y responder a los riesgos y por otra parte dirigir la entidad y conseguir sus
objetivos. Se usa mucha información, relevante para una o más categorías de
objetivos.

La información procede de muchas fuentes, internas y externas, de forma

cuantitativa y cualitativa y formales e informales, que facilita respuestas a las
condiciones cambiantes. Un reto para la dirección es cómo procesar y depurar
grandes volúmenes de datos para convertirlos en información manejable y se
enfrenta a él estableciendo una infraestructura de sistemas de información para
buscar, captar, procesar, analizar y comunicar la información relevante.
La infraestructura de la información busca y capta datos dentro de un marco de
tiempo y con una profundidad consecuentes con la necesidad de la entidad de
identificar, evaluar y responder al riesgo y permanecer dentro de las tolerancias a
él. La oportunidad del flujo de información necesita ser coherente con el ritmo de
cambio de los ámbitos externo e interno de la entidad.

Dada la creciente dependencia en sofisticados sistemas de información y en

sistemas y procesos para la toma de decisiones automatizados e impulsados por
los datos, es esencial la fiabilidad de estos últimos. Unos datos inexactos pueden
dar como resultado riesgos no identificados o pobres evaluaciones y decisiones
empresariales equivocadas.

La calidad de la información incluye averiguar si:

 Su contenido es adecuado – ¿Está al nivel correcto de detalle?

 Es oportuna – ¿Está disponible cuando se necesita y dentro de un plazo
adecuado?
 Está actualizada – ¿Es la última información disponible?
 Es exacta – ¿Sus datos son correctos?
 Está accesible – ¿Las personas que la necesitan pueden obtenerla
fácilmente?

Para impulsar la calidad de los datos, las entidades establecen programas

corporativos para su gestión que abarcan la adquisición, mantenimiento y
distribución de información relevante. Sin tales programas, los sistemas de
información no podrían facilitar la información que la dirección y otro personal
requieren.

Para realizar una gestión de riesgos corporativos, es fundamental disponer de una

información correcta y en el lugar y momento adecuados. Por esto, los sistemas
de información, aunque constituyan un componente de la gestión de riesgos
corporativos, también deben ser controlados.
La comunicación es inherente a los sistemas de información. Se debe identificar,
capturar y comunicar en tiempo y forma que permita al personal cumplir con sus
responsabilidades.

La comunicación se debe realizar en sentido amplio y fluir por toda la entidad en

todos sentidos. Debe existir una comunicación adecuada con partes externas a la
organización como clientes, proveedores, reguladores y accionistas.

La información relevante es obtenida de fuentes internas y externas.

 Comunicación Interna: La dirección proporciona comunicaciones

específicas y orientadas que se dirigen a las expectativas de
comportamiento y las responsabilidades del personal. Esto incluye una
exposición clara de la filosofía y enfoque de la gestión de riesgos
corporativos de la entidad y una delegación clara de autoridad. La
comunicación sobre procesos y procedimientos debería alinearse con la
cultura deseada y reforzarla.
 Comunicación Externa: Con canales de comunicación externos abiertos,
los clientes y proveedores pueden proporcionar inputs muy significativos
sobre el diseño o la calidad de los productos o servicios, permitiendo a la
empresa tratar las demandas o preferencias del cliente en evolución.

La comunicación puede tomar formas tales como un manual de políticas, escritos

internos, correos electrónicos, novedades en los tablones de anuncios, mensajes
en la web y de vídeo. Cuando los mensajes se transmiten verbalmente el tono de
voz y el lenguaje corporal ponen énfasis a lo que se está diciendo.

3.2.8 Supervisión o Monitoreo

La gestión de riesgos corporativos se supervisa revisando la presencia y

funcionamiento de sus componentes a lo largo del tiempo, lo que se lleva a cabo
mediante actividades permanentes de supervisión, evaluaciones independientes o
una combinación de ambas técnicas. Durante el transcurso normal de las
actividades de gestión, tiene lugar una supervisión permanente.
La supervisión puede realizarse de dos maneras: a través de actividades
permanentes o mediante evaluaciones independientes.

