CURSO DE AUDITORÍA

IV
AUDITORÍA
INTERNA
Marco Internacional para la
Práctica Profesional de la Auditoría
Interna (MIPP)
• El Marco Internacional para la Práctica
Profesional de la Auditoría Interna, emitido
por el Instituto de Auditores Internos (THE
INSTITUTE OF INTERNAL AUDITORS IIA)
y sus modificaciones con vigencia desde
enero de 2016, es el referente fundamental
para todo profesional que desempeñe la
actividad de auditoría interna en el mundo y
una herramienta esencial en el día a día de
los auditores internos.
Marco Internacional para la
Práctica Profesional de la
Auditoría Interna
• El objetivo del Marco Internacional
para la Práctica Profesional de la
Auditoría Interna es proporcionar una
guía coherente que facilite la
interpretación y aplicación de
conceptos, metodologías y técnicas
fundamentales para la profesión.
Marco Internacional para la Práctica
Profesional de la Auditoría Interna
El referido Marco Internacional incluye
entre otros:
• Código de Ética (Definición de Auditoría
Interna)
• Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna
(NIEPAI).
• Consejos para la práctica de Auditoría
Interna.
• Guías para la práctica de Auditoría
Interna.
CÓDIGO DE ÉTICA
• El Código de Ética, establece los
principios y expectativas que rigen el
comportamiento de los individuos y
organizaciones que ejercen la
auditoría.
• Describe los requisitos mínimos de
conducta y expectativas de
comportamiento, sin entrar en
actividades específicas.
CÓDIGO DE ÉTICA
• El propósito del Código de Ética es
promover una cultura ética en la
profesión de auditoría interna.
• Un código de ética es necesario en
nuestra profesión, cuyos pilares se
asientan en la confianza, en el
aseguramiento objetivo de la gestión
de riesgos, control y gobierno de la
empresa.
Componentes
esenciales del código de
ética
1. Principios que son relevantes para
la profesión y práctica
de la auditoría interna. 2. Reglas de
conducta que describen las normas
de comportamiento que se espera
sean observadas por los auditores
internos.
Principios
Se espera que los auditores internos
apliquen y cumplan los
siguientes principios: 1. Integridad
2. Objetividad 3. Confidencialidad
4. Competencia
I. Integridad
La integridad de los auditores internos establece
confianza y, consiguientemente, proporciona la
base para confiar en su juicio.
II. Objetividad
Los auditores internos exhiben el más alto nivel de
objetividad profesional al reunir, evaluar y comunicar
información sobre la actividad o proceso a ser examinado.
Los auditores internos hacen una evaluación equilibrada
de todas las circunstancias relevantes y forman su juicio
sin dejarse influir indebidamente por sus propios intereses
o por otras personas.
III. Confidencialidad
Los auditores internos respetan el valor y la propiedad de
la información que reciben y no divulgan información sin la
debida autorización a menos que exista una obligación
legal o profesional para hacerlo.
IV. Competencia
Los auditores internos aplican el
conocimiento, aptitudes y experiencia
necesarios al desempeñar los servicios de
auditoría interna.
REGLAS DE CONDUCTA
Las reglas son una ayuda para
interpretar los Principios en
aplicaciones prácticas. Su intención
es guiar la conducta ética de los
auditores internos: 1. Integridad 2.
Objetividad 3. Confidencialidad 4.
Competencia
Integridad
Los auditores internos:
• Desempeñarán su trabajo con
honestidad, diligencia y responsabilidad.
• Respetarán las leyes y divulgarán lo que
corresponda de acuerdo con la ley y la
profesión.
• No participarán a sabiendas en una
actividad ilegal o de actos que vayan en
detrimento de la profesión de auditoría
interna o de la organización.
• Respetarán y contribuirán a los objetivos
legítimos y éticos de la organización.
Objetividad
Los auditores internos:
• No participarán en ninguna actividad o
relación que pueda perjudicar o aparente
perjudicar su evaluación imparcial. Esta
participación incluye aquellas actividades o
relaciones que puedan estar en conflicto
con los intereses de la organización.
• No aceptarán nada que pueda perjudicar
o aparente perjudicar su juicio profesional.
• Divulgarán todos los hechos materiales
que conozcan y que, de no ser divulgados,
pudieran distorsionar el informe de las
actividades sometidas a revisión.
Confidencialidad
Los auditores internos:
• Serán prudentes en el uso y
protección de la información
adquirida en el transcurso de su
trabajo.
• No utilizarán información para
lucro personal o que de alguna
manera fuera contraria a la ley o
en detrimento de los objetivos
legítimos y éticos de la
organización.
Competencia
Los auditores internos:
• Participarán sólo en aquellos
servicios para los cuales tengan los
suficientes conocimientos, aptitudes y
experiencia.
• Desempeñarán todos los servicios
de auditoría interna de acuerdo con
las Normas para el Ejercicio
Profesional de Auditoría Interna.
• Mejorarán continuamente sus
habilidades y la efectividad y calidad
de sus servicios.
DEFINICIÓN DE LA ACTIVIDAD DE
AUDITORÍA INTERNA IIA
• Actividad de auditoría interna- Un

departamento, división, equipo de

consultores, u otros/s practicante/s que

proporcionan servicios independientes y

objetivos de aseguramiento y consulta,

concebidos para agregar valor y mejorar las

operaciones de una organización.
• La actividad de auditoría interna ayuda a
una organización a cumplir sus objetivos

aportando un enfoque sistemático y

disciplinado para evaluar y mejorar la

eficacia de los procesos de gestión de

riesgos, control y gobierno.

