Diplomado en

Gestión de Riesgos
con énfasis en
SARLAFT.
El control y las evolución en las
organizaciones

Facilitador:
Freddy Vela Martínez
Magister en Administración de Riesgos
Correo: [email protected]
Cel: 300 6920398
¿Qué es control?
 El control es una de las principales actividades administrativas
dentro de las organizaciones.

El control es el proceso de verificar el desempeño de distintas

áreas o funciones de una organización. Usualmente implica una
comparación entre un rendimiento esperado y un rendimiento
observado, para verificar si se están cumpliendo los objetivos de
forma eficiente y eficaz y tomar acciones correctivas cuando sea
necesario
La función de control se relaciona con la función
de planificación, porque el control busca que el
desempeño se ajuste a los planes.

El proceso administrativo, desde el punto de vista

tradicional, es un proceso circular que se
retroalimenta. Es por esto que en la gestión, el
control permite tomar medidas correctivas.
 Autor Definición
Control es medir y corregir las
actividades de subordinados para
Cannice, Koontz y Weihrich
asegurarse que los eventos se ajustan a
los planes.

Validar programa adoptado, instrucciones

impartidas y principios administrativos…
Fayol (citado por Meinkoff)
Tiene la finalidad de señalar las fallas y
errores para reparar y evitar repetición.

Control es el proceso de verificar para

determinar si se están cumpliendo los
planes o no, si existe un progreso hacia
Theo Haimann
los objetivos y metas. El control es
necesario para corregir cualquier
desviación
Definición de control

¿Qué es Control?
¿Para que sirve?

El control permite la supervisión y comparación de los

resultados obtenidos contra los resultados esperados,
asegurando además que la acción dirigida se está
llevando de acuerdo con los planes de la organización
y dentro de los limites de la estructura organizacional.

Toma de decisiones
El estándar australian/New Zealand AS/NZ 4360 de 1999 define
el control como la “parte de la administración del riesgo” que
involucra la implantación de políticas, estándares, procedimientos y
cambios físicos para eliminar o minimizar los riesgos adversos.

Los controles pueden involucrar la efectividad de las políticas,

procedimientos o cambios físicos del riesgo. Las mediciones del
riesgo y la efectividad del control deben ser monitoreadas para
identificar circunstancias cambiantes recordando que pocos riesgos
se mantienen estáticos.
El Modelo SARO (sistema de administración de riesgo operativo) contempla
cuatro etapas principales que son la identificación, medición, control y
monitoreo. En la tercera etapa se deben tomar las medidas para controlar los
riesgos inherentes que permitan disminuir la probabilidad de ocurrencia y la
magnitud del impacto, como resultado de etapa se obtiene el perfil residual.

Las entidades podrán decidir si transfieren, aceptan o evitan el riesgo en los

casos en que esto sea posible a través de la adquisición de seguros, la
tercerización del proceso a través de outsourcing, aunque se debe tener en
cuenta que esto puede generar otros riesgos operativos que también se deben
administrar.
La norma NTC 5254 (ICONTEC – Instituto
Colombiano de normas técnicas y
certificación, define lo siguiente:
Concepto de control:
Proceso, política, dispositivo, práctica u
otra acción existente que actúa para
minimizar el riesgo negativo o potenciar
oportunidades positivas.
Concepto de evaluación de control:
Revisión sistemática de los riesgos para
garantizar que los controles son eficaces
y adecuados.
 Generalidades del Control
La evaluación de un control quiere decir que este existe y que la
entidad lo está usando. No tiene ningún sentido evaluar la
implementación de un control que no es efectivo, por lo que
primero se considera su diseño. Un control mal diseñado puede
representar una deficiencia considerable en el control interno.