 Actividades de Supervisión Permanente: son los directores de línea o

función de apoyo quienes llevan a cabo las actividades de monitoreo y dan
meditada consideración a las implicaciones de la información que reciben.
Ej. Aprobación de transacciones, reconciliaciones de cuentas de balance y
la verificación y exactitud de los cambios en archivos maestros.
 Evaluaciones Independientes: las evaluaciones independientes se
centran directamente en la eficacia de la gestión de riesgos corporativos y
proporcionan una oportunidad para considerar la efectividad de las
actividades de supervisión permanente.

3.3 Herramientas Complementarias

Los principios de Control interno constituyen los fundamentos específicos que,

basados en la eficiencia demostrada y su aplicación práctica en las actividades
financieras y administrativas, son reconocidos en la actualidad como esenciales
para el control de los recursos humanos, financieros y materiales de las
compañías.

Los principios básicos que rigen el funcionamiento del Control interno son:

3.3.1 Igualdad

Consiste en que el control interno debe velar porque las actividades de la

organización estén orientadas efectivamente hacia el interés general, sin otorgar
privilegios a grupos especiales.

3.3.2 Moralidad

Según el principio de moralidad, todas las operaciones se deben realizar no sólo

acatando las normas aplicables a la organización, sino los principios éticos y
morales que rigen la sociedad.

3.3.3 Eficiencia
Este principio vela porque, en igualdad de condiciones de calidad y oportunidad, la
previsión de bienes y/o servicios se haga al mínimo costo, con la máxima
eficiencia y el mejor uso de los recursos disponibles.

3.3.4 Economía

Este principio vigila que la asignación de los recursos sea la más adecuada en
función de los objetivos y las metas de la organización.

3.3.5 Celeridad

Este principio consiste en que uno de los principales aspectos sujetos a control
debe ser la capacidad de respuesta oportuna, por parte de la organización, a las
necesidades que atañen a su ámbito de competencia.

3.3.6 Imparcialidad y Publicidad

Estos principios consisten en obtener la mayor transparencia en las actuaciones

de la organización, de tal manera que nadie puede sentirse afectado en sus
intereses o ser objeto de discriminación, tanto en oportunidades como en acceso a
la información.

3.3.7 Valoración de Costos Ambientales

Este principio consiste en que la reducción al mínimo del impacto ambiental

negativo debe ser un factor importante en la toma de decisiones y en la
conducción de sus actividades rutinarias en aquellas organizaciones en las cuales
su operación pueda tenerlo.

4. EVALUACIÓN DE RIESGOS BAJO EL INFORME MODELO COSO ERM POR

LA AUDITORÍA INTERNA DE UNA EMPRESA COMERCIALIZADORA DE
ARTÍCULOS PARA EL HOGAR EN EL ÁREA DE INVENTARIOS E INGRESOS
PARA SALAS DE VENTA

4.1 Antecedentes de la unidad de análisis

La empresa Corporación Hogar Feliz de Guatemala, S.A., surgió en 1974 de mano
de un sólo dueño, quien abrió la primera tienda en el centro de la ciudad de capital
de Guatemala.

Conforme el pasar de los años y gracias al reconocimiento y aceptación de los

clientes, en cuanto a la calidad de producto y atención que se les empezó a
prestar, fue creciendo y fue necesario la apertura de nuevas tiendas o puntos de
venta, tanto en la ciudad capital como en el interior del país, hasta llegar a tener
en Guatemala sesenta y dos puntos de venta en todos los departamentos del país.