INDEPENDENCIA DE LA AUDITORÍA
INTERNA
• Con el fin de lograr el grado de independencia
necesario para cumplir eficazmente las
responsabilidades de la actividad de auditoría
interna, el Director Ejecutivo de Auditoría (DEA),
debe tener acceso directo e irrestricto a la alta
dirección y al Consejo.
• Es frecuente que la auditoría interna, no
dependa funcionalmente de la máxima autoridad
de la organización (Consejo de administración o
la junta directiva) sino que está supeditada o
debe reportar a la gerencia general o bien
alguna autoridad menor, lo cual incide
negativamente en el ejercicio de las
responsabilidades del director ejecutivo de
auditoría interna y su efecto en la independencia
mental y conflicto de intereses.
OBJETIVIDAD DE LA AUDITORÍA
INTERNA
• Es una actitud mental
independiente, que permite que
los auditores internos lleven a
cabo sus trabajos con confianza
en el producto de su labor y sin
comprometer de manera
significativa su calidad.
• La objetividad requiere que los
auditores internos no subordinen
su juicio al de otros sobre temas
de auditoría.
SERVICIOS (ACTIVIDADES) DE
ASEGURAMIENTO
Evaluación objetiva de las
evidencias, efectuadas por los
Auditores Internos, para
expresar una opinión o
conclusión independiente
respecto de una entidad,
operación, función, proceso,
sistema u otro asunto.
SERVICIOS (ACTIVIDADES) DE
ASEGURAMIENTO
• La naturaleza y el alcance del trabajo de
aseguramiento están determinados por el
auditor interno. Por lo general existen tres
partes en los servicios de aseguramiento:
1. la persona o grupo directamente
implicado en la entidad, operación,
función, proceso, sistema u otro asunto, es
decir el dueño del proceso. 2. La persona
o grupo que realiza la evaluación, es decir
el auditor interno, y; 3. la persona o grupo
que utiliza la evaluación, es decir el
usuario.
SERVICIOS DE CONSULTORÍA
• Son por naturaleza consejos, y son
desempeñados, por lo general, a pedido de
un cliente.
• La naturaleza y el alcance del trabajo de
consultoría están sujetos al acuerdo
efectuado con el cliente. Por lo general
existen dos partes en los servicios de
consultoría: 1. La persona o grupo que ofrece el
consejo, es decir el auditor interno, y 2. La persona
o grupo que busca y recibe el consejo, es decir el
cliente del trabajo. Cuando
desempeña
servicios de consultoría, el auditor interno
debe mantener la objetividad y no asumir
responsabilidades de gestión.
AUDITORÍA INTERNA CONCEBIDA PARA
AGREGAR VALOR
Condiciones para agregar valor: 1.
Independencia y flexibilidad de la Auditoría
Interna para utilizar
recursos 2. Conocimiento del negocio 3.
Mayor involucramiento de la Auditoría
Interna en el cambio 4. Pericia en
herramientas de Tecnologías de
Información (TI) para
recolectar y analizar datos 5. Monitoreo,
reporte y demostración del valor agregado
AUDITORÍA INTERNA CONCEBIDA
PARA AGREGAR VALOR
La auditoría interna provee una serie de
valores adicionales a las organizaciones,
algunos de los cuales se detallan a
continuación:
• Valor estratégico: Es cuando la
auditoría interna logra asegurar que existe
una verdadera coherencia entre los
objetivos fijados por los planes de negocios
y los medios disponibles para alcanzarlos.
Este valor estratégico debe tender a
acrecentar o al menos mantener la
competitividad de la empresa en el
mercado.
• Valor productivo: La auditoría interna
asegura la capacidad de la empresa para
cumplir en tiempo y forma los compromisos
asumidos con los clientes con la mayor
economía de recursos posible.
Valor humano: La auditoría
interna contribuye mediante la
capacitación y el desarrollo de
individuos que luego pueden ser
destinados a tareas de línea.
Valor financiero: Al asegurar
mediante el Control Interno
continuo de los riesgos y la
conveniencia o no de decisiones
de inversión, expansión,
reingeniería, distribución de
dividendos, etcétera, las que en
definitiva pueden afectar su
propia existencia.
DEFINICIÓN DE AUDITORÍA INTERNA
IIA
Los procesos de gobierno, de gestión de
riesgos y control se relacionan entre sí a
través de:
• Gobierno: Es la combinación de procesos
y estructura implementados por el consejo

para informar, dirigir, administrar y supervisar

las actividades de la organización para que

alcancen sus objetivos.

