PresentaciónCP Luz María Ortiz Rodríguez
Perito contable y especialista en control interno y riesgos. CCSA enproceso
Trece años de experiencia en el sector empresarial en México y enEspaña.
Veinte años de experiencia en el gobierno de México, dirigiendo: controlde gestión, administración de personal, presupuesto por programas,finanzas, recursos materiales; con experiencia en organización ysistemas informáticos, auditoría interna y creación de áreas.
Facilitador C.I., key-líder de calidad total en la SE y de gestión de cambioen proyectos para el SS.
Especialista en Capital Inteligente, Control Interno COSO 2013 y MICI,Administración de Riesgos, Gobierno Corporativo y Autoevaluación deControl Interno.
[email protected] @Luz_ORO
www.ortizortizabogados.com.mx
Objetivo General
Dotar de los conocimientos y herramientastécnicas para identificar los propósitos,objetivos, componentes, principios yherramientas de evaluación del sistemaestructurado de control interno COSO 2013y MICI, así como las principalescaracterísticas de un sistema de controlinterno efectivo, bajo las mejores prácticasinternacionales y la normativa de nuestroPaís.
LMOR | 3
ContenidoI. Introducción al marco de control interno
II. Iniciativas legales
III. Definición de Control Interno
IV. Modelos de Control Interno COSO 2013 – MICI
Objetivos, Componentes y Principios
i. Ambiente de Control
ii. Administración de riesgos
iii. Actividades de Control
iv. Información y Comunicación
v. Supervisión
V. Criterios de Eficacia y Herramientas de
Evaluación
VI. Beneficios y limitaciones del control interno
VII. Responsabilidades sobre el control interno
VIII. Criterios de Implantación del modelo
LMOR | 4
CONTROL INTERNO
COSO 2013 - MICI
I. Introducción al marco de control interno
LMOR | 5
LMOR | 6
Control Interno
De donde surge la necesidad del
control?
____________________________
____________________________
____________________________
____________________________
LMOR | 7
Control Interno
De donde surge la necesidad delcontrol?
delegación
objetivos particulares
falibilidad
otros intereses y objetivos propios
??
LMOR | 8
Mejores prácticas internacionales
• Definición común
• Evaluar
• Modelos de informes
1949.- Primera definición de control
interno, Instituto Americano de Contadores
Públicos Certificados (AICPA).
Septiembre, 1992.- “Marco Integrado de
Control Interno” conocido como COSO.
LMOR | 9
Enfoque moderno del control interno
USA. Marco Integrado de Control Interno COSO,
editado 1992 por el Committee of Sponsoring
Organizations of the Treadway Commission.
Marco más extendido y utilizado a nivel mundial.
Proceso de evolución, fue revisado y actualizado
en 2004 y en Mayo de 2013. COSO 2013.
LMOR | 10
Mejores prácticas internacionales
(UK)
(Francia)
(Sudáfrica)
COSO y CoCo. Los más utilizados hasta el
momento, en América.
CoCo (CANADA)CADBURY TURNBULL
COSO COBIT
PETERS (HOLANDA)KING
Vienot (USA)
LMOR | 11
Enfoque moderno del control interno
COSO ha sido adoptado por el sector público
y privado en USA, por el Banco Mundial, el
Banco Interamericano de Desarrollo y
prácticamente en toda Latino América.
La Unión Europea también lo ha adoptado en
auditorías o consultorías de sus proyectos,
debido también a la globalización de las
empresas.
LMOR | 12
Enfoque moderno del control interno
2004. COSO publica el Marco Integrado de la
Administración de Riesgos Corporativos
COSO-ERM. Enfoque más robusto sobre la
gestión integral de riesgo.
Mayo, 2013 se publicó la actualización a
COSO 2013, para dar respuesta a las
exigencias del ambiente de negocios y
operativo de globalización y tecnología.
LMOR | 13
Marco Integrado de Control Interno
COSO MIC
COMPONENTE
ACTIVIDAD
AC
TIV
IDA
D 1
AC
TIV
IDA
D 2
Antecedentes1992, COSO MIC
LMOR | 14
Modelo de control interno
COSO ERM
Ambiente Interno
Identificación de Eventos
Evaluación del Riesgo
Respuesta al Riesgo
Establecimiento Objetivos
Actividades de Control
Información y Comunicación
Monitoreo
Objetivos
Componente
Entidad
Fuente: COSO-ERM, 2005
Antecedentes2004, COSO-ERM
LMOR | 15
Modelo COSO 2013
Marco Integrado de Control Interno17 Principios
CO
MPO
NEN
TE
CO
MPO
NEN
TE
COMPONENTES DE COSO 2013
17 P
RIN
CIP
IOS D
E C
OSO
2013
LMOR | 16
LMOR | 17
Enfoque moderno del control interno
COSO 2013 enfatiza los siguientes cambios:
Objetivos estratégicos.
Tecnología de la Información.
Gobierno Corporativo.
Información financiera y la No financiera.
Consideración contra el fraude.
Aplica a diferentes modelos de negocio y estructuras organizacionales.
Actualiza los roles y responsabilidades de los distintos participantes en el proceso.
Ejes principales de la importancia del
sistema de control interno
1) Autoevaluación sobre la efectividad de
su control interno;
2) Auditoría externa debe emitir dictamen
sobre la efectividad del control interno
como base para la generación de la
información financiera.
Enfoque moderno del control interno
LMOR | 17
CONTROL INTERNO
COSO 2013 - MICI
II. Iniciativas legales
LMOR | 19
LMOR | 20
Cuál fue el (los) componente(s) del Control Interno que fueron debilitados en el caso de ENRON?:
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
LMOR | 21
Surgimiento de Iniciativas legales
La corrupción y fraudes filtrados también encorporaciones internacionales de prestigio, acausa de no manejar un control confiable,transparente, claro, integro y responsable.
Y para fortalecer el Control Interno, se incluye,la responsabilidad de los miembros de losConsejos de Administración de las diferentesactividades económicas de cualquierorganización o país.
Marco Legal
USA
La ley Sarbanes-Oxley Act, obliga a todas las
empresas que cotizan en bolsa a adoptar
sistemas de control interno robustos. (SOX)
INTOSAI*
* Organización Internacional de Entidades Fiscalizadoras
Superiores
Expide la Guía para las Normas de Control
Interno del Sector Público, basada en COSO, con
enfoque a la Administración Pública.
LMOR | 8
México
SFP establece el Modelo Estándar de Control
Interno (MECI) en julio de 2010, reformado
en 2011, 2012 y en mayo de 2014,
denominado:
• ACUERDO de Disposiciones en Materia de Control
Interno y
• Manual Administrativo de Aplicación General en
Materia de Control Interno.
Marco Legal
LMOR | 9
México
En noviembre de 2014 la ASF y la SFP publican:
• Marco Integrado de Control Interno en el
Sector Público (MICI)
• Guías de Autoevaluación de Riesgos
• Guías de Autoevaluación de Riesgos a la
Integridad
• Guía para Implementar un Programa de
Promoción de la Integridad y Prevención
de la Corrupción
• Manual del Sistema Automatizado para la
Autoevaluación de Riesgos
Marco Legal
Aplica un enfoque basado en 17
principios.
Establece objetivos estratégicos como
condición previa a la fijación de los
objetivos de Control Interno.
Refleja la relevancia de la Tecnología de
la Información.
LMOR | 25
MICI - COSO 2013
LMOR | 26
Fortalece los conceptos de Gobierno
Corporativo.
Amplía el objetivo del reporte financiero,
pasando a ser reporte en general.
Fortalece la consideración de las
expectativas contra el fraude.
Considera los diferentes modelos de
negocio y estructuras organizacionales.
MICI - COSO 2013
La Gobernanza Pública*
Como el conjunto de procesos,
estructuras, disposiciones formales y
valores que guían y controlan las
actividades institucionales, es un
elemento clave que contribuye a que las
organizaciones alcancen sus objetivos de
manera eficaz, eficiente y económica, de
acuerdo con sus características propias y
el mandato al que están sujetas.
*ASF
Gobernanza Pública
Organismos como INTOSAI, ONU, OCDE,
Banco Mundial, The IIA e IFAC, abordan
este concepto, señalando que el Control
Interno, la Administración de Riesgos y la
Promoción de la Integridad, entre otros,
son elementos indispensables de la
Gobernanza.
Etapas de un Plan de Transición sugerido:
1. Educar y comunicar:
o Revisión del Marco Integrado de Control Interno
o Capacitación del personal clave a cargo del control interno
o Comprensión de los principios relevantes a la entidad.
2. Auto Evaluación preliminar
o Mapeo de los 17 principios
o Identificar brechas
o Estimación de esfuerzos adicionales.
3. Completar la evaluación y desarrollar el plan de acción
o Evaluación integral
o Identificar cambios en controles y su documentación
o Desarrollar plan de acción.