También al pasar de los años se ha ido teniendo presencia en los países de

Centroamérica y en Estados Unidos de América, en al menos cinco estados con
otros nombres comerciales llegando a un total de 98 puntos de venta para toda la
empresa, el crecimiento les ha presentado debilidades de control interno
importantes; de esa cuenta, por la magnitud de las operaciones y el error de seguir
manejando la auditoría interna de la empresa con una administración de carácter
antiguo y sin presentar mejoras, se ha convertido en el detonante para empezar a
buscar nuevas herramientas y alternativas modernas de administración de riesgos,
que conlleve a los puntos de venta como unidades de negocios, a trabajar bajo el
esquema de un gobierno corporativo que pueda identificar y administrar los
riesgos de negocio para no perder mercado y posicionamiento y afecte la
rentabilidad.

La identificación, evaluación y administración de riesgos bajo el modelo COSO

ERM, presenta una alternativa de mejora del control interno de la empresa, por lo
que la administración actual ha requerido que se realice una prueba bajo los
componentes del modelo COSO ERM, en uno de sus puntos de venta más
importantes del interior de la República para realizar un cambio de administración
del mismo y evaluar los riesgos de negocio en las áreas de inventarios e ingresos.

Corporación Hogar Feliz de Guatemala, S.A. es una empresa comercial que se

dedica a la venta de artículos electrodomésticos, amueblados de todo tipo,
mercadería de línea blanca y de audio y video con alta tecnología para el
bienestar de los hogares en Guatemala, Estados Unidos de América y
Centroamérica.

La visión de Corporación Hogar Feliz de Guatemala, S.A., es ser una empresa que
a través del liderazgo de un proceso de mejora continua en su organización y con
sus clientes, crezca en el mercado, contribuyendo al desarrollo sostenible del país
y a mejorar la calidad de vida de las familias guatemaltecas y de los países de la
región donde su mercado y producto cuentan con presencia importante.

La misión de Hogar Feliz de Guatemala, S.A., es ser el líder en el mercado

guatemalteco y centroamericano en la comercialización de electrodomésticos,
sirviendo a las necesidades de los hogares de la región con productos y servicios
innovadores con la dedicación y el esmero que sus clientes necesitan para
mejorar su calidad de vida y la de sus familias en su hogar.

La empresa se encuentra en expansión y cuenta con una estructura

organizacional preordenada y establecida; no obstante, a su tamaño comercial y a
su organización, así como a la segregación de funciones, ha reconocido que
cuenta con el problema de carecer de una metodología o proceso para realizar
evaluaciones de control que agreguen valor a la compañía en identificar riesgos.

El departamento de Auditoría Interna realiza revisiones en los puntos de venta y

los evalúa, de la forma tradicional, la cual consistente en revisiones de
cumplimiento de firmas, sellos, etc., pero no ha encontrado la forma de evaluar
los riesgos que enfrentan sus activos principales; de ahí, la necesidad de evaluar
los riegos en que incurre considerando un nuevo enfoque como lo es, el informe
modelo COSO ERM, para lo cual requiere un Contador Público y Auditor en
calidad de Auditor Interno, con el conocimiento y la experiencia en la metodología
COSO ERM.

4.1.1 Forma actual de realizar evaluaciones de control interno

El departamento de Auditoría Interna ha realizado gran esfuerzo por mantener

en la medida de sus posibilidades profesionales, el control interno de las
áreas administrativas y puntos de venta con una labor tradicional de revisión de
papeles y ejecución de inventarios e informar de las debilidades con memos
gerenciales, han decaído en depender y hacer sólo lo que las distintas gerencias
le solicitan sin ser creativos o asesores en cuanto a una adecuada
administración de riesgos de negocio.

Dentro de los aspectos que se observan de la forma tradicional que la auditoría

interna trabaja, son:

• Utilizar comunicados o memos para los principales procesos del negocio, a

través de los distintos departamentos.
• Enviar cuestionarios a las distintas gerencias solicitando que les propongan
una lista de sus objetivos o métodos de control en sus áreas o gerencias y
seleccionar las revisiones o auditorías a realizar conforme las listas de
respuestas.
• Por ser tradicionales usan un proceso de entrevistas al inicio de sus revisiones
o auditorias para reunir datos y fijar el alcance de sus pruebas.
• Utilizan el autocontrol, procesos y procedimientos que las mismas áreas o
puntos de venta se han auto establecido.
• No mantiene capacitaciones al personal y desconocen cómo realizar una
evaluación de procesos y subprocesos.
• No están realizando el papel que les corresponde de ser asesores, un
departamento o área estratégica de consulta para la toma de decisiones.
• No se está dando el punto de supervisión y monitoreo de las actividades de
control de manera continua.