• Gestión de Riesgos: Proceso para
identificar, evaluar, administrar y controlar

eventos o situaciones especiales para

proveer una seguridad razonable para el

cumplimiento de los objetivos de la

organización.
• Control: Acciones tomadas para manejar
los riesgos y aumentar la probabilidad de

que los objetivos y metas sean alcanzados.

Los procesos de Gobierno, control de
riesgos y control ayudan a la
Organización a cumplir con sus
objetivos, mediante: 1. Salvaguardar
activos 2. Impedir pérdidas
operacionales 3. Generar
Información financiera confiable 4.
Impedir fraudes internos y externos
5. Cumplir las normas y leyes 6.
Minimizar la incertidumbre
SERVICIOS (ACTIVIDADES) DE
ASEGURAMIENTO
Aseguramiento = Gobierno, gestión de
riesgos y control.
La Auditoría Interna proporciona
aseguramiento sobre los procesos de
gobierno, gestión de riesgos y control
interno para ayudar a la organización a
alcanzar sus objetivos estratégicos,
operacionales, financieros y de
cumplimiento.
NORMAS INTERNACIONALES PARA EL
EJERCICIO PROFESIONAL DE LA
 AUDITORÍA INTERNA Las Normas
Internacionales para el Ejercicio Profesional

de la Auditoría Interna (NIEPAI) están

concebidas como principios y proporcionan

un marco para desarrollar y promover la

auditoría interna. Las Normas son requisitos

de obligado cumplimiento e incluyen:

• Declaraciones sobre los requisitos
básicos para el ejercicio profesional de la

auditoría interna y para la evaluación de la

eficacia de su desarrollo. Estos requisitos

son aplicables internacionalmente para

organizaciones e individuos.
• Interpretaciones, que clarifican los
términos y conceptos de las declaraciones.
NORMAS INTERNACIONALES PARA EL
EJERCICIO PROFESIONAL DE LA
AUDITORÍA INTERNA
Las Normas constituyen los criterios
mediante los cuales el desempeño de un
departamento de auditoría interna es
calificado. Representan cómo debe ser la
práctica de la profesión. Están diseñadas
para aplicarse en todo tipo de
organizaciones donde se pueda encontrar
un auditor interno.
NORMAS INTERNACIONALES PARA EL
EJERCICIO PROFESIONAL DE LA
AUDITORÍA INTERNA El propósito de las

NIEPAI es: • Orientar en la adhesión

a los elementos obligatorios del Marco

Internacional para la Práctica

Profesional de la Auditoría Interna. •

Proporcionar un marco para ejercer y

promover un amplio rango de servicios

de auditoría interna de valor añadido. •

Establecer las bases para evaluar el

desempeño de la auditoría interna. •

Fomentar la mejora de los procesos y

 operaciones de la organización.
Las Normas se conforman en dos
categorías principales:
• Las Normas sobre Atributos: Las
Normas sobre Atributos tratan las
características de las organizaciones y las
personas que prestan servicios de auditoría
Interna.(1000 – 1322).
• Las Normas sobre Desempeño: Las
Normas sobre Desempeño describen la
naturaleza de los servicios de auditoría
interna y proporcionan criterios de calidad
con los cuales puede evaluarse el
desempeño de estos servicios. (2000 –
2600).
NORMAS DE
IMPLANTACIÓN
Las Normas de Implantación amplían las
Normas sobre Atributos y Desempeño,
proporcionando los requisitos aplicables a
las actividades de aseguramiento (A) y
consultoría (C).
CONSEJOS PARA LA
PRÁCTICA DE AUDITORÍA
INTERNA
Los Consejos, aunque no son de obligado
cumplimiento, representan las mejores
prácticas, respaldadas por el Instituto, para
la implementación de las Normas. En parte,
los Consejos para la Práctica pueden
ayudar a interpretar las Normas, o a
aplicarlas en entornos específicos de
auditoría interna.
GUÍAS PARA LA PRÁCTICA DE
LA AUDITORÍA INTERNA
Las guías para la práctica de la
Auditoría Interna proporcionan
pautas detalladas para realizar
actividades de auditoría interna.
Incluyen procesos y
procedimientos detallados,
herramientas y técnicas,
programas y enfoques “paso a
paso”.
GUÍAS PARA LA PRÁCTICA DE LA
AUDITORÍA INTERNA
Practice Guides
• Internal Auditing and Fraud
• Auditing External Business Relationships
• Formulating and Expressing Internal Audit
• Opinions
• Evaluating Corporate Social
• Responsibility/Sustainable Development
• Auditing Executive Compensation and Benefits
• CAEs – Appointment, Performance
Evaluation and Termination
• Measuring Internal Audit Effectiveness And Efficiency
• Assessing the Adequacy of Risk Management
• Guías globales de auditoría de tecnologías (GTAG)
• Guías para la evaluación de riesgos de TI (GAIT)
LA ACTIVIDAD DE LA AUDITORÍA
INTERNA, OBJETIVOS, ALCANCE,
NATURALEZA, IMPORTANCIA E
INDEPENDENCIA.