4. Ejecutar el plan de acción
o Remediar deficiencias de control y/o de documentación
Si como resultado del plan de transición se observan
brechas significativas debe establecerse un plan
correctivo.
CONTROL INTERNO
COSO 2013 - MICI
III. Definición de Control Interno
LMOR | 31
LMOR | 32
El control interno es un proceso efectuado por el
consejo de administración de la entidad, sus gerentes
y demás personal, diseñado para proporcionar una
seguridad razonable de acuerdo con los siguientes
objetivos:
• De operación
• Presentación de informes
• Cumplimiento
Control interno
Definición COSO 2013
Definición de Control Interno
Guía INTOSAI
Proceso integral efectuado por la administración y elpersonal, diseñado para administrar los riesgos yproveer una seguridad razonable de que en laconsecución de la misión de la entidad, sealcanzarán los objetivos:
Ejecución de las operaciones de manera ordenada, ética, económica, eficiente y efectiva.
Cumplimiento de las obligaciones de responsabilidad;
Cumplimiento con leyes y regulaciones;
Salvaguarda de los recursos contra pérdida, uso indebido y daño.
Definición de Control Interno
MICIProceso efectuado por el Órgano de Gobierno, elTitular, la Administración y los demás servidorespúblicos de una Institución, con objeto deproporcionar una seguridad razonable sobre laconsecución de los objetivos institucionales, lasalvaguarda de los recursos públicos y prevenir lacorrupción.
Objetivos y sus riesgos:a) Operaciónb) Informaciónc) Cumplimiento
Definición de Control Interno
MICI
Incluye planes, métodos, programas, políticas yprocedimientos utilizados para alcanzar elmandato, la misión, el plan estratégico, losobjetivos y las metas.
Es línea de defensa en la salvaguarda de losrecursos y la prevención de actos decorrupción.
Ayuda a la administración eficaz de todos losrecursos, tecnológicos, materiales, humanos yfinancieros.
Es parte intrínseca de la gestión de procesosoperativo, y no como un sistema separado.
Es el proceso que tiene
como fin proporcionar un
grado de seguridad
razonable en la
consecución de los
objetivos de una
institución.
Control interno
Definición (IIA)
LMOR | 10
LMOR | 37
a) Promover la eficiencia y eficacia en las
operaciones
b) Asegurar la confiabilidad en la información
financiera.
c) Mantener el cumplimiento con las leyes y
regulaciones aplicables.
Control interno
Objetivos del control interno (IIA)
Definición de Control Interno
Es un Proceso efectuado
para lograr un fin y no un
fin en sí mismo.
Lo llevan a cabo las Personas, no los manuales,
sistemas y procedimientos.
Están definidos los Responsables claramente.
Definición de Control Interno
Participan todos a
todos los niveles.
Facilita la consecución
de los objetivos.
Aporta un grado de seguridad razonable.
Debe tender al logro del:
Autocontrol, Liderazgo, Integridad,
Calidad, Responsabilidad y Cumplimiento.
Definición de Control Interno
Proceso de gestión: Conjunto de acciones emprendidas por la dirección para
gestionar una entidad. El sistema de control interno, forma parte de dicho proceso y
está integrado en él.
Diseño: El diseño del sistema, tiene como
propósito proporcionar un grado de seguridad razonable acerca de la
consecución de los objetivos. Cuando dicho propósito se logra, se puede considerar que
sistema es eficaz.
Definición de Control Interno
Seguridad razonable: El control
interno, por muy bien diseñado y ejecutado que
esté, no puede garantizar al 100% que los objetivos de una entidad se consigan, debido a las limitaciones
inherentes de todo sistema de control interno.
Limitaciones inherentes: Son propias a
todo sistema de control interno. Estas limitaciones resultan de lo limitado del
juicio humano, la escasez de recursos y la necesidad de
considerar el costo-beneficio de los controles, el riesgo de
crisis del sistema, la posibilidad de elusión de los
controles por parte de la dirección y el riesgo de
confabulación.
CONTROL INTERNO
COSO 2013 - MICI
IV. Modelos de Control Interno COSO 2013 – MICI
Objetivos, Componentes y Principios
i. Ambiente de Control
ii. Administración de riesgos
iii. Actividades de Control
iv. Información y Comunicación
v. Supervisión
LMOR | 42
Objetivos del control interno
Control Interno
Misión
Objetivos
Particulares
Visión
Objetivos
Estratégicos Riesgos
Estrategia…
…
FODA
Planeación Estratégica
Objetivos de Control Interno
Objetivos de Control Interno
SISTEMA NACIONAL DE PLANEACION
PLAN NACIONAL DE DESARROLLO
PROGRAMAS SECTORIALES Y ESTRATEGICOS
PLANES ESTATALES DE DESARROLLO
PROGRAMAS OPERATIVOS ANUALES
POLITICAS Y PROGRAMAS INSTITUCIONALES
Estratégicos: alineados con la misión y visión.
Operativos: vinculados al uso efectivo de los
recursos.
Información: relacionados con la confiabilidad
de los reportes e informes.
Cumplimiento: de leyes y regulaciones
aplicables.
Salvaguarda de activos: salvaguarda de los
recursos contra pérdida, uso indebido y daño.
Categorías de Objetivos
Objetivos de Control Interno
LMOR | 47
Modelo COSO 2013
Marco Integrado de Control Interno17 Principios
CO
MPO
NEN
TE
LMOR | 48
Operacionales
Eficacia y la eficiencia de las
operaciones de la entidad,
incluyendo metas de
desempeño operativo y
financiero, así como la
protección de los activos contra
pérdidas.
Control interno
Objetivos COSO 2013
LMOR | 49
Información
Reportes internos y externos; financieros y no
financieros, y pueden abarcar fiabilidad, oportunidad,
transparencia u otras condiciones establecidas por los
organismos reguladores, órganos normativos o las
políticas internas de la entidad.
Control interno
Objetivos COSO 2013
LMOR | 50
Cumplimiento
Adhesión a las leyes y reglamentos a
los que la entidad está sujeta. Pueden
abarcar más de una categoría al
abordar diferentes necesidades y
puede ser de responsabilidad directa
de diferentes individuos. Las
categorías también indican lo que se
puede esperar del control interno.
Control interno
Objetivos COSO 2013
Objetivos de Control Interno
MICIObjetivos y sus riesgos:
Operación. Se refiere a la eficacia,eficiencia y economía de las operaciones.
Información. Consiste en la confiabilidad delos informes internos y externos.
Cumplimiento. Se relaciona con el apego alas disposiciones jurídicas y normativas.
Características del Control Interno
MICI
Es acorde con el tamaño,
estructura y circunstancias específicas y
mandato legal de la institución
Contribuye de manera eficaz,
eficiente y económica a
alcanzar las 3 categorías de
objetivos
Características del Control Interno
MICI
Asegura razonablemente la salvaguarda de los recursos públicos,
la actuación honesta de todo el
personal y la prevención de actos
de corrupción
El Titular es responsable de establecer los
objetivos institucionales de control interno.
Características del Control Interno
MICI
Implementar controles
adecuados y suficientes en toda la institución
Supervisar y evaluar el
control interno
periodicamente
Mejorar de manera
continua el control interno, conforme a las evaluaciones y
revisiones
El Titular asigna a determinadas unidades
la responsabilidad de:
LMOR | 55
Definición de componentes y
principios
Los 17 Principios
LMOR | 56
COMPONENTES
Puntos
de
Enfoque
4
5
3
4
5
5
5
4
3
6
4
6
5
4
5
7
4
COMPONENTE
AMBIENTE DE CONTROL
REFLEXIONES:
• Cultura
• Valores
• Ética
• Códigos verbales culturales
• Códigos no verbales culturales
• Estilo de liderazgo
COSO
Integridad y valores éticosEntorno y clima organizacional
de respeto e integridad, compromiso y valores éticos
Competencia profesional Definición de responsabilidades
Atmósfera de confianzaDesagregación y delegación de funciones
Filosofía y estilo de direcciónPrácticas adecuadas de
administración de los recursos humanos
Estructura, plan de organización, y manuales
Asignación de autoridad y responsabilidad
Políticas de administración y desarrollo del personal
Componente Ambiente de Control
LMOR | 59
LMOR | 60
Ambiente de control
1. Compromiso de la Organización con la integridad y
los valores éticos.
2. Independencia del Consejo de Administración en la
gestión y supervisión del desarrollo y ejecución del
control interno.
3. La alta dirección debe establecer, con la supervisión
del Consejo de Administración: la estructura, líneas
de reporting, autoridad y responsabilidad en la
consecución de objetivos.
COSO 2013: Principios
LMOR | 61
4. La Organización debe demostrar su compromiso
para atraer, desarrollar y retener personas
competentes.
5. En la consecución de los objetivos, la
Organización debe disponer de las personas
adecuadas para atender sus responsabilidades
de Control Interno.