Los procedimientos de evaluación de riesgos para obtener evidencia de

auditoría sobre el diseño y la implementación de controles relevantes,
deben incluir:

Ø Las indagaciones con el personal de la entidad

Ø Observar la aplicación de controles específicos, inspeccionar
documentos e informes

Cabe resaltar, que las indagaciones por sí solas no son suficientes para
evaluar el diseño y la implementación de los controles relevantes.
Entender el negocio de la organización también
incluye el entendimiento y Conocimiento de los
controles.
El control en las organizaciones consiste en las
políticas y actividades que forman el contexto dentro
del que se toman medidas y decisiones para lograr
los objetivos del negocio.

3P´s
Personas – Ningún negocio puede ni podrá sobrevivir sin personas,

las personas son las que hacen que el negocio se mueva. La persona
correcta en el puesto correcto hace que el negocio funcione y sea
rentable, la persona incorrecta por el contrario es el eslabón débil de la
cadena.
Proceso – Todas las

actividades que se desarrollan

para llevar acabo un objetivo
común, hacen parte del
proceso. Si bien el proceso
varía dependiendo de la
industria, un proceso
estandarizado garantiza una
mayor eficiencia (reducción de
tiempos y costos), uniformidad
en el producto y un mayor
volumen de producción.
Producto – Para que tu producto

(bien o servicio) sea superior, debe

contar con dos atributos. El primero,
debe ser un excelente producto con
potencial para liderar el mercado.
Segundo, tu producto debe ser
relevante, es decir, que no caiga en
la categoría de ser un producto
pasajero o de moda. El producto
debe encontrar un mercado donde
exista una continua demanda.
 Aplicación del control

ACTIVIDADES:
Principales, que tienden PERSONAS:
directamente a la Integrantes de la
consecucíón de los organización.
objetivos. Obtener de los recursos
Conexas, que tienden a humanos un rendimiento
actuar en apoyo de las acorde a su capacidad y
principales cuidando la remuneración.
existencia de la
organización, y el desarrollo
de éstas.
BIENES:
Recursos materiales e
inmateriales de propiedad de la
NORMAS: empresa.
Normativa que le El control se dirige a
aplique a la empresa. preservar la integridad de los
mismos mediante su custodia y
a obtener el máximo rendimiento
reduciendo su inmovilización o
uso improductivo.
Ciclo de Indicadores del Control

Normas y Medir desempeño

procedimientos para real (cálculo de
medir el medición mas
rendimiento (metas) exacto)

Desempeño Vs
Toma de acciones
Estándar (define
administrativas
rango de variación)
Puntos estratégicos de control

1. ¿Que actividades importantes deben controlarse?

2. ¿Que actividades no necesitan ser controladas?
3. ¿Que medios de control deben utilizarse para
controlar?
4. ¿Que herramientas se utilizan para medir el control?
5. ¿El control debe estar sujeto a control?
6. ¿Es necesaria una autoridad suficiente para
emprender medidas correctivas?
Clases de control
 1
Gestión
2
Financiero
3
Operaciones
4
Calidad

Se refiere a la evaluación Tiene en cuenta Verifica que la actividades Proceso integral que busca
de las actividades información financiera y principales de la empresa se lograr que la actividad
administrativas que se contable, para evaluar la estén desarrollando de principal de la empresa
realizan en los distintos capacidad de la acuerdo a lo planeado. Se cumpla parámetros de
niveles. Se focaliza en organización de pagar sus concentra en los niveles calidad. No es sólo verificar la
inferiores y medio de la calidad del producto o
los niveles superiores y deudas y disponer de organización, y en el corto servicio terminado, sino que
medios de la fondos suficientes para plazo. Suele estar también controla los procesos
organización. Puede financiar su actividad estandarizado, es decir, que intermedios y las materias
incluir elementos de largo operativa. las observaciones o primas.
plazo, como la estrategia mediciones se realizan El control de calidad también
de inversiones o los periódicamente (en forma tiene en cuenta a las
procesos de horaria, diaria, semanal, etc.). personas involucradas en la
planificación. producción, elementos como
capacitación, entrenamiento y
el ambiente de trabajo
impactan en la calidad
 Tipos de control
Según nivel Jerárquico
 Control Contenido Período Amplitud