• 2.1 Objetivos y alcance del

trabajo de Auditoría Interna • 2.2

Naturaleza de la Auditoría • 2.3

Importancia e independencia de

la Auditoría Interna
2.1 OBJETIVOS Y ALCANCE DEL
TRABAJO DE AUDITORÍA INTERNA
• El objetivo principal es ayudar a la alta
dirección en el cumplimiento de sus

funciones y responsabilidades,

proporcionándole análisis objetivos,

evaluaciones, recomendaciones y todo tipo

de comentarios pertinentes sobre las

operaciones examinadas. Este objetivo se

cumple a través de otros más específicos

como los siguientes:

Objetivos de Auditoría
Interna
• Verificar la confiabilidad o
grado de razonabilidad de la

información contable y

extracontable, generada en los

diferentes niveles de la

organización. • Vigilar el buen

funcionamiento del sistema de

control interno, tanto del sistema

de control interno contable como

el operativo.
Objetivos de Auditoría
Interna
• La Auditoría Interna forma parte del
Control Interno, y tiene como uno de
sus objetivos fundamentales el
perfeccionamiento y protección de
dicho control. Por lo tanto los
objetivos del control interno se han
utilizado para contarlos como
objetivos de Auditoría Interna y son
los siguientes:
Objetivos de Auditoría
Interna
OBJETIVOS:
• Confiabilidad e integridad de la
información.
• Cumplimiento de objetivos, políticas,
planes, procedimientos, leyes y
reglamentos.
• Salvaguardar los activos.
• Uso eficiente y económico de los
recursos.
• Cumplimiento de objetivos y metas
establecidas para las operaciones y
programas.
2.1 ALCANCE DEL
TRABAJO DE
AUDITORÍA INTERNA
• El alcance de la auditoría interna debe
incluir la revisión y evaluación de la
estructura del control interno implementado
por la Administración de la Empresa, para
determinar si el mismo es efectivo y
eficiente.
• El alcance abarca la ejecución del plan
de trabajo. Sin embargo, la Gerencia y el
Consejo de Administración proporcionan
una dirección sobre dicho alcance.
• El propósito de la revisión del Control
Interno es determinar si se cumplen los
objetivos del mismo.
2.2 NATURALEZA DE LA
AUDITORÍA INTERNA
• Función de la Auditoría Interna.
• La Auditoría Interna como elemento de
control.
• Ubicación de la Auditoría Interna en la
estructura organizacional.
2.2.1 Identificación y
análisis de riesgo
Se deben identificar los riesgos relevantes
que enfrenta una empresa en la
persecución de sus objetivos, ya sean de
origen interno como externo.
Su desarrollo debe comprender la
realización de un "mapeo" del riesgo, que
incluya la especificación de los dominios o
puntos claves de la empresa, la
identificación de los objetivos generales y
específicos, y las amenazas y riesgos que
se pueden afrontar.
ANTIGUO PARADIGMA
NUEVO PARADIGMA
CARACTERÍSTICAS Enfoque de la AI Respuesta
Control Interno

Pruebas de AI
Reactiva, posterior a los hechos. Observadores de las
iniciativas del plan estratégico. Importancia de los controles
Enfasis en integridad de la evaluación de controles detallados
Métodos de AI
Riesgos del negocio Proactiva, en tiempo real. Monitoreo
continuo y participación en el proceso del plan estratégico.
Importancia de los riesgos Énfasis en la importancia de una
significativa cobertura de los riesgos del negocio Manejo del
riesgo: -Evitarlos/diversifi cados -Repartición/transferencia -
Controlarlos/aceptarlos Dirigidos hacia el proceso de riesgos.
Recomendaciones de AI

Informes de AI
Controles Internos: -Fortalezas/ debilidades -Costo/beneficio -
Eficiencia/ efectividad Dirigidos hacia la funcionalidad de los
controles Función de evaluación Independie nte de los controles
intern os
Rol de la Al en la organización
Integración en el manejo del riesgo y comunicación
constante con la Dirección.

EVALUACIÓN DE
RIESGOS
• Qué es el riesgo.
• Matriz de riesgos.
• Administración del riesgo.
¿Qué es riesgo?
•Se produce riesgo cuando hay
probabilidad de que algo
negativo suceda o que algo

positivo no suceda, la ventaja de

una empresa es que conozca

claramente los riesgos

oportunamente y tenga la

capacidad para afrontarlos.

•Riesgo es la probabilidad de
ocurrencia de un evento que
pudiera afectar adversamente el

logro de los objetivos de la

institución.
Clasificación de los
riesgos
Riesgo Inherente sin medidas de

Control puede ser: • Riesgos de

negocio • Riesgos financieros •

Riesgos de cumplimiento •

Riesgos operacionales y otros.