Ambiente de control
COSO 2013: Principios
LMOR | 62
Principio 1 – Mostrar Actitud de Respaldo y
CompromisoCon la integridad, los valores éticos, las normas de conducta, así
como la prevención de irregularidades administrativas y la
corrupción.
Puntos de Interés
• Actitud de Respaldo del Titular y la Administración
• Normas de Conducta
• Apego a las Normas de Conducta
• Programa de Promoción de la Integridad y Prevención de la
Corrupción
• Apego, Supervisión y Actualización Continua del Programa de
Promoción de la Integridad y Prevención de la Corrupción
MICI: Ambiente de control
Programa de Promoción de la Integridad y Prevención
de la Corrupción en el Sector Publico.
Etapas:
1. Liderazgo y responsabilidades del programa.
2. Establecimiento de un programa de prevención de corrupción.
3. Mejora del Ambiente de Control.
4. Administración y evaluación de riesgos de corrupción.
5. Actividades de control anticorrupción.
6. Capacitación sobre anticorrupción.
7. Información y comunicación.
8. Supervisión.
LMOR | 63
Ambiente de control
El Plan Estratégico debe contener los siguientes:
Comité de Ética
Código de Ética (moral)
Código de Conducta (institucional)
Línea de denuncia
Difusión
Capacitación y Cultura de Integridad
LMOR | 64
Ambiente de control
COMITES DE AUDITORIA Y ETICA
LMOR | 65
Principio 2 – Ejercer la Responsabilidad de Vigilancia
El Órgano de Gobierno / Titular es responsable de
supervisar el funcionamiento del control interno.
Puntos de Interés
• Estructura de Vigilancia
• Vigilancia General del Control Interno
• Corrección de Deficiencias
MICI: Ambiente de control
LMOR | 66
Principio 3 – Establecer la Estructura, Responsabilidad
y Autoridad
Conforme al marco legal, contar con la estructura
organizacional, responsabilidades y delegación de
autoridad para alcanzar los objetivos institucionales,
preservar la integridad, prevenir la corrupción y rendir
cuentas de los resultados alcanzados.
Puntos de Interés
• Estructura Organizacional
• Asignación de Responsabilidad y Delegación de
Autoridad
• Documentación y Formalización del Control Interno
MICI: Ambiente de control
LMOR | 67
Principio 4 - Demostrar Compromiso con la
Competencia Profesional
Contratar, capacitar y retener profesionales
competentes.
Puntos de Interés
• Expectativas de Competencia Profesional
• Atracción, Desarrollo y Retención de Profesionales
• Planes y Preparativos para la Sucesión y Contingencias
MICI: Ambiente de control
LMOR | 68
Principio 5 – Establecer la Estructura para el
Reforzamiento de la Rendición de Cuentas
Evaluar el desempeño del control interno y hacer
responsables a todo el personal por sus obligaciones.
Puntos de Interés
• Establecimiento de una Estructura para
Responsabilizar al Personal por sus Obligaciones de
Control Interno
• Consideración de las Presiones por las
Responsabilidades Asignadas al Personal
MICI: Ambiente de control
Criterios de Evaluación
Contar con un Código de Ética y un Código de Conducta Formal
Medios de difusión de los códigos de ética y de conducta
Método de evaluación del apego a los Códigos de Ética y de Conducta Institucional
Obligatoriedad de una declaración de cumplimiento a los Códigos
LMOR | 69
Ambiente de control
Criterios de Evaluación
Contar con un Comité de Ética formal
Procedimiento de investigación de posibles actos contrarios a la ética
Mecanismos para captar denuncias de posibles actos contrarios a la ética y al código de conducta
Informes a instancias superiores sobre las denuncias de los actos contrarios a la ética y al código de conducta
LMOR | 70
Ambiente de control
Informe periódico al Órgano de Gobierno sobre el funcionamiento general del Sistema de Control Interno
Actualización profesional para el Comité de Control y Desempeño Institucional
Capacitación permanente en temas de ética e integridad; control interno y evaluación; administración de riesgos y evaluación; sobre prevención, disuasión, detección y corrección de posibles actos de corrupción
Criterios de Evaluación
Ambiente de control
Obligación de actualizar el modelo de control interno en sus respectivos ámbitos
Lineamiento de difusión sobre la obligatoriedad de cumplir con el control interno y la administración de riesgos
Criterios de Evaluación
Ambiente de control
COMPONENTE
ADMINISTRACION DE RIESGOS
Los 17 Principios
de COSO 2013
LMOR | 74
COMPONENTES
87
Puntos
de
Interés
4
5
3
4
5
5
5
4
3
6
4
6
5
4
5
7
4
Componente: Evaluación de riesgos
Definición de Administración de Riesgos.
Proceso dinámico e interactivo para identificar,
evaluar, priorizar, supervisar y responder a
aquellos riesgos que, en caso de materializarse,
podrían impactar negativamente el logro de los
objetivos.
Dinámica
Dubai.- Proyecto Islas The World
Identificar los posibles riesgos
76
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
LMOR | 77
6. Especificar los objetivos con claridad para permitir
la identificación y evaluación de los riesgos
relacionados.
7. Identificar y evaluar sus riesgos.
8. Gestionar el riesgo de fraude.
9. Identificar y evaluar los cambios importantes que
podrían impactar en el sistema de control interno.
Evaluación de riesgos
COSO 2013: Principios
LMOR | 78
6 – Definir Objetivos y Tolerancias al Riesgo
7 – Identificar, Analizar y Responder a los Riesgos
8 – Considerar el Riesgo de Corrupción• Tipos de Corrupción
• Factores de Riesgo de Corrupción
• Respuesta a los Riesgos de Corrupción
9 – Identificar, Analizar y Responder al CambioCambios significativos que puedan impactar el control
interno.• Identificación del Cambio
• Análisis y Respuesta al Cambio
MICI: Evaluación de riesgos
LMOR | 79
Principio 6 – Definir Objetivos y Tolerancias al
Riesgo◦ Definición clara de los Objetivos Institucionales,
difundidos a todos los niveles. Específicos y Medibles
con indicadores y otros instrumentos que permitan su
evaluación.
◦ Tolerancia al Riesgo. Nivel aceptable de variación para
cada categoría de objetivos: de Operación, de
Información no financiera y financiera. Consistentes
con los requerimientos y las expectativas. Dentro del
contexto legal, ético y de integridad.
MICI: Evaluación de riesgos
LMOR | 80
Estratégicos: los de más alto nivel, alineados con la misión
y visión de la entidad
Operativos: vinculados al uso efectivo de los recursos
Información: relacionados con la confiabilidad de los
reportes e informes
Cumplimiento: relativos al cumplimiento de leyes y
regulaciones aplicables
Salvaguarda de activos: relacionados con la salvaguarda
de los recursos contra pérdida, uso indebido y daño
Evaluación de riesgos
Categorías de Objetivos
LMOR81
Tolerancia al Riesgo
La Administración es quien debe definir la tolerancia al riesgo para los
objetivos.
Tolerancia es el nivel aceptable de diferencia entre el cumplimiento
cabal del objetivo y su grado real de cumplimiento.
La tolerancia es usualmente medida con las mismas normas e
indicadores de desempeño que los objetivos.
Dependiendo de la categoría de los objetivos, las tolerancias al riesgo
pueden ser expresadas como sigue:
LMOR82
Tolerancia al Riesgo
• De Operación. Nivel de variación en el desempeño en relación con el riesgo.
• De Información no Financieros. Nivel requerido de precisión y exactitud para
las necesidades de los usuarios; implican consideraciones tanto cualitativas
como cuantitativas para atender las necesidades de los usuarios de informes no
financieros.
• De Información Financieros. La relevancia depende de las circunstancias que
los rodean; tanto cualitativas como cuantitativas y se ven afectados por las
necesidades de los usuarios de los informes financieros, así como por el tamaño
o la naturaleza de la información errónea.
• De Cumplimiento. El concepto de tolerancia al riesgo no le es aplicable. La
institución cumple o no cumple las disposiciones aplicables.
LMOR | 83
Principio 7 – Identificar, Analizar y Responder a
los Riesgos
Puntos de Interés:
◦ Identificación de Riesgos
◦ Análisis de Riesgos
◦ Respuesta a los Riesgos
MICI: Evaluación de riesgos
LMOR | 84
Evaluación de riesgos
COSO ERM reconoce
como componentes:
COSO 2013.
EVALUACIÓN DE LOS
RIESGOS añade:
• Establecimiento de objetivos.
• Identificación de eventos
• Evaluación de riesgos
• Respuestas a los riesgos
• Velocidad de riesgo.- rapidez con la que
impacta un riesgo, una vez este se ha
materializado (hace referencia al ritmo
con el que se espera que la entidad
experimente el impacto).