4.2 Credencial de la presentación del auditor

La credencial del auditor es el documento por el cual el auditor se identifica y le

informa al auditado las razones de su presencia en el punto de venta, y en la cual
se le indica la auditoria a realizar y la duración de tiempo estimado de la misma.

Esta credencial no tiene y no cuenta con un formato específico para su

elaboración, lo importante es presentarse ante el auditado como un colaborador y
un socio estratégico, el cual le ayudará a identificar sus debilidades y puntos de
control vulnerables, que le están afectando en la administración de riesgos.
4.3 Planificación para la evaluación de control interno de una sala o punto de
ventas de Corporación Hogar Feliz de Guatemala, S.A.

La planificación se debe ejecutar previo a realizar el programa de trabajo de la

revisión de controles; es en esta parte, como su nombre lo indica, se procederá a
plantear los procesos y subprocesos, las fechas, los objetivos y el alcance de
la revisión de controles que será ejecutada por un miembro del equipo de trabajo
de auditoría interna, quien debe tener los conocimientos para la aplicación del
modelo COSO ERM.

A continuación, el plan de evaluación de controles y riesgos.

4.4 Elaboración del programa de revisión y evaluación de riesgos de control
interno modelo COSO ERM

La elaboración del programa se debe hacer como la herramienta guía para la

ejecución de la respectiva auditoria y donde se detallan los puntos trasladados a la
matriz de riesgos para su respectiva evaluación y consideración.

El programa de revisión, no cuenta con ningún formato preestablecido, sino que

se realiza de acuerdo al criterio del experto en evaluación de control interno COSO
ERM; además, al cierre de la revisión debe ser llenado considerando los objetivos
planteados, el auditor que ejecutó y debe hacer referencia al papel de trabajo que
realizó; entendiéndose como papel de trabajo, la ejecución de la matriz de
riesgos, prueba de controles y los cuestionarios con los cuales se probaron los
controles existentes para mitigar los riesgos del negocio.
4.5 Elaboración de la matriz de riesgos y los puntos de control interno en la
ejecución y pruebas de auditoría, para la evaluación de riesgos bajo el
informe modelo COSO ERM

La elaboración de la matriz debe ser realizada por el auditor en conjunto con el

auditado ya que este último es el dueño de la operación y quien debe responder
hacia la mitigación del riesgo establecido en la evaluación y levantado de la matriz.

Una matriz de riesgo es una herramienta de control y de gestión normalmente

utilizada para identificar las actividades (procesos y productos) más importantes
de una empresa, el tipo y nivel de riesgos inherentes a estas actividades. Permite
evaluar la efectividad de una adecuada gestión y administración de los riesgos
financieros, operativos y estratégicos que impactan la misión de la organización.

• Debe ser una herramienta flexible que documente los procesos y evalúe de
manera global el riesgo de la empresa.

• Es una herramienta sencilla que permite realizar un diagnóstico objetivo de la

situación global de riesgo de una empresa.

• Permite una participación más activa de las unidades de negocios, operativas y

funcionales en la definición de la estrategia institucional de riesgo.

• Es consistente con los modelos basados en riesgos ampliamente difundidos en

las mejores prácticas internacionales (Coso, Coso ERM, Cobit, Oxley, Coco
System).

La matriz de riesgos debe contener la lista priorizada de los riesgos inherentes,

detallando para cada uno de ellos, su definición, consecuencias de
materialización, causas e impacto potencial, nivel de riesgo, lista de los controles o
mecanismos que debe adoptar la entidad para su tratamiento.