MATRIZ DE RIESGOS
• La matriz de riesgos de un proceso, es
una descripción organizada y calificada de

sus actividades, de sus riesgos y de sus

controles, que permite registrar los mismos

en apoyo al gerenciamiento diario de los

riesgos.
• Para el Auditor, es una fuente de
información que le permitirá ahorrar muchas
horas de trabajo, reconvirtiendo parte de sus

tareas hacia funciones de mayor análisis y,

obviamente mayor exigencia. Al mismo

tiempo la revisión especializada del Auditor

brinda el necesario monitoreo y posibilidad

de mejoras de esta parte importante de la

gestión de riesgos de la organización.

EVALUACIÓN DE
RIESGOS
ADMINISTRACIÓN DEL RIESGO
Es un proceso efectuado por el consejo de
administración de una entidad, su dirección
y restante personal, aplicable a la definición
de estrategias en toda la empresa y
diseñado para identificar eventos
potenciales que puedan afectar a la
organización, gestionar sus riesgos dentro
del riesgo aceptado y proporcionar una
seguridad razonable sobre la consecución
de objetivos de la entidad.
GESTIÓN DE RIESGO
EMPRESARIAL
Las empresas están expuestas a riesgos
internos y externos. Algunos pueden ser
estructurales, financieros, ambientales y
operativos, etc.
Las empresas realizan actividades de
gestión de riesgo para identificar, evaluar,
manejar y controlar toda clase de eventos o
situaciones.
La Gestión de Riesgo Empresarial (ERM=
Enterprise Risk Managment, por sus siglas
en inglés) es un componente fundamental
del gobierno corporativo. La Dirección es la
responsable de establecer y operar el
enfoque de gestión de riesgo en nombre
del Consejo de Administración. La gestión
de riesgos para toda la empresa aporta
muchos beneficios como resultado de su
enfoque coherente, estructurado y
coordinado.
1111
• De crédito
Financiero
• De imagen
• Reestructuración
• Competencia . Contingencias
• Filiales
Detección + + Control + Inherente

Riesgo auditoria
Riesgo de negocios
• Blanqueo
de activos +. Fraudes

Riesgos generales
Medición de riesgos
tipificación
Riesgos operacionales
ilícitas
Riesgo país
Riesgo de operaciones
+ De gestión
Organización . De información
3A
+ • Sistemático financiero
. Convertibilidad divisas
. Macroeconómico + Influencia externa
H
Incumplimiento + - Entes externos
. Talento humano
Ambiental + De trabajo
. De seguridad

LA AUDITORÍA INTERNA
COMO ELEMENTO DEL
CONTROL
• La auditoría interna examina y evalúa los
procesos de planeación, organización y

dirección para determinar si existe una

garantía razonable de que se logren las

metas y objetivos, dichas evaluaciones en

conjunto, proporcionan información para

evaluar el sistema integral de control.

• La auditoria interna es un proceso
mediante el cual una organización obtiene

seguridad de que la exposición al riesgo que

enfrenta, es entendida y manejada

apropiadamente dentro de contextos

dinámicos cambiantes.
LA AUDITORÍA INTERNA
COMO ELEMENTO DEL
CONTROL
El Committee of Sponsoring Organizations
(COSO) of the Treadway Commission
define el ERM como: “un proceso
efectuado por el Consejo, la alta dirección y
restante personal de una entidad, aplicable
a la definición de estrategias en toda la
empresa y diseñado para identificar
acontecimientos potenciales que puedan
afectar a la entidad, gestionar sus riesgos
dentro de su apetito de riesgo y
proporcionar una seguridad razonable
sobre el logro de los objetivos de la
entidad”.
Conceptos básicos de la
Administración de Riesgos
Corporativos.
• Proceso continuo que fluye por toda la

entidad. • Es realizado por su personal en todos

los niveles de la organización. • Se aplica en el

establecimiento de la estrategia. En toda la

entidad, cada nivel, cada unidad. • Está

diseñado para identificar acontecimientos

potenciales que, de ocurrir, afectarían a la

entidad. • Es capaz de proporcionar seguridad

razonable al Consejo de Administración y a la

Dirección de la entidad. • Orientada al logro de

objetivos.

Beneficios del COSO

ERM
• COSO proporciona un marco integral del control
interno y herramientas de valuación para evaluar el
sistema de control
• Alinea el apetito de riesgo con la estrategia
corporativa
• Proporciona respuestas integradas a los múltiples
riesgos
• Mejora el nivel de las respuestas al riesgo
• Reduce la posibilidad de sorpresas y pérdidas
• Identifica y administra los riesgos a nivel
corporativo
• Prepara a la empresa para tomar ventaja de las
oportunidades
• Ayuda a mejorar el uso del capital disponible.
Este cubo está representado por:
• Cuatro categorías de objetivos.
• Ocho componentes, y
• La entidad y sus unidades.
COMPONENTES DE LA
 ADMÒN. DE RIEGOS
CORP. MODELO COSO
COMPONENTES DE LA ADMÒN. DE
RIEGOS CORP. MODELO COSO
• Categorías de Objetivos:
1. Estratégicos: Se refieren a lo que se
aspira alcanzar. Sea “misión”, “visión”, o

finalidad. 2. Operativos: Se refiere a la

efectividad y eficiencia de las operaciones

de la entidad, incluyendo objetivos de

rendimiento y rentabilidad y salvaguarda de

recursos frente a pérdidas. 3. De reporte:

Relativo a la confiabilidad de reportes.