• Resilencia de un riesgo.- duración del
impacto después de que el riesgo se haya
materializado.
85
Clasificación de riesgos
Discrecionales. Resultan de la toma de una posición de riesgo.
• Crédito
• Liquidez
• Mercado
No discrecionales.Aquellos que afectan la operación o actividad
Riesgos de Auditoría
• Riesgo Inherente
• Riesgo de Control (control deficiente o inexistente)
• Riesgo de Detección
LMOR | 86
• Riesgo Estratégico
• Riesgo Financiero (C-M-L)
• Riesgo Operacional
• Riesgo Legal
• Riesgo Reputacional
• Riesgo de Fraude
• Riesgo Tecnológico
Evaluación de riesgos
Clasificación de riesgos
• Incumplimientos
• Errores
• Negligencia
• Documentación inadecuada
• Interrupción en el proceso de las operaciones
• Acceso a los sistemas
• Obsolescencia tecnológica
• Personal incompetente
• Fraude,
• Conflicto de intereses
• Registro contable incorrecto, etc.
LMOR | 87
Evaluación de riesgos
Clasificación de riesgos. Operacional
LMOR | 88
Principio 8 – Considerar el Riesgo de CorrupciónEl Programa de Promoción a la Integridad debe considerar los
riesgos de corrupción, con mecanismos permanentes para
captar información de manera confidencial y anónima.
La Administración con apoyo del Comité de Ética, Comité de
Riesgos, Comité de Cumplimiento, etc., debe considerar la
prevención de la corrupción.
Puntos de Interés:
• Tipos de Corrupción
• Factores de Riesgo de Corrupción
• Respuesta a los Riesgos de Corrupción
MICI: Evaluación de riesgos
89
Fraude: Acto ilegal
caracterizado por engaño,
ocultación o violación de
confianza. No requiere de la
aplicación de amenaza,
violencia o fuerza física.
Perpetrados por individuos o
por organizaciones para obtener
dinero, bienes o servicios, para
evitar pagos o pérdidas de
servicios, o para asegurarse
ventajas personales o de
negocio.
Triángulo del Fraude: sistema desarrollado por el Doctor Donald
Cressey, criminólogo estadounidense.
Presión
Oportunidad
Justificación
Evaluación del Riesgo de Fraude
Considera diversos tipos de fraude:
Informes financieros / no financieros fraudulentos
Malversación de activos
Corrupción
Elusión o anulación de la administración
Evalúa incentivos y presiones
Evalúa las oportunidades al fraude
Evalúa las actitudes y las racionalizaciones
LMOR | 90
Evaluación de riesgos
Principio 8
Tipos de Corrupción:
Informes financieros / no financieros fraudulentos
Apropiación o utilización indebida de activos
Conflicto de intereses
Pretensión de beneficios adicionales
Inducir a un tercero para la obtención de un beneficio.
Coalición con terceros
Trafico de influencias
Enriquecimiento ilícito
Peculado
Intimidación o extorsión para actividades ilegales/ilícitas
LMOR | 91
Principio 8 Riesgo de Corrupción
Evaluación del Riesgo de Corrupción
Factores de Riesgo de Corrupción:
Fraude, abuso, desperdicio y otras irregularidades.
Incentivos / Presiones
Oportunidad
Actitud / Racionalización
LMOR | 92
Principio 8 Riesgo de Corrupción
LMOR | 93
8.1 – Tipos de Corrupcióno Informes financieros fraudulentos.
o Apropiación indebida de activos.
o Conflicto de intereses.
o Utilización de recursos y facultades para fines distintos a los legales.
o Pretensión de beneficios adicionales.
o Participación por interés personal, familiar o de negocios, o que pueda
derivar en ventaja o beneficio para el funcionario o tercero, en la
selección, nombramiento, designación, contratación, promoción,
suspensión, remoción, cese, rescisión de contrato o sanción de s.p.
o Aprovechamiento del cargo o comisión para inducir, a que se efectúe,
retrase u omita un acto que le reporte beneficio, provecho o ventaja.
o Coalición para obtener beneficios.
o Intimidación o extorsión para realizar actividades ilegales /ilícitas.
o Tráfico de Influencias.
o Enriquecimiento ilícito.
o Peculado.
MICI: Evaluación de riesgos
LMOR | 94
8.2 – Factores de CorrupciónO bien fraude, abuso, desperdicio y otras
irregularidades.
Factores que usualmente están presentes:
◦ Incentivos/Presiones.
◦ Oportunidad.
◦ Actitud/Racionalización que justifica. Ya sea actitud,
carácter o valores éticos.
8.3 – Respuesta a los riesgos de corrupción
MICI: Evaluación de riesgos
LMOR | 95
Principio 9 – Identificar, Analizar y Responder al
CambioCambios significativos que puedan impactar el control
interno.
Puntos de Interés:
• Identificación del Cambio
• Análisis y Respuesta al Cambio
MICI: Evaluación de riesgos
Identifica y analiza cambios significativos.
Evalúa cambios en el entorno externo
Evalúa cambios en el modelo de negocio
Evalúa cambios en el liderazgo
LMOR | 96
Evaluación de riesgos
Principio 9
• Sucesos internos y externos con repercusión
en los objetivos;
• Riesgos y oportunidades;
• Combinación e interacción de factores
internos y externos que modifiquen el perfil
del riesgo
LMOR | 97
Identificación de eventos
Evaluación de riesgos
Identificación de riesgos
98
Internos
• Infraestructura
• Estructura de la
administración
• Personal
• Procesos
• Acceso a los bienes
• Tecnología
Externos
• Económicos
• Medio ambientales
• Políticos / Reglamentación
• Operaciones en el
extranjero
• Sociales
• Tecnológicos
Factores
Evaluación de riesgos
Identificación de riesgos
LMOR | 98
• Inventarios de eventos (información estadística)
• Análisis de información histórica
(empresa/sector)
• Entrevistas y sesiones grupales guiadas por
facilitadores
• Análisis de flujos de procesos
LMOR | 99
Técnicas de Identificación
Evaluación de riesgos
Identificación de riesgos
Técnicas de identificación
LMOR | 100
Técnicas para identificación
de riesgos
Talleres de análisis
Mapeo de procesos
Análisis de entorno interno y externo
Lluvia de ideas
Análisis de indicadores de gestión,
desempeño y riesgosEntrevistas
Cuestionario a mandos
superiores y medios
Análisis comparativo
Registros de riesgos
materializados
Talleres de Autoevaluación de riesgos
• Análisis de probabilidad e impacto
• Evaluación bajo una doble perspectiva: riesgo inherente y
riesgo residual.
• Considera el riesgo aceptado
• Horizonte en el tiempo
• Velocidad.- rapidez con la que impacta un riesgo, una vez
este se ha materializado (hace referencia al ritmo con el
que se espera que la entidad experimente el impacto).
• Resilencia.- duración del impacto después de que el
riesgo se haya materializado.
LMOR | 101
Evaluación de riesgos
• Combinación de técnicas cualitativas y cuantitativas
• Cualitativas: Dosis de subjetividad
Empleo del criterio y conocimientos de la entidad
Probabilidad e impacto se expresan en
expresiones adjetivas: alta, media, baja, etc.
Mitigación de subjetividad: datos de eventos
anteriores observables; equipos multidisciplinarios
LMOR | 102
Evaluación de riesgos
Metodología de evaluación
LMOR | 103
• Cuantitativa: mayor objetividad
Empleo de estadísticas y modelos matemáticos
Probabilidad e impacto se expresan en términos de
porcentaje, frecuencia y ocurrencia, escenarios o
derivados de otras métricas numéricas
• Evaluación: Probabilidad de Ocurrencia por el
Impacto del evento
• Velocidad de impacto y la Resilencia o duración del
efecto
• Priorización. Escala de mayor a menor. Riesgos clave
Evaluación de riesgos
Metodología de evaluación
• Riesgos evaluados y priorizados
• Mapa Simple de Priorización y Respuesta
• Alinear acciones con el riesgo aceptado y las
tolerancias al riesgo de la entidad
• Relación costo-beneficio de las acciones
• Concluye en un Plan de Respuesta a los riesgos
LMOR | 104
Base para respuestas
Evaluación de riesgos
Respuesta a los riesgos
Consideraciones gerenciales ante las respuestas:
• Efectos de las respuestas potenciales sobre la
probabilidad y el impacto del riesgo.
• Opciones de respuesta que están en línea con las
tolerancias al riesgo de la entidad.
• Costos versus Beneficios de las opciones.
• Detectar Oportunidades para alcanzar los objetivos de
la entidad.
