DIPLOMADO ESPECIALIZADO EN

AUDITORIA FINANCIERA Y TRIBUTARIA

______________________________
Módulo 5

www.senacapp.edu.pe
EL SISTEMA DE CONTROL INTERNO
 NORMATIVA LEGAL APLICABLE A LA
IMPLANTACION DEL SISTEMA DE CONTROL
INTERNO
Ley Nº 28716, Ley de Control Interno de las Entidades
del Estado, del 18 abril del 2006

Ley, cuyo objetivo es el de regular el establecimiento,

funcionamiento, mantenimiento, perfeccionamiento y
evaluación del SCI en las Entidades del Estado, con el
propósito de cautelar y fortalecer los sistemas
administrativos y operativos.
 Resolución de Contraloría N° 320-2006-CG, del 3 de
noviembre del 2006

Las “NORMAS DE CONTROL INTERNO”,

INTERNO” se aprobaron
con el objetivo de propiciar el fortalecimiento del SCI
y mejorar la Gestión Pública, protegiendo el
patrimonio público y al logro de los objetivos y metas
institucionales, de conformidad con lo establecido por
la Ley Nº 28716.
Resolución de Contraloría N° 458-2008-CG, del 30 de
octubre del 2008 (1)

Aprueba la “Guía para la Implementación del Sistema de Control

Interno de las Entidades del Estado”.
Documento orientador para la Gestión Pública y el Control
Gubernamental, sin perjuicio de la legislación que emitan los
distintos niveles de Gobierno.
En esta Norma se estableció un plazo máximo de 24 meses para la
implementación del SCI, plazo que venció en Octubre de 2010.

El objetivo de la Guía es el de proveer los lineamientos,

herramientas y métodos a las entidades del Estado para la
implementación de los componentes que conforman el SCI
establecido en las Normas de Control Interno mediante la RC Nº
320-2006-CG.
 Decreto de Urgencia N° 067-2009 del 23 de junio del
2009

Suspendió el cumplimiento del Art.10°de la Ley N°

28716, disponiendo que su aplicación será progresiva,
teniendo en cuenta la naturaleza de las funciones de
las entidades así como la disponibilidad de recursos
presupuestales.
 Ley N° 29743 del 09 de julio del 2011

Después de 25 meses, se deroga los Artículos N° 2 y 3

del Decreto de Urgencia N° 067-2009 y se sustituye el
4to. Párrafo del Art. 10° de la Ley N° 28716, Normas
de Control Interno. La CGR deberá precisar nuevos
plazos para su implementación.
 COMPONENTE
EVALUACION DE RIESGOS

Proceso que identifica y analiza eventos

adversos a los que está expuesta la entidad.
Esta evaluación permite evitar, reducir,
compartir y gestionar la mitigación o
eliminación del impacto causado.
 RIESGO
Posibilidad de que un evento desfavorable
pueda afectar negativamente la habilidad ,
de la organización para el logro de sus
objetivos

ADMINISTRACIÓN DE RIESGOS
Es el proceso para incrementar la confianza en la
habilidad de una organización para anticipar,
priorizar y superar obstáculos para alcanzar sus
metas

CONTROL INTERNO
Es un proceso diseñado para proveer una seguridad razonable con
respecto al logro de los objetivos de la entidad
2. EVALUACIÓN DE RIESGOS
Es el proceso de identificación y análisis de eventos adversos a
los que está expuesta la entidad. Esta evaluación permite
evitar, reducir, compartir y aceptar cualquier riesgo.

Contenido:

2.1. Planeamiento de la administración

de riesgos. (Planes y métodos)
2.2. Identificación de los riesgos. (Externos
e internos)
2.3. Valoración de los riesgos. (Estimar
su probabilidad de ocurrencia)
2.4. Respuesta al riesgo. (Evitar, reducir, compartir
y aceptar)