Incluyen reportes internos y externos y

deben involucrar información financiera y no

financiera. 4. Cumplimiento: Se refieren al

cumplimiento de leyes y regulaciones

relevantes.
Los Riesgos y la Pirámide Empresarial

Misión Visión
Riesgos Estratégicos: referidos a metas de alto nivel, alineadas y
dando soporte a la misión / visión afectan el no cumplimiento y consistencia de
ésta y su imagen ante la sociedad.

Plan Estratégico

Riesgos Operacionales: vinculados al uso Eficaz y Eficiente de los

Recursos y su efecto Financiero en las operaciones de la entidad.
Rentabilidad y Productividad
Misión y objetivos estratégicos por Area

PERFILES DE AREA Y PUESTOS EVALUACIÓN DEL DESEMPEÑO

POR OBJETIVOS
Riesgos de Información / Financieros: Amenazan la Fiabilidad de la
Información Interna y Externa para terceros y la generada por los
sistemas de gestión.
-
-
-
-
-
-
--
-
-
-
-
-
-
-
-
-
-

Políticas y procedimientos
Riesgos de Cumplimiento: Relacionados con la Legislación vigente. Y
las políticas y procedimientos dictadas por la entidad.

ELEMENTOS DEL COSO

ERM:
• Los elementos son los siguientes:
1. Ambiente Interno (De control y de trabajo). 2.
Establecimiento de objetivos. 3. Identificación de
eventos (riesgos) 4. Evaluación del riesgo. 5.
Respuesta al riesgo. 6. Actividades de control. 7.
Información y comunicación. 8. Supervisión
(monitoreo)

1. AMBIENTE DE
CONTROL Y DE
TRABAJO
• Es la base fundamental para los otros
componentes del COSO ERM (Gestión de

Riesgo Empresarial), dando disciplina y

estructura. Incide en:• El modo en que las

estrategias y objetivos son establecidos, las

actividades del negocio son estructuradas e identifican

y evalúan los riesgos, y actúa sobre ellos.

• Incide en la concientización del personal, respecto
del riesgo y el control.

Ambiente de Control y
Trabajo
• Influye en estrategia y objetivos,
actividades de negocio, riesgos
identificados, evaluación de riesgos y
acciones sobre éstos.
• Influye en el diseño de actividades de
control, sistemas de información y
comunicación, y supervisión de actividades.
• Aquí es donde las metas establecidas por
la Alta Dirección, la filosofía, apetito y
cultura de riesgo también emanados de la
Dirección, integra a ERM con todas las
actividades relacionadas.
Componente COSO-ERM: Ambiente de Control

Enmarca el tono de la organización, influenciando la

conciencia del riesgo en su personal. Es la base del resto
de los componentes y provee disciplina y estructura. Este
componente establece:
• Una filosofía de gestión integral de
riesgo
• Nivel de riesgo que la alta gerencia
asume (Apetito de riesgo) Rol supervisorio de la junta
directiva en la gestión integral de riesgo La integridad
y los valores éticos
• Una estructura de gestión integral de riesgos: Sistemas
de delegación de autoridad, roles y responsabilidades
y
íneas de reporte Estándares de recursos humanos.
habilidad y competencia de los empleados
Componente COSO-ERM: Ambiente de Control

Filosofía de Gestión de Riesgo

Ejemplo
Cooga del color micsor
Cetgona de Respuesta

MEDICIÓN DE CULTURA DE
RIESGO Y CONTROL
Fuente
Marfa fria Wayor de 166 067 a 1,05
Amarillo
Si, en tot momerto Si, con algunas excepciones Decolzoola ruela No, en todo momento / No.com algumas
Tapones
Precaution Aersion sugerida
U

Hemos de 0.3

Identificación de áreas claves, niveles de cargos y

personal que será sujeto a medición
Banco Z
Benchmarking Media Aritmética MCRC
Instituciones Financieras del País Más Baja Promedio Más Alta
0,90
1,
121 ,22
0.90

Distribución de cuestionarios e instructivos

2.12%
27.06%

•Recolección de cuestionarios

•Procesamiento, análisis y elaboración de informe

48.87%

•Establecimiento de acciones estratégicas

Totalmente de Acuerdo O Indlerente
Totalmente en De acuerdo
De Acuerdo En De 8 acuerdo