Empresa como un
todo (políticas de
Estratégico Gerencial y global Largo plazo la empresa u
objetivos a largo
plazo)

Aborda por
Táctico o de separado cada
Más detallado Mediano plazo
Gestión unidad de la
empresa

Detallado, Aborda tareas por

Operacional Corto plazo
específico, analítico procesos
 Tipos de control
De acuerdo con la etapa de desarrollo
 Control Características Importancia Inconvenientes
Antes de la actividad real
Requiere tiempo e
Toma de decisiones
Control preliminar Anticipa información
administrativas anticipadas
oportuna y precisa

Corrige los
Corrige los problemas antes
problemas
Concurrente de que se vuelvan demasiado Materialización
conforme se
costosos (supervisión directa)
presentan.
Corrige los
Información significativa de El daño esta hecho
problemas de
Retroalimentación efectividad frente a la cuando es
forma
planeación identificado
posterior
 Revisiones Analíticas:
(comparación frente a resultados)
Transaccionales (verificación de exactitud)
Desempeño (validación actividades de
control

Conciliaciones y comparaciones:
Actividades Los activos registrados deben ser
Tipos de Control
de Control conciliados y comparados con registros
independientes.

Salvaguarda de activos:
Políticas y procedimientos que dan
“seguridad razonable” frente al uso,
disposición o adquisición de activos de la
Compañía. EF
 ¿Cuáles controles se deben
evaluar?
Controles relacionados con el
Controles relacionados con la

1 inicio, registro, procesamiento

y conciliación de saldos de
cuentas.
4 selección y aplicación de las
políticas de contabilidad..

Controles de transacciones,
Controles relacionados con la

2 revelaciones y aseveraciones
incluidas
financieros.
en estados
5 prevención, identificación y
detección del fraude .

Controles relacionados con el

Controles a nivel compañía

3 inicio o procesamiento de
transacciones no rutinarias y
no sistemáticas.
6 que incluyan el ambiente de
control
Controles:
Su Diseño, Eficacia, Eficiencia
y Evaluación
 1ª
Regla de Oro
Lo que yo pueda
controlar es Causa, lo
que no pueda
controlar es riesgo…
Cuando estemos evaluando el diseño e implementación de un
control, podemos considerar:

Ø El objetivo del control

Ø Cómo se hace y documenta, incluyendo la naturaleza y el tamaño de
los errores potenciales cubiertos
Ø La naturaleza del control
Ø Si el control cubre un riesgo de fraude con qué frecuencia se aplica
Ø El conocimiento, la experiencia y las habilidades de la persona que lo
ejecuta, estableciendo si se trata de un control manual o de un control
manual con un componente automatizado
Ø La aplicación de TI relacionada
Ø Si el control depende de información producida por la entidad
Ø Si el control cubre las consideraciones del usuario y el nivel de juicio
requerido
Ø Si la entidad consideró debidamente los factores internos y externos
que pueden afectar el diseño del control
 La frecuencia del

2ª
Regla de Oro
control es
directamente
proporcional a la
frecuencia del riesgo
(causa)
 3ª
Un control sin
responsable no
Regla de Oro
es control…
 El control se

4ª
clasifica de acuerdo
con la etapa o el
Regla de Oro momento en que se
activa … No en el
momento en el que
se diseña
 Los controles no deben ser
administrados únicamente por la
segunda línea de defensa, sino que
debe involucrarse a la primera línea
de defensa
 Definición de control
Aportes desde la literatura del control organizativo

1 4
El control organizativo como un El control organizativo como
conjunto de mecanismos y acciones medio para conseguir algunos
encaminadas a asegurar la cantidad de los objetivos
y la calidad del desempeño de los organizacionales.
miembros de la organización.