LMOR | 105
Evaluación de riesgos
Respuesta a los riesgos
LMOR | 106
Acciones de respuestas
EVITAR
Supone eliminar la fuente de riesgo
ACEPTAR
Implica no emprender ninguna acción
REDUCIR
Acciones para reducir la probabilidad o el
impacto
COMPARTIR
Trasladar o compartir con seguros, coberturas,
tercerización, etc
Efecto potencial y las opciones de respuesta
se alinean a la TOLERANCIA
Segregación de funciones para dar respuesta al riesgo
COSTO-BENEFICIO de posibles respuestas
Evaluación de riesgos
Respuesta a los riesgos
LMOR | 107
Priorización-Respuesta
Evaluación de riesgos
Baja probabilidad –
Bajo impacto
Tolerancia
Alta probabilidad –
Alto impacto
Procedimientos de
control y Planes de
contingencia
Baja probabilidad –
Alto impacto
Planes de
contingencia
BajoA
lto
Ba
joAlto
Alta probabilidad –
Bajo impacto
Procedimientos de
control
Imp
ac
toProbabilidad
Administración de Riesgo
Evaluación de riesgos
Evaluación de controles
Valoración final del riesgo
Mapa de riesgos
Estrategias y Acciones de
control
Etapas Proceso ARI
LMOR | 108
Identificación de riesgos
Clasificación de riesgos
Identificación de factores de riesgos
Identificación de posibles efectos
Valoración inicial impacto
Valoración inicial probabilidad ocurrencia
Administración de Riesgo
Etapa. Evaluación de riesgos
LMOR | 109
• Tipificación de controles:
Preventivo, detectivo o correctivo
• Identificar deficiencia, suficiencia y grado de control de riesgos
• Descripción de controles existentes
• Comprobación de existencia o no de controles I II
IIIIV
Etapa: Valoración final del riesgo. Valoración final al impacto y probabilidad de
ocurrencia del riesgo con la confronta de los resultados de las etapas de evaluación
de riesgos y de controles.
Administración de riesgo (ARI)
Etapa: Evaluación de controles
LMOR | 110
LMOR | 111
Identificación
de los
Objetivos
Identificación
de los
Riesgos
Cuantificación
Impacto
y Probabilidad
de Ocurrencia
de Riesgos
Identificación
de los
Controles
Evaluación
de Efectividad
de los
controles
Identificación
de brecha entre
riesgos y
Controles
(exposición)
MATRIZ DE RIESGOS
Evaluación de riesgos
Matriz de riesgos
• Riesgos identificados
• Roles y responsabilidades
Contenido
Plantilla de categorización y niveles de severidad para
probabilidad e impacto (valor 1, 2, 3 y color)
Etapas del Proceso, Tipo de riesgo, Descripción del riesgo,
Efecto, Nivel de Impacto, Nivel de Probabilidad, Evaluación
(calificación, valor y nivel de severidad)
Descripción de respuesta al riesgo.
Priorización de atención
Monitoreo
LMOR | 112
Evaluación de riesgos
Matriz de riesgos
Los riesgos de ubican por cuadrantes en la Matriz de
Administración de Riesgos y se grafican en el Mapa de
Riesgos.
La representación gráfica del Mapa de riesgos comprende
los siguientes cuadrantes
Mapa de riesgos
institucional
Cuadrante I
Riesgos de
atención
inmediata
Cuadrante II
Riesgos de
atención
periódica
Cuadrante III
Riesgos de
seguimiento
Cuadrante IV
Riesgos
Controlados.
LMOR | 113
Matriz de riesgos
institucional
LMOR | 114
Matriz de riesgos
LMOR |
115
Etapas en la administración
de Riesgos
Identificación,
selección y descripción de riesgos.
Clasificación de los riesgos.
Identificación de
factores de riesgo.
Identificación de los posibles
efectos de los riesgos.
Valoración inicial del grado de impacto.
Valoración inicial de la probabilida
d de ocurrencia.
LMOR | 116
Según
catálogo
1ª. Etapa para la
Evaluación de Riesgos
(sin controles)
Descripción de los controles existentes.
Descripción de los factores que
sin ser controles
promueven su aplicación.
Descripción del tipo de control:
preventivo, correctivo y/o
detectivo.
Determinar la suficiencia,
deficiencia o inexistencia del
control.
2ª. Etapa: Evaluación de
Controles
LMOR | 117
Asignar valor final al impacto y probabilidad de ocurrencia del
riesgo.
Establecer criterios para determinar la valoración final del
impacto y probabilidad de ocurrencia del riesgo , así como su ubicación en el cuadrante del MRI.
3ª. Etapa: valoración de
riesgos respecto a
controles
LMOR | 118
Los productos generados
serán:
•La Matriz de Riesgos
•El Mapa de Riesgos
•Las Estrategias y acciones para atender los riesgos
•El Programa de Trabajo de Administración de Riesgos (PTAR)
Evaluación de riesgos
4ª y 5ª Etapa
LMOR | 119
• Riesgos de seguimiento
• Riesgos controlados
• Riesgos de atención inmediata
• Riesgos de atención periódica
II I
IIIIV
Cuadrantes del Mapa
de riesgos
institucional
Administración de Riesgo
Etapa: Elaboración del mapa de riesgos
LMOR | 120
El PTAR institucional que debe contener:
Los riesgos;
Los factores de riesgo;
Las estrategias para administrar los riesgos, y
Las acciones de control registradas en la Matriz de
Administración de Riesgos Institucional, las cuales deberán
identificar:
Unidad administrativa;
Responsable de su implementación;
La fechas de inicio y término;
Medios de verificación, y
Porcentaje de avances.
Administración de Riesgo
Seguimiento de estrategias
LMOR | 121
INICIO
Identificar y seleccionar los
riesgos institucionales.
Evaluar riesgos con grado de impacto y
probabilidad de ocurrencia.
Elaborar la Matriz de
Administración de Riesgos.
Elaborar el Mapa de Riesgos.
Establecer prioridades en la
atención de riesgos.
Definir estrategia y acciones para
administrar riesgos.
Seguimiento a la administración
de riesgos.
Análisis anual del comportamiento
de riesgos.
La Matriz de Administración de
Riesgos Institucional deriva en el Programa Anual de Trabajo y el
del Comité.
Monitoreo
LMOR | 122
Mapa de administración de riesgos
Grado de madurez del S.C.I.
ETAPA EFECTIVIDAD EFICIENCIA MEJOR PRACTICA
GRADO 0. INEXISTENTE 1. INICIAL 2. INTERMEDIO 3. AVANZADO 4. OPTIMO 5. MEJORA CONTINUA
CRITERIO
Las condiciones del
elemento de control
no existen.
Las condiciones
del elemento de
control están
definidas pero no
formalizadas.
Las condiciones del
elemento de control
están documentadas y
autorizadas.
Las condiciones del
elemento de control
están operando. Existe
evidencia documental
de su cumplimiento.
Las condiciones del
elemento de control están
operando. Existe evidencia
documental de su eficiencia
y eficacia.
Las condiciones del elemento de
control están en un proceso
institucionalizado de mejora
continua. Existe evidencia
documental de instancias internas
y externas evaluadoras y/o
fiscalizadoras de su eficiencia,
eficacia.
No está definido el
elemento de control.
Se ha definido el
elemento de
control.
Se ha definido el
elemento de control.
Se ha definido el
elemento de control.
Se ha definido el elemento
de control.
Se ha definido el elemento de
control.
No está
documentado el
elemento de control.
Se ha documentado el
elemento de control
formalmente.
Se ha documentado el
elemento de control
formalmente.
Se ha documentado el
elemento de control
formalmente.
Se ha documentado el elemento
de control formalmente.
Condiciones
de
cumplimiento
de los
elementos de
control
No son capacitados
los responsables para
ejecutar y medir el
elemento de control.
Existe evidencia de
que los responsables
son capacitados para
ejecutar y medir el
elemento de control.
Existe evidencia de que los
responsables son
capacitados para ejecutar y
medir la eficiencia, eficacia
y calidad del elemento de
control.
Existe evidencia de que los
responsables son capacitados para
ejecutar y medir el elemento de
control.
No existe evidencia
del monitoreo del
elemento de control.
Existe evidencia del
monitoreo del elemento de
control.
Existe evidencia formalizada del
monitoreo del elemento de
control.
No se mejora el
elemento de control.
Existe evidencia de herramientas
para la automatización total y
mejora del elemento de control y
son utilizadas.
DISEÑO E IMPLANTACION
Tabla de grados de madurez del Sistema de Control Interno, criterios y condiciones de cumplimiento
LMOR | 123
EJERCICIO
Elaborar una matriz de riesgos con los
siguientes elementos:
-Descripción de las fases de un proceso
-Identificar los posibles riesgos
-Factores internos y/o externos
-Controles y su efectividad
-Diagnóstico finalLMOR | 124
Criterios de Evaluación
Método de Difusión del Plan Estratégico, Objetivos y Metas, y áreas responsables.
Riesgos identificados y documentados.