2. ESTABLECIMIENTO DE
OBJETIVOS.
Es la condición previa para la
identificación de eventos, la

evaluación de riesgos y la repuesta a

ellos. Tienen que existir primero los

objetivos para que la dirección pueda

identificar y evaluar los riesgos que

impiden su consecución y adoptar

medidas para administrar dichos

riesgos.
• Objetivos relacionados. (operativos, reporte,
cumplimiento)
• Objetivos estratégicos. (misión, visión)
Componente COSO-ERM: Establecimiento de
Objetivos

Dentro del marco de la definición de la misión y Visión,

la gerencia establece las estrategias y objetivos.
· La gestión integral de riesgo se
asegura que la gerencia cuente con un proceso para
definir objetivos que estén alineados con la misión y
visión, con el apetito de riesgo y niveles de tolerancia

• Los objetivos se clasifican en

cuatro categorías:

• Estratégicos
• Operacionales
• Reporte o presentación de
resultados
• Cumplimiento
Establecimiento de
Objetivos
• Estratégicos: Se refieren a lo que se
aspira alcanzar. Sea “misión”, “visión”, o

finalidad.
• Operativos: Corresponden con la
efectividad y eficiencia de las operaciones

de la entidad, incluyendo los objetivos de

rendimiento y rentabilidad y de salvaguarda

de recursos frente a pérdidas.

• Objetivos de reporte: Relativos a la
confiabilidad de reportes. Incluyen reportes
internos y externos y deben involucrar la

información financiera y no financiera. •

Objetivos de cumplimiento: Se refieren al

cumplimiento de leyes y regulaciones

relevantes. dependen de factores externos y

tienden a ser similares entre entidades, en

algunos casos, y sectorialmente, en otros.

Establecimiento de Objetivos
• Los objetivos deben ser:
- Alcanzables - Medibles -
Orientados a resultados -
Realizables en un tiempo dado -
Específicos
Componente COSO-ERM: Establecimiento de
Objetivos

Apetito de Riesgo
Alto
Excediendo el Apetito de
Riesgo
Impacto
Medio

Es el máximo nivel de riesgo que los accionistas están

dispuestos a aceptar

• Es una guía en el
establecimiento de la estrategia La gerencia lo expresa
como
un balance entre:
Dentro del
crecimiento, riesgo y retorno. Apetito de Riesgo
• Dirige la asignación de
recursos Alinea la organización, personal, procesos e
infraestructura
Bajo
Bajo
Medio
Alto

Probabilidad

3. IDENTIFICACIÓN DE
 EVENTOS - RIESGOS
• Eventos: Son incidentes o
acontecimientos, derivados de
fuentes internas o externas, que
afectan a la implementación de la
estrategia o la consecución de
objetivos. Pueden ser positivos o
negativos, o de ambos tipos a la vez.
En otras palabras son las
incertidumbres. Las que no se saben
si ocurrirán, ni su impacto.
Identificacion de Eventos - Riesgos
Los eventos pueden tener efectos positivos,
negativos, o ambos
- Negativo (riesgo): evaluar y formular respuesta
- Lo importante es identificar los riesgos potenciales que pueden
alejar a la empresa de la consecución de los objetivos estratégicos
y operacionales -
Positivo (oportunidad): canalizarlo
mediante estrategia administrativa y
establecimiento de objetivos.
Grupo 1 Grupo 2 Grupo 3 Grupo
4 Evento 1 ✓ Evento 2 ✓ Evento
3 ✓ ✓ ✓ ✓ Evento 4 ✓
69
Tipos de Riesgos
- Sistemas operativos - Expectativas no reales - Aptitud errónea/gente -
Ejecución - Procesos de ventas - Errores - Cultura errónea - Pérdida de
buenos clientes - Pérdida de empleados de calidad -Satisfacción del
cliente - Desarrollo de productos - Comunicaciones pobres - Cumplimiento

Estratégicos Financieros
Operacionales
- Interrupción del negocio - Falla en Productos/Servicios - Entorno - Salud
y Seguridad -Capacidad productiva - Vacío en el desempeño - Cíclico
(cycle time) - Obsolescencia

Azarosos
- Daños a Propiedades/Personas - Errores y omisiones - Robo/Fraude - Seguridad -
Siniestro (por ejemplo, auto)
70
- Oportunidad - Falta de oferta de productos - Desgaste del mercado -
Conflicto de conducta - Presupuesto y Planeación - Reportes Financieros -
Impuestos - Reportes sobre Reglamentos
- Tasas de Interés - Moneda - Volatilidad en los precios - Flujo de Efectivo - Inventario
Ineficiente - Costo de Oportunidad - Incumplimiento de Crédito

Identificación de Eventos
• FACTORES INTERNOS.
• Infraestructura
• Personal
• Procesos
• Tecnología
• FACTORES EXTERNOS.
• Económicos
• Medioambientales
• Políticos
• Sociales
• Tecnológicos
RIESGOS DE NEGOCIOS
Laboral
Fiscales Pago de impuestos Cumplimiento fechas Pagos incorrectos
Estratégicos Estrategias y Objetivos
Planes de negocio Liderazgo y Competitividad
Clima Organizacional Contingencias laborales
RRHH competente
Producción
Reprocesos