El control organizativo como la

5
El control organizaztivo como proceso

2
función administrativa que hace
que permite alinear los incentivos parte del proceso administrativo
individuales con los organizacionales y junto con la planeación, organización
así poder corregir cualquier desviación y dirección, y lo que la precede.
evidente con un amplio abanico de
acciones correctoras

Connotaciones para la palabra

El control organizativo como control:Comprobar o verificar,

3 6
capacidad de dominio, poder e regular, comparar con un
influencia ejercido en diversos estándar, ejercer autoridad sobre
grados por uno o varios (dirigir u ordenar), limitar o
individuos sobre el restringir.
comportamiento y resultados de
otro u otros estudios.
 Importancia del control
Contribuye a medir, detectar, evaluar y corregir la
labor ejecutada, desviaciones presentadas, con el fin
de lograr los propósitos establecidos.

Analizar y evaluar
Establecer medidas
Lo realizado vs lo planeado
Para corregir las acciones de tal
manera que se logre concretar lo
planeado de forma exitosa.

Medir
Determinar y analizar
Cuantificar los resultados
causas
Que pueden generar las
desviaciones para que no vuelvan a
repetirse y puedan minimizarse o
evitarse
 Bases del control
Evaluar
Planear y organizar
Interpretar y comparar la
Objetivos. información obtenida con los
Qué debe hacerse y cómo. objetivos trazados.
Tomar decisiones.

1 2 3 4

Hacer Mejorar
Poner en práctica el cómo se Poner en práctica las
planificó y organizó la medidas que
consecución de los objetivos. resolverán las
desviaciones.
Información debe ser clara,
práctica y actualizada.
Evaluación de los controles
¿El control se implementó de manera efectiva,
para prevenir o detectar y corregir errores?

Diseño Eficacia Operativa Efectividad

El control ya sea individualmente o

en combinación con otros.
Diseño ü Objetivo del control
ü Si el control cubre riesgo de
fraude
Clasificar el control de
acuerdo con el momento en
el que éste se ejecuta en el
Tipo
proceso.
Verificar que esté alineada
Frecuencia con la periodicidad con la
cual se realiza la actividad
Validar si existe un responsable
que se pretende controlar.
adecuado de su ejecución
Responsable
(conocimiento, experiencia,
habilidades, etc).

Determina la adecuada ejecución

Documentado
del control a través del tiempo, al
no depender del conocimiento o
discrecionalidad de un
Herramienta utilizada para
colaborador para su realización.
ejecutar el control. Manual, Naturaleza
Automático, Dependiente de ¿Cómo se hace?
TI (Aplicación de TI
relacionada).
Generalidades del Control
¿El control puede ser de varios tipos?

¿Puede ser preventivo, detectivo y de protección a la

vez???
Servicio de Vigilancia
Preventivo: Porque puede disminuir la
probabilidad de ocurrencia de un robo
Detectivo: Porque puede establecer la
ocurrencia del robo
Correctivo: (Protección) porque los vigilantes
pueden actuar en el momento del robo y
tomar medidas para disminuir su impacto o
efectos
Teoría sobre el Control de los Riesgos
El control como medida o acción que se define y aplica en un
proceso tiene dos objetivos:

Ø Detectar el riesgo a tiempo

Ø Reducirlo

Los controles corresponden a las medidas de tratamiento de los

riesgos, los cuales deben permitir reducirlos porque actúan sobre las
dos variables de su medición:
1. La Frecuencia – Probabilidad de ocurrencia
2. El Impacto
Para el caso específico de los riesgos operacionales, los controles
se orientan a disminuir ambas variables.
Teoría sobre el Control de los Riesgos

Principios que debe cumplir un control:

1. Suficientes
2. Comprensibles
3. Económicos
4. Eficaces
5. Eficientes
6. Efectivos
7. Oportunos
8. Inmersos en los procesos
Teoría sobre el Control de los Riesgos
Principales Controles