ID Procesos sustantivos, soporte de objetivos y metas estratégicos; su evaluación y gestión de riesgos
ID Procesos adjetivos, su evaluación y gestión de riesgos
125
Administración de riesgo
Criterios de Evaluación
Metodología definida para la Administración de Riesgos
Procedimiento para informar sobre posibles riesgos, sus fuentes internas o externas
Responsabilidades documentadas de procedimientos para la mitigación y administración de riesgos
126
Administración de riesgo
Políticas de autorización de planes y programas de administración de riesgos: responsables, actividades de prevención, RIESGO RESIDUAL, contingencias, recuperación de desastres y capacitación para la implantación de programas.
INVENTARIO DE RIESGOS, responsables de su administración, su naturaleza y estado que guarda su control y administración
127
Criterios de Evaluación
Administración de riesgo
Comunicados periódicos al Órgano de Gobierno sobre la situación de los RIESGOS RELEVANTES.
Procedimientos para PROCESOS CRÍTICOS que afectan objetivos y metas relevantes, y sus programas de gestión de riesgos.
Procesos susceptibles a CORRUPCIÓN, su evaluación de riesgos, con acciones de prevención y mitigación
128
Criterios de Evaluación
Administración de riesgo
COMPONENTE:
ACTIVIDADES DE CONTROL
LMOR | 129
Actividad
2
Los controles son actividades incorporadas al
proceso que ayudan a prevenir o detectar la
ocurrencia de un evento de riesgo, omisión o
desviación, a fin de cumplir los objetivos
generales de la entidad y del proceso
Inicio FinActividad
1Actividad
4
Actividad
3
Actividad
5S/N
ACTIVIDADES DE CONTROL
Modelo de Flujo de
Proceso
Por el Momento en los que se desarrollan:
CORRECTIVO
DETECTIVO
PREVENTIVO
Tipos de Controles
ENTRADA SALIDAPROCESO ?
ADECUACIONES
PUNTO DE CONTROL
ENTRADA SALIDAPROCESO ?
ADECUACIONES
PUNTO DE CONTROL
ENTRADA SALIDAPROCESO?
ADECUACIONES
PUNTO DE CONTROL
CORRECTIVO: PERMITE
IDENTIFICAR ERRORES
POSTERIOR A SU
PRESENTACIÓN
DETECTIVO: ACTIVIDAD
QUE PERMITE IDENTIFICAR
ERRORES CUANDO OCURRE
EL RIESGO
Tipos de Controles
Controles Preventivos
Son los más eficaces y rentables porque se anticipan en gradorazonable a la ocurrencia de eventos indeseables o inesperados.
Controles Detectivos
Son menos efectivos que los preventivos, pero mejores que loscorrectivos.
Controles Correctivos
Son necesarios, pero deben privilegiarse los dos anteriores.
Controles Directivos
Fomentan o establecen condiciones o un ambiente que favorezcael sistema de C.I. en conjunto.
Segregación de funciones
Coordinación entre tareas
Documentación
Niveles de autorización
Registro oportuno y adecuado de transacciones y hechos
Acceso restringido a los recursos
Activos y registros
Rotación de personal en tareas clave
Control del sistema de información
Controles en TIC
Actividades de control
Técnicas
LMOR | 134
Tipos de Controles DESCRIPCION DEL CONTROL TIPO
Preventivo Detectivo Correctivo
LMOR | 136
Priorización-Respuesta
Evaluación de riesgos
Baja probabilidad –
Bajo impacto
Tolerancia
Alta probabilidad –
Alto impacto
Procedimientos de
control y Planes de
contingencia
Baja probabilidad –
Alto impacto
Planes de
contingencia
BajoA
lto
Ba
joAlto
Alta probabilidad –
Bajo impacto
Procedimientos de
control
Imp
ac
toProbabilidad
LMOR | 137
Principios:
10 – Diseñar Actividades de Control
11 – Diseñar Actividades para los sistemas de
información
12 – Implementar Actividades de Control
MICI: Actividades de Control
LMOR | 138
Principio 10 – Diseñar Actividades de ControlDiseñar, actualizar y garantizar la suficiencia e
idoneidad de las actividades de control para el logro de
los objetivos y como respuesta a los riesgos.
Puntos de Interés:
Respuesta a los Objetivos y Riesgos
Diseño de las actividades de control apropiadas
Diseño de actividades de control en varios niveles
Segregación de funciones
MICI: Actividades de Control
LMOR | 139
Principio 11 – Diseñar Actividades para los sistemas
de informaciónLos objetivos del procesamiento de información incluyen:
Integridad, Exactitud y Validez.
Puntos de Interés:
Desarrollo de los sistemas de información
Diseño de los tipos de actividades de control apropiadas:
generales y de aplicación.
Diseño de la infraestructura de las TIC
Diseño de la administración de la seguridad
Diseño de la adquisición, desarrollo y mantenimiento de
las TIC
MICI: Actividades de Control
Se dividen en:
• controles generales
• controles de aplicación
relacionados entre sí y ambos ayudan a asegurar el
procesamiento de información completa y precisa.
Controles para tecnología de la información
LMOR | 140
Aplican a la forma en que son administrados los recursos
humanos, técnicos y financieros en los ambientes de las
TIC.
Se diseñan para cubrir el procesamiento de información
dentro de aplicaciones específicas de software.
Son diseñados para prevenir, detectar y corregir errores
en los flujos de información a través de los sistemas
informáticos.
Se categorizan en las tres fases fundamentales del ciclo
del proceso: Controles de Entrada, de Proceso y de
Salida.
Controles Generales TIC
LMOR | 141
Se centran generalmente en seis grupos:
Planeación y administración del programa de seguridad;
Controles de acceso de seguridad física y lógica;
Controles sobre el desarrollo, mantenimiento y cambios;
Controles del software de sistema, de control y monitoreo de acceso de uso y cambios;
Segregación de funciones;
Continuidad del servicio, contra desastres, respaldo y recuperación y planes de contingencia.
Controles Generales TIC
LMOR | 142
Controles Generales T.I.
Planeación y administración del programa de
seguridad de la entidad
El programa de planeación y administración de seguridad
provee un marco y ciclo continuo de actividad para el
riesgo gerencial. Incluye:
El desarrollo de políticas de seguridad,
La asignación de responsabilidades, y
El seguimiento de la correcta operación de los
controles relacionados con las computadoras.
LMOR | 143
Controles de acceso
Limitan o detectan el acceso a los recursos informáticos
(información, programas, equipos y facilidades),
Protegen contra modificaciones no autorizadas, pérdida y
exposición no deseada.
Controles sobre el desarrollo, mantenimiento y cambio del
software de aplicación
Previenen la utilización de programas no autorizados y/o
modificaciones a los programas existentes.
Controles Generales T.I.
LMOR | 144
Controles de software del sistema
Limitan y realizan el seguimiento del acceso a programas potentes
y archivos sensibles que controlan el hardware de las
computadoras y
Aseguran las aplicaciones apoyadas por el sistema.
Segregación de Funciones
Previene que un individuo controle los aspectos clave de las
operaciones de las computadoras
Evita acciones o accesos no autorizados a los bienes o a los
archivos.
Controles Generales T.I.
LMOR | 145
Continuidad del servicio
Sirve para asegurar que ante la eventualidad de un
siniestro, las operaciones críticas continúen sin
interrupción.
• Asegura la rápida recuperación de la
información.
• Garantiza que la operación se reanude
prontamente
• La información crítica o sensible sea protegida y
recuperada.
Controles Generales T.I
LMOR | 146
Ayudan a asegurar que las transacciones sean válidas,
autorizadas, procesadas e informadas de forma
completa y exacta. Se dividen en:
Controles de Insumo. Incluyen procesos que verifican
la confiablidad y exhaustividad de los datos
ingresados.
Controles de Proceso. Aseguran que los procesos se
desempeñan según lo previsto y la información se
mantiene completa y exacta durante la actualización.
Controles de Producto. Aseguran que la información
es exacta, grabada, recibida o revisada por personas
autorizadas.
Controles de Aplicación. TIC
LMOR | 147
LMOR | 148
Principio 12 – Implementar Actividades de
Control
Puntos de Interés:
Documentación y Formalización de
Responsabilidades a través de:
Políticas, manuales, lineamientos y otros
documentos similares.
Revisiones periódicas a las actividades de control
MICI: Actividades de Control
Controles Efectivos
Los controles excesivos y
complejos pueden contribuir a la
corrupción.
Poner énfasis en los controles
Anticorrupción.