11
Planeamiento de la
Administración de
Riesgos

Identificación
de los Riesgos

Valoración de
los Riesgos

Respuesta al
Riesgo
 + Positivo Oportunidad

ACTO
ADMINISTRATIVO

Riesgo o
Negativo

-
Amenaza
 2.1 Planeamiento de la Administración de
riesgos

Planeamiento de la
Administración de
Riesgos Es el proceso de desarrollar y
documentar una estrategia clara,
organizada e interactiva para
identificar y valorar los riesgos que
puedan impactar en una entidad
impidiendo el logro de los objetivos.
Se deben desarrollar planes, métodos
de respuesta y monitoreo de cambios,
así como un programa para la
obtención de los recursos necesarios
MODELO DE GESTIÓN para definir acciones en respuesta a
DE RIESGOS riesgos
• Estrategias
• Organización
• Políticas
• Criterios
 2.2. Identificación de Riesgos
Proceso permanente, interactivo e integrado con
el proceso de planeamiento y deberá partir de la
definición clara de objetivos estratégicos de la
entidad.
La identificación de los riesgos podrá darse en el
nivel de entidad (riesgos de carácter general) y
en el nivel de procesos (afectación a los procesos).
Existen varias herramientas y técnicas para la
identificación de riesgos
 2.2. Identificación de Riesgos
1. Técnica de recopilación de información
. Tormenta de ideas: lista de riesgos
. Técnica Delphi: Opinión de expertos
. Cuestionarios y Encuestas
. Entrevistas
. Análisis FODA
2. Técnicas de diagramación
. Diagrama causa – efecto
. Diagrama de flujo de procesos
. Inventario de riesgos
Fuente: R.C. 458.2008.CG
 2.2. Identificación de Riesgos
Clasificación de Riesgos
1. Riesgo estratégico
2. Riesgo operativo
3. Riesgo financiero
4. Riesgo de cumplimiento
5. Riesgo tecnológico

Registro de riesgos considerando las causas o

factores de riesgo (internos y externos), una
descripción de cada riesgo y definición de los
Posibles efectos y los riesgos significativos.
 Clasificación del riesgo

• Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad.

• Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte

operativa como técnica de la entidad, incluye riesgos provenientes de
deficiencias en los sistemas de información, en la definición de los procesos, en
la estructura de la entidad, la desarticulación entre dependencias, lo cual
conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los
compromisos institucionales.

• Riesgos Financieros: Se relacionan con el manejo de los recursos de la

entidad que incluye, la ejecución presupuestal, la elaboración de los estados
financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre
los bienes de cada entidad.

• Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para

cumplir con los requisitos legales, contractuales, de ética pública y en general
con su compromiso ante la comunidad.

• Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la

tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y
soporte el cumplimiento de la misión.
Identificación
de los Riesgos En la identificación de los riesgos se tipifican
todos los riesgos que pueden afectar el logro
de los objetivos de la entidad debido a
factores externos o internos. Los factores
externos incluyen factores económicos,
medioambientales, políticos, sociales y
tecnológicos. Los factores internos reflejan las
selecciones que realiza la administración e
•Externos: incluyen la infraestructura, personal, procesos
y tecnología

–Cambio de las
–Nuevas
necesidades y -Nuevas
-Desarrollo legislaciones y –Catástrofes
expectativas - Competencia legislaciones y
tecnológico regulaciones. naturales
del cliente regulaciones
 • Internos:

- Una – La calidad – La
interrupción en del personal – Un cambio en naturaleza de – Un comité
el contratado y las las actividades directivo o de
procesamiento los métodos responsabilidades de la entidad y auditoría
de sistemas de de de la el acceso de ineficaz
información entrenamiento administración los empleados
y motivación a los activos
 2.3. Valoración de los Riesgos
Permite clasificar y valorar los eventos potenciales que
Impactan en la consecución de los objetivos.
Se efectúa en base a la información obtenida en la etapa
Previa (Identificación de riesgos).
Clasificación de riesgos
 Registro de riesgos

Proceso:
Subproceso:
Objetivo del Riesgo Causas Efectos /
proceso / (Factores Internos y Consecuencia
subproceso Externos)
Estimar probabilidad e impacto

• Los acontecimientos potenciales se evalúan a partir de

dos perspectivas: probabilidad e impacto

• El horizonte del tiempo usado para determinar riesgos

debe ser constante con el horizonte del tiempo de la
estrategia y de los objetivos
 CRITERIOS DE EVALUACIÓN
PROBABILIDAD : Se deben establecer las categorías a utilizar y su
descripción, con el fin de que quien aplique la escala mida a
través de ella la posibilidad de ocurrencia de los riesgos:

PROBABLE : Es muy frecuente la materialización del riesgo o se presume

que llegará a materializarse
POSIBLE : Es frecuente la materialización del riesgo o se presume
que posiblemente se podrá materializar
IMPROBABLE : Es poco frecuente la materialización del riesgo o se presume
que no llegará a materializarse

IMPACTO : Se debe establecer las categorías y su descripción, de las

consecuencias de la materialización de los riesgos, por
ejemplo:

LEVE : Si el hecho llegara a presentarse, tendría bajo impacto o

efecto sobre la entidad
MODERADO : Si el hecho llegara a presentarse tendría medio impacto o
efecto en la entidad
CATASTRÓFICO : Si el hecho llegara a presentarse tendría alto impacto o
efecto en la entidad
 MATRIZ DE RIESGOS