Desperdicios / Mermas
Tiempos muertos
 Producto Marketing Posicionamiento

Cartera Obsolescencia
Imagen Imagen ante la sociedad
Cambios de marca Impacto en el mercado
ENTIDAD

Finanzas

Cash flow Inversiones

Sistemas de Información Resultados financieros
.... Fiabilidad de la información Hiabilidad de la contabilidad
Seguridad e Integridad de la Info
Compras Vulnerabilidad del sistema
Inventarios JIT Economías de Escala Sobre stocks de inventarios
Clientes Fidelidad del
cliente Cartera morosa

Retención Control interno

Fraudes
Logística
Políticas y proced.

Costos
Controles débiles Productividad
Trazabilidad Planificación y programación
Inventarios obsoletos Costos de mantenimiento de
inventarios

4. EVALUACIÓN DEL
RIESGO
Permite a la entidad a considerar la
amplitud con que los eventos potenciales
impactan en la consecución de los
objetivos
• Riesgo inherente: al que se enfrenta en ausencia
de acciones de la dirección para modificar su
probabilidad.
• Riesgo residual: es el que permanece después
de que la dirección desarrolle sus respuestas a los
riesgos.
Componente COSO-ERM: Identificación de Eventos

Se identifican eventos potenciales que si ocurren pueden

afectar a la entidad.
Base para los componentes evaluación de riesgos y
respuesta al riesgo

• La gerencia reconoce que la incertidumbre existe, lo

cual se traduce en no poder conocer con exactitud
cuándo y dónde un evento pudiera ocurrir, así como
tampoco sus consecuencias financieras

• En este componente se identifican los eventos con

impacto negativo (riesgos) y con impacto positivo
(oportunidades)
Evaluación del Riesgo
Riesgo = Probabilidad X Impacto X Valor del Activo -
Controles
Riesgo Inherente: riesgo para la entidad en ausencia de cualquier
acción realizada por la administración para alterar la probabilidad o
el impacto. Respuesta al Riesgo
Riesgo Residual: riesgo remanente después de la acción realizada
por la administración para alterar su probabilidad o impacto.
75
Riesgo Inherente
Riesgo Residual

Evaluación del Riesgo

Impacto
1 Mínimo
2 Bajo
3 Moderado
4 Severo
5 Catastrófico
Probabilidad
1 Baja
2 Menor
3 Media
4 Mayor
5 Alta
76
MATRIZ DE RIESGOS PROCESO DE COMPRAS

Muy Alto

Alto

7, 13, 14
1, 2,

3, 17, 24, 25
- < UFO
Medio
6, 9
18, 19, 20, 21

15, 26
4, 22, 23

Bajo

Muy bajo
Muy Baja
Muy Alta
Baja
Media
Alta PROBABILIDAD

Resumen por Clasificación de Riesgo:

Estratégico
Operación
Información / Financiero
Cumplimiento
1, 2, 3,25
17. 18. 19
24, 21
20, 21, 24

6, 14, 22, 26
7, 10,
9, 13, 23

5. RESPUESTA A LOS
RIESGOS
Una vez evaluados los riesgos,

la dirección determina cómo

responder a ellos, (portafolio de

riesgos).
• Evitar: supone salirse de las actividades
que los generen.
• Reducir: es tomar decisiones para
reducirlos.
• Compartir: se reduce compartiendo el
riesgo. (seguros)
• Aceptar: no se emprende ninguna
acción.
Componente COSO-ERM: Respuesta al riesgo

Una vez identificados los riesgos, la gerencia

determina como responderá
ante ellos, a fin de alcanzar los niveles de tolerancia al
riesgo Las respuestas incluyen evitar el riesgo,
mitigarlo, compartirlo o aceptarlo. En este sentido, la
gerencia:

- Identifica y evalúa posibles respuestas

al riesgo y el grado en el cual reducirá el impacto y/o
probabilidad de ocurrencia

Determina los costos y beneficios de las respuestas al

riesgo que permitan ubicarlo dentro de los niveles de
tolerancia deseados

Identifica nuevas oportunidades de negocio para la

organización
Respuesta a los Riesgos
• Opciones y su efecto en la probabilidad e
impacto de un evento
• Relación con: tolerancia al riesgo, costo
versus beneficios
• Seleccionar respuestas que traerán la
probabilidad e impacto de un evento dentro
de la tolerancia al riesgo de la entidad
• Identificar y asignar responsabilidad para
responder al riesgo
• Cuatro Tipos de Respuesta al Riesgo
- Evadir - Reducir - Compartir - Aceptar
• Redimensionar el riesgo sobre una base
residual y desde una perspectiva de
portafolio
• Algunos niveles de riesgo residual
siempre existirán.