CR
ITER
IOS D
E E
VA
LU
AC
IÓN
LMOR | 150
Programa formal de trabajo de control interno para los procesos
sustantivos y adjetivos mencionados en los criterios mencionados en el
componente de administración de riesgos
5 sistemas de información automatizados relevantes, a los que se les
haya aplicado evaluación de control interno y/o riesgos
Documento o procedimiento formal en el que se establezca la
obligatoriedad de evaluar y actualizar periódicamente las políticas y
procedimientos de los controles internos, relacionados con los procesos
sustantivos y adjetivos para logro de metas y objetivos institucionales
Evaluación de control interno a los procedimientos autorizados por el
cual se integra la información para la actualización trimestral de normas
de desempeño de los indicadores estratégicos, a fin de asegurar su
integridad y confiabilidad
Actividades de control
COMPONENTE:
INFORMACION Y COMUNICACION
LMOR | 151
Información
Establece la forma en que la
organización identifica, captura
e intercambia información de
una forma y en un período de
tiempo que le permita a las
personas llevar a cabo sus
responsabilidades.
Información y
comunicación
Definición
LMOR | 152
Comunicación
La comunicación efectiva debe fluir a través de toda
organización, de todos los componentes, la estructura
completa y partes externas.
Información y
comunicación
Definición
LMOR | 153
• Información y responsabilidad;
• Contenido y flujo de la información;
• Calidad de la información;
• Flexibilidad al cambio;
• Compromiso de la autoridad superior;
• Comunicación de valores organizacionales;
• Canales de comunicación.
Información y comunicación
Elementos
LMOR | 154
LMOR | 155
Principios:
13 – Usar información de Calidad.
14 – Comunicar internamente.
15 – Comunicar externamente.
MICI: Información y Comunicación
LMOR | 156
Principio 13 – Usar información de Calidad.
Puntos de Interés:
Identificar los requerimientos de información.
Expectativas de los usuarios internos y externos.
Datos relevantes de Fuentes Confiables tanto
internas como externas.
Datos procesados en información de calidad.
Apropiada, veraz, completa, exacta, accesible y
oportuna.
MICI: Información y Comunicación
LMOR | 157
Principio 14 – Comunicar internamente.
Puntos de Interés:
Comunicación en toda la Institución.
Métodos apropiados de Comunicación:
Audiencia, Naturaleza de la información,
Disponibilidad; considerar los recursos utilizados.
MICI: Información y Comunicación
LMOR | 158
Principio 15 – Comunicar externamente.
Puntos de Interés:
Comunicación con partes externas. A través de líneas
de reporte establecidas y autorizadas.
Métodos apropiados de Comunicación:
Audiencia, Naturaleza de la información,
Disponibilidad, Documental o medios; considerar los
recursos utilizados y los requisitos legales o
reglamentarios.
MICI: Información y Comunicación
Financieros/ No Financieros Características
Usadas para cumplir
los requerimientos
externos
Preparados de acuerdo
a las normas
Pueden ser requeridos
y regulados por
contratos y acuerdos
Usados por el gerente
para negocios y
desiciones de mercado
Establecido por la
gerencia y la dirección
Los objetivos de la
información financiera
externa pueden estar
relacionados con:
• Estados Financieros
Anuales.
• Estados Financieros
Intermedios.
• Reportes trimestrales
Los objetivos de la
información no financiera
externa pueden estar
relacionados con:
• Informes d Control Interno
• Informes de sustentabilidad
• Procedimiento de
suministro/custodia de los
activos.
Reportes financieros
internos:
Información financiera por
área o división
Presupuestos / cash flow /
Presupuesto por programas
Compromisos financieros de
convenios bancarios
Los objetivos de la
información no financiera
interna pueden estar
relacionados con:
• Personal/ Utilización del
Activo
• Medidas de satisfacción del
cliente
• Medidas de Seguridad y
Salud
Inte
rnos
/ E
xte
rnos
LMOR | 159
CR
ITER
IOS D
E E
VA
LU
AC
IÓN
LMOR | 160
Plan de Sistemas de Información implantado, alineado y que dé soporte
al cumplimiento de objetivos y estratégicos
Planes de recuperación de desastres de datos, hardware y software
asociados directamente al logro de objetivos y metas, documentados.
Documentadas las Políticas, lineamientos y criterios para la elaboración
de informes relevantes respecto al logro del plan estratégico y sus
objetivos y metas, que promuevan la integridad, confiabilidad,
oportunidad y protección de la información
Información y comunicación
COMPONENTE:
SUPERVISIÓN
16. La Organización llevará a cabo evaluaciones
continuas e individuales, con el fin de comprobar
si los componentes de el control interno están
presentes y están funcionando.
17. Evalúa y comunica las deficiencias de control
interno.
Monitoreo
COSO 2013: Principios
LMOR | 162
LMOR | 163
Principios:
16 – Realizar Actividades de Supervisión
17 – Evaluar los Problemas y Corregir las
Deficiencias
MICI: Supervisión
LMOR | 164
Principio 16 –
Realizar Actividades de Supervisión
Puntos de Interés:
Establecimiento de Bases de Referencia.
Supervisión del Control Interno.
Evaluación de Resultados.
MICI: Supervisión
LMOR | 165
Principio 17 –
Evaluar los Problemas y Corregir las
Deficiencias
Puntos de Interés:
Informe sobre Problemas
Evaluación de Problemas
Acciones Correctivas.
MICI: Supervisión
CR
ITER
IOS D
E E
VA
LU
AC
IÓN
LMOR | 166
Autoevaluaciones del control interno por parte de los
responsables de su funcionamiento en los dos últimos
ejercicios, de los procesos sustantivos y adjetivos con riesgos
detectados y evaluados
Procedimiento de los lineamientos y mecanismos para los
responsables de los procesos y controles internos, para
comunicar al Coordinador del Control Interno, sobre los
resultados de las evaluaciones y deficiencias detectadas, para
su seguimiento
Procesos sustantivos y adjetivos con riesgos detectados y
evaluados, a los que se llevaron a cabo auditorías internas o
externas en los dos últimos ejercicios
Monitoreo
CONTROL INTERNO
COSO 2013 - MICI
V. Criterios de Eficacia y
Herramientas de Evaluación
LMOR | 167
HERRAMIENTAS DE EVALUACION
Herramientas de evaluación
Para evaluar o autoevaluar el control interno
existen diversas herramientas técnicas tales como:
• Entrevistas,
• Dinámicas grupales,
• Mapa de procesos,
• Diagramas de flujo,
• Cuestionarios,
• Análisis documental,
• Encuestas, entre otras.
Se utilizan dependiendo del tipo y alcance de la
evaluación
LMOR | 169
Evaluación del control interno en la
Administración Pública Municipal
Etapas:
I. Planeación
1. Capacitación
2. Objetivo y Alcance
3. Universo
4. Normativa aplicable
5. Programa de actividades
LMOR | 170
Evaluación del control interno en la
Administración Pública Municipal
Etapas:
II. Ejecución
1. Cuestionarios
2. Análisis documental y valoración de las
respuestas
III. Integración y presentación de resultados
1. Resultados total y por componente
2. Estrategias sugeridas para su fortalecimiento
3. Presentación de resultados por componente
y total del municipio, institución o delegación
LMOR | 171
Evaluación del control interno en la
Administración Pública Municipal
Modelo de Evaluación (ASF):
1. Cuestionario para valoración
2. Parámetros de Valoración
Cuantitativos
3. Criterios para la valoración
4. Rangos de Valoración
LMOR | 172
http://www.asf.gob.mx/Publication/182_Metodologias_para_la_Evaluacion
CONTROL INTERNO
COSO 2013 - MICI
VI. Beneficios y limitaciones del control
interno
LMOR | 173
BENEFICIOS Y LIMITACIONES
CP Luz María Ortiz Rodríguez
CONSEJO DIRECTIVO O
DIRECCION EJECUTIVA
Responsables del Control
Importancia del Control
RESPONSABILI-DADES CLARAS
APLICACIÓN GLOBAL
INFORMES ECONÓMICOS Y
OPERATIVOS
FACILITA LA ADMINISTRACIÓN
IDENTIFICA CAUSAS DE
DESVIACONES
MEDIDAS CORRECTIVAS
DE DESVIACIONES
PREVIENE IRREGULARIDA-DES Y FRAUDES
El Control Interno, da transparencia y mejora la
eficiencia de la gestión al tomar acción sobre
debilidades y riesgos identificados a lo largo de la
organización y sus procesos.
Importancia del Control
Importancia del Control Interno
En resumen contribuye para: Alcanzar metas y objetivos.
Fortalecer la fiabilidad de la información financiera.
Ayuda al cumplimiento de leyes y ordenamientos.
Ayuda a prevenir la pérdida de recursos.
Ayuda en la prevención de irregularidades y fraudes.
Es un frente en el combate a la corrupción.
Aporta una estructura para la rendición de cuentas.
Fomenta la transparencia.
Por sí mismo no puede asegurar el logro de los objetivos;
No puede convertir un directivo malo en un buen directivo;
No puede garantizar el éxito ni la sobrevivencia de la
entidad;
No puede impedir la toma de decisiones erróneas;
No puede evitar una elusión de los controles por la propia
dirección;
Puede ser neutralizado por confabulación;
Su costo no debe exceder los beneficios potenciales.