Impacto

Probabilidad

NIVEL DE RIESGO
 2.3 VALORACIÓN DE RIESGOS
EVALUACIÓN
Probable
Posible
Probabilidad
Improbable
Análisis
Cualitativo Leve
Impacto
Moderado
Catastrófico

Probabilidad de Nivel Calificación

ocurrencia
0 – 25 Improbable 1
26- 70 Posible 2
Análisis 71- 100 Probable 3
Cuantitativo
Impacto Nivel Calificación
0 – 25 Leve 10
26- 70 Moderado 20
71- 100 Catastrófico 30
Valoración de El análisis o valoración de los riesgos le permite a
la entidad considerar cómo los riesgos potenciales
los Riesgos
pueden afectar el logro de sus objetivos. Se inicia
con un estudio detallado de los temas puntuales
sobre riesgos que se hayan decidido evaluar. El
propósito es obtener la suficiente información
acerca de las situaciones de riesgo para estimar
su probabilidad de ocurrencia, tiempo, respuesta
y consecuencias

¿Quées
¿Qué esloloque
quepuede
puedeocurrir?
ocurrir?EVENTO
EVENTO
Identificar
Identificar
yy ¿Cuáles
¿Cuál essu
sufrecuencia?
frecuencia?PROBABILIDAD
PROBABILIDAD
medir
medir
¿Encuánto
¿En cuántonos
nosafectará?
afectará?IMPACTO
IMPACTO
 Probabilidad

Probable 3 3 6 9
Riesgo Riesgo Riesgo
moderado importante inaceptable

Posible 2 2 4 6
Matriz de Riesgo
tolerable
Riesgo
moderado
Riesgo
importante
Probabilidad / Impacto Improbable 1 1 2 3
Riesgo Riesgo Riesgo
aceptable tolerable moderado

Impacto 1 2 3
Leve Moderado Desastroso
 2.4 RESPUESTA AL RIESGO
La administración identifica las opciones de respuesta
Respuesta al al riesgo considerando la probabilidad y el impacto en
relación con la tolerancia al riesgo y su relación costo-
Riesgo
beneficio. La consideración del manejo del riesgo y la
selección e implementación de una respuesta son parte
integral de la administración de los riesgos
Evitarelelriesgo
Evitar riesgo

Reduciroomitigar
Reducir mitigarelelriesgo
riesgo
Opciones
Opciones
Transferiroocompartir
Transferir compartirelelriesgo
riesgo

Aceptarelelriesgo
Aceptar riesgo

Accionesde
Acciones demitigación
mitigaciónpara
parareducir
reducirelelIMPACTO
IMPACTO
Reducirelelriesgo
Reducir riesgo
yy Accionesde
Acciones demitigación
mitigaciónpara
parareducir
reducirlalaPROBABILIDAD
PROBABILIDAD
manejarcontingencia
manejar contingencia
Accionesyyplanes
Acciones planesde
decontingencia
contingencia
Evaluar posibles respuestas

Evitar el Riesgo Compartir el Riesgo

• Compra de seguros contra
• Reducir la expansión de una
línea de productos a nuevos pérdidas inesperadas
significativas
mercados
• Contratación de outsourcing
• Vender una división, unidad de
para procesos del negocio
negocio o segmento geográfico
• Compartir el riesgo con acuerdos
altamente riesgoso
sindicales o contractuales con
• Dejar de producir un producto
clientes, proveedores u otros
o servicio altamente riesgoso socios de negocio

Aceptar el Riesgo Mitigar el Riesgo

• Fortalecimiento del control
• Auto-asegurarse (Self-insuring) interno en los procesos del
contra pérdidas negocio
• Diversificación de productos
• Aceptar los riesgos de acuerdo • Establecimiento de límites a las
a los niveles de tolerancia de operaciones y monitoreo
riesgo • Reasignación de capital entre
unidades operativas
 Nivel de Riesgo Respuesta
Riesgo Inaceptable Evitar el riesgo
Reducir el riesgo
Compartir o
transferir
Riesgo Importante Reducir el riesgo
Acciones
Evitar el riesgo
Compartir o
transferir
Riesgo Moderado Reducir el riesgo
Evitar el riesgo
Compartir o
transferir
Riesgo Tolerable Asumir el riesgo
Reducir el riesgo
Compartir o
transferir
Evaluación
Riesgo Aceptable Asumir el riesgo
Respuesta al Riesgo
riesgo Riesgo
Responsabl
Matriz de Riesgo
Nive Riesgo Actividades Controles
residual
e
Riesgo Valor
l Inherente necesarios
Costo de la reducción del riesgo