A continuación, se presenta el papel de trabajo de la matriz de riesgos elaborada.

4.6 Pruebas de cumplimiento para los puntos de control para la ejecución y
Pruebas de control interno en la evaluación de riesgos modelo COSO ERM

Las pruebas de cumplimiento se están, refiriendo a pasar a la faceta de

verificación por medio de plantillas para probar los controles existentes y conocer
el entorno y ambiente de control del departamento, área, gerencia o punto de
venta en que se deberá realizar la auditoria.

Las pruebas de controles que se ejecutaron fueron las siguientes:

a) Prueba de controles en el efectivo

b) Se realizo un arqueo de caja

c) Prueba de controles para el inventarío

d) Prueba de controles en la administración de la cartera

e) Prueba de controles administrativa, documentos y seguridad

4.7 Resultado final y valuación de los riesgos identificados en los principales
procesos y subprocesos de la empresa Corporación Hogar Feliz de
Guatemala, S.A., donde se evaluó el punto de venta denominado, "ventas
internacionales, U.S.A."

En la ejecución de la auditoria se procedió a realizar todas las pruebas necesarias

de acuerdo a la planificación y programación, considerando los puntos de control
más importantes y vulnerables; además, también se procedió a realizar la
evaluación y prueba de controles para trasladarla a la matriz de riesgos y la
respectiva calificación para enfocarse a la mitigación de los riesgos identificados
de mayor importancia y relevancia. Los criterios de calificación de los riesgos
identificados por el departamento de auditoría interna son los siguientes:

Dentro del total de riesgos de la matriz elaborada, a continuación, se muestra los

procesos y subprocesos más vulnerables, dentro de ellos están, el área de
inventarios y el área de ingresos y efectivo. El total de riesgos establecidos se
muestra la siguiente página.
4.8 Informe final de la evaluación de riesgos modelo COSO ERM

El informe de evaluación es el documento emitido por el auditor como resultado

final del examen y/o evaluación practicada. Este informe incluirá información
sustancial sobre observaciones, riesgos, calificación del riesgo, recomendaciones
y acciones a tomar correctivas por parte del auditado como responsable directo de
la corrección a las debilidades de control detectadas y la mitigación de los riesgos
establecidos. Reviste gran importancia, porque suministra a la administración de
la empresa evaluada, información importante sobre sus procesos operativos como
una forma de contribuir al cumplimiento de sus metas y objetivos.

Está muy extendida hoy en el mundo de la gerencia, la idea de que hay un antes y
un después para el control interno tras la elaboración del primer Informe COSO
que ha supuesto la aparición de nuevos enfoques, imprescindibles actualmente en
la gerencia moderna. Desde la primera definición del control interno establecida
por el Instituto Americano de Contadores Públicos Certificados-AICPA en 1949,
este concepto no sufrió cambios importantes hasta 1992, cuando se emite el
documento denominado "Marco Integrado del Control Interno", el enfoque
moderno del control interno en el documento conocido como el Informe COSO

El Informe COSO, brinda el enfoque de una estructura común para

comprender al control interno, el cual puede ayudar a cualquier entidad a
alcanzar logros en su desempeño y en su economía y prevenir pérdidas de
recursos. COSO ERM convierte los antiguos elementos de Control Interno en ocho
componentes interrelacionados, que se derivan de la forma de cómo la
administración identificará y administrará los riegos de negocio identificados.

A continuación, el informe de la evaluación realizada en un punto de venta de la

empresa Corporación Hogar Feliz de Guatemala, S.A.
 BIBLIOGRAFIA

 https://www.globalsuitesolutions.com/es/que-es-modelo-coso/
 https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO-
Sesion1.pdf
 Principales cambios de COSO 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 8
 https://es.scribd.com/document/511367511/Cuestionario-de-Control-Interno-
Metodo-COSO-II-PARMALAT
 Commission, C. o. (2005). Gestión de Riesgos Corporativos Marco
Integrado. E.E.U.U.: Price Water House Coopers.