Limitaciones
del control internoLimitaciones
LMOR | 179
CONTROL INTERNO
COSO 2013 - MICI
VII. Roles y responsabilidades
LMOR | 180
RESULTADOS – OBJETIVOS – SEGURIDAD – CALIDAD –
COSTO - CUMPLIMIENTO – INFORMACIÓN
TRANSPARENCIA – RENDICION DE CUENTAS
IMPACTO
Responsables del Control
ESTRATEGIA
OBJETIVOS
RECURSOS
PROCESOS
ESTRUCTURAPLANEACIÓN
PROGRAMACIÓN
PRESUPUESTO Y
SUPERVISIÓNPROCESOS,
ACCIONES Y
TAREAS
ESTRATEGICO
DIRECTIVOOPERATIVO
QU
E S
E
ESPER
A?
Responsables del Control
Todos los integrantes de una
organización tienen una participación y
responsabilidad en el control interno.
La eficacia del sistema de C.I. depende de la
actitud de respaldo de la alta dirección y
demás personal. La alta dirección establece el
“tono” de la organización y su compromiso con
el buen funcionamiento de un sistema
adecuado de C.I., fomenta que el resto del
personal sea responsable en sus respectivos
ámbitos.
Responsables del Control
La ALTA DIRECCIÓN tiene la responsabilidad más
importante en el sistema. Debe asegurarse de su
adecuado funcionamiento y actualización y de
impulsar la capacitación sobre el C.I. y su
evaluación.
Le corresponde:
• La misión y plan estratégico
• Tono ético y de integridad
• Vigilancia y supervisión de la alta dirección
• Políticas generales y estructura de la
organización
• Rendición de cuentas a los accionistas
• Filosofía de administración, decisiones y riesgos.
Responsables del Control
PLANEACIÓN
PROGRAMACIÓN
PRESUPUESTO Y
SUPERVISIÓN PROCESOS,
ACCIONES Y
TAREAS
ESTRATEGICO
DIRECTIVO
OPERATIVO
GOBIERNO CORPORATIVO
Responsables del Control
Dirección Ejecutiva / Administración
Son responsables directos del diseño,
implementación y adecuada supervisión del
funcionamiento, mantenimiento y
documentación del sistema de C.I.
Sus responsabilidades varían dependiendo de
sus funciones y de las características de la
organización.
Responsables del Control
Dirección Ejecutiva / Administracióna) Debe mostrar integridad, ética, honestidad,
legalidad, compromiso con el desempeño,
transparencia y rendición de cuentas, respeto al
personal, entre las más importantes.
b) Liderazgo basado en el ejemplo y buena dirección.
c) Asegurar la competencia de los integrantes con
capacidades alineadas a los objetivos.
d) Dar oportunidad a la innovación y mejora.
e) Debe supervisar cómo se ejerce la autoridad y el
control interno en las operaciones, asignando
claras responsabilidades y líneas de comunicación.
Responsables del Control
Auditores InternosContribuyen a mantener o mejorar la calidad del
C.I. al evaluar su efectividad en el proceso de
Monitoreo.
Evalúan y contribuyen con sus recomendaciones a
la eficacia continua del sistema. Desempeñan un
papel importante en el control interno eficaz con
sus recomendaciones pero no tienen directa
responsabilidad sobre el diseño, implementación,
mantenimiento y documentación del control
interno.
Responsables del Control
PersonalEl control interno es parte implícita y
explícita de las funciones de cada uno.
Todos los miembros del personal juegan un
rol al efectuar el control y son responsables
de reportar problemas de operación y de
no cumplimiento al código de ética y de
conducta o de violaciones a la política.
Responsables del Control
Auditores ExternosAgentes externos como los auditores
externos, asesoran y proporcionan
recomendaciones sobre el control interno.
Responsables del Control
OtrosAgentes externos que interactúan con la
organización (clientes, proveedores, expertos,
etc), proporcionan información sobre el
funcionamiento del C.I., la calidad y el logro de
sus objetivos o desviaciones.
Legisladores que emiten regulaciones para la
mejora del control interno.
Sector Público
El MICI, define que el titular debe establecerobjetivos institucionales de control interno yasignar de manera clara la responsabilidad de:
Implementar controles adecuados y suficientes
Supervisar y evaluar periódicamente el control interno
Mejorar de manera continua el control interno, conbase en los resultados de las evaluaciones periódicasrealizadas por los revisores internos y externos, entreotros
Responsables del Control
Responsables del Control
Asegurar que el control interno:
a. Contribuye de manera eficaz, eficiente yeconómica a alcanzar las tres categorías deobjetivos
b. Asegura de manera razonable, la salvaguardade los recursos, la actuación honesta de todoel personal y la prevención de actos decorrupción.
Asignar de manera clara a determinadas unidades oáreas, la responsabilidad de su control interno.
A través de las conductas pertinentes.
Responsables del Control
Participantes:
• Consejo de Administración
• Comité de Ética
• Comité de Auditoría
• Comité de Riesgos y Control
• Comité de Nominaciones de Gobierno
• Asesoramiento jurídico
Responsables del Control
Participantes:
• Titular
• Nivel directivo y operativo
• Órgano Interno de Control
• Coordinador de control Interno
• Enlace de control interno
• Enlace de administración de riesgos
• Enlace del COCODI
Responsables del Control
COCODIS. Objetivos
Comité de Control y Desempeño Institucional
Contribuir al cumplimiento de los objetivos y
metas institucionales con enfoque a resultados;
Impulsar el establecimiento y actualización del
Sistema de Control Interno Institucional a
través de su seguimiento permanente;
Promover el cumplimiento de programas
institucionales;
Responsables del Control
Contribuir a la administración de riesgos
institucionales con el análisis y seguimiento de las
estrategias y acciones del PTAR, dando prioridad a
los riesgos de atención inmediata;
Impulsar la prevención de la materialización de
riesgos, a efecto de evitar la recurrencia de
observaciones, atendiendo la causa raíz de las
mismas;
Agregar valor a la gestión, con aprobación de
acuerdos y compromisos de solución a los asuntos
que se presenten.
Implantación del modelo de control interno
Los 17 Principios de COSO 2013
LMOR | 198
45345
5543
646
545
74
Responsabilidad del Titular de la Organización
• Claridad en la metodología a instrumentar
• Se constituya como herramienta de gestión y proceso
sistemático.
Deben estar presentes los cinco componentes
funcionando de manera integrada.
Criterio profesional para evaluar los componentes en
relación al cumplimiento de los objetivos.
Solidez de la alta dirección al demostrar integridad y ética.
Análisis periódico y objetivo de problemática y tendencias.
Requisitos del Control Interno Efectivo
LMOR | 199
Criterio profesional tomando en cuenta:
Leyes, regulaciones y normas aplicables a la organización
Naturaleza del negocio, tamaño de la organización y los
mercados en los que opera
Alcance y naturaleza del modelo operativo y los procesos
de la organización
Capacidad del personal responsable del control interno
Uso de la tecnología en la organización
Apetito al riesgo de la dirección
Análisis del costo beneficio de los controles
Documentación del sistema de control interno
La implantación de los Criterios de Evaluación de cada
componente
Requisitos del Control Interno Efectivo
Fortalecimiento del control interno
• A través de encuestas formuladas y actualizadas cada
año por la SFP.
• El Enlace de control interno es responsable de su
aplicación en los tres niveles de control:
estratégico, directivo y operativo.
• El Enlace implementará los controles necesarios, a fin
de que las encuestas se contesten en su totalidad. En
caso contrario, el Enlace solicitará justificación y
documento que la acredite.
Evaluación y Fortalecimiento del SCI
LMOR | 202
Los servidores públicos en los tres niveles de control
son responsables de conservar y resguardar las
evidencias que respalden las respuestas.
La evidencia documental y/o electrónica a que se
refiere este numeral estará a disposición de los
órganos fiscalizadores.
Las debilidades detectadas se informarán a los
niveles superiores y se integrarán al PTCI
Evaluación y Fortalecimiento del SCI
LMOR | 203
Mapa de Aplicación de
Control Interno
INICIOSFP/ASF
Emite disposición normativa de
Control Interno
Titular de la Institución
Autoevalúa y elabora Informe Anual
Titular de la Institución
Elabora el Programa de Trabajo de Control
Interno
Titular de la Institución
Presenta Informe Anual
OICEvalúa Informe Anual
y emite Informe de Resultados de Evaluación
Titular de la Institución
En su caso, actualiza el Programa de
Trabajo de Control Interno
Titular de la Institución
Da seguimiento al Programa de
Trabajo de Control Interno
OICVerifica avances al Programa de
Trabajo de Control Interno y resultados
esperados
FIN
LMOR | 204
CP Luz María Ortiz Rodrí[email protected]
Top Related