Ø Segregación de funciones
Ø Trazabilidad de las transacciones
Ø Comparación de los registros Áreas sensibles
Ø Chequeo de los límites de autorización Procesos de alto riesgo
Ø Perfiles de acceso al sistema Productos específicos
Ø Confirmación de excepciones Cargos multifuncionales
Ø Validación de proveedores
Ø Responsabilidades y funciones (Roles)
Ø Polìticas y normas
 Teoría sobre el Control de los Riesgos
Ejemplo de Controles Preventivos:

1. Acceso restringido
2. Capacitación, entrenamiento y evaluación Los controles preventivos y detectivos
sirven para disminuir la probabilidad
3. Claves de acceso de ocurrencia del riesgo
.
4. Código de conducta
5. Código de ética
6. Estandarización de procesos Los controles correctivos sirven para
disminuir el impacto.
7. Matriz de atribuciones
8. Manuales
 Tipos de Control
Más utilizados

Antes Durante Después

Disminuir la probabilidad de
Disminuir el impacto
ocurrencia

CONTROL CONTROL CONTROL

PREVENTIVO DETECTIVO CORRECTIVO

Controles que Controles que Controles que

permiten permiten permiten, después
prevenir que se identificar un de ser detectado el
materialice un evento después evento no deseado,
riesgo. de que ha enfrentar la situación
sucedido o y el restablecimiento
cuando está de la actividad.
ocurriendo.
Teoría sobre el Control de los Riesgos
Ejemplo de Controles
Detectivos:
1. Alarmas contra robo
2. Auditorías internas
3. Control de Calidad
4. Control Externo
5. Evaluación de desempeño
6. Inspecciones no programadas
7. Reportes de quejas y
reclamos
Teoría sobre el Control de los Riesgos
Ejemplo de Controles
Correctivos:

1. Copias de Seguridad
2. Establecimientos de límites de desembolsos
3. Establecimientos de límites de pagos
4. Matriz de atribuciones
5. Planes de Continuidad
6. Planes de emergencias
7. Seguros
Algunos controles para reducir la probabilidad son:

• Programas de control de gestión y de cumplimiento

• Establecimiento de condiciones contractuales con empleados, clientes
y proveedores
• Seguimiento y revisiones por parte de personal competente
• Gestión de proyectos
• Mantenimiento preventivo
• Políticas y Procedimientos
• Capacitación estructurada
• Establecimiento y monitoreo de indicadores de gestión
• Código de conducta
• Documentación del proceso
• Segregación de funciones
Teoría sobre el Control de los Riesgos

Relación con lo planteado

Se implementan para verificar el logro de los objetivos q se establecen
en las líneas operativas por proceso
Calificación:
Debe facilitar la medición y cuantificación de los resultados
Detectar desviaciones
Una de las funciones inherentes al control, es descubrir las diferencias
que se presentan entre la ejecución y la planeación o con respecto a
estándares o Políticas definidas. Establecer medidas correctivas.
Debe ser cíclico y repetitivo
Cómo evaluar el diseño y la implementación de un
control?
Al momento de evaluar el diseño e implementación de los
controles, primero debemos considerar el diseño del control y si
este ha sido diseñado de manera efectiva, luego evaluamos
también si se implementó de manera efectiva para prevenir, o
detectar y corregir errores
La evaluación del diseño de un
control requiere considerar si el
control, ya sea individualmente o en
combinación con otros, es capaz de
prevenir, o detectar y corregir, errores
materiales con efectividad.
 Cómo evaluar el diseño y la implementación de un control?

Establecer los objetivos del

control

Identificar las variables a

controlar

Escribir las especificaciones de

las variables

Identificar el actor

Si el comportamiento Obtener un modelo del proceso

no cumple las
especificaciones, iterar
(sensor) Si el comportamiento
cumple las especificaciones,
la configuración y el
finalizar el diseño
actor Seleccionar parámetros clave
que se deben ajustar

Optimizar los parámetros y

analizar el comportamiento
Cómo evaluar el diseño y la implementación de un control?

CRITERIO PARA EVALUAR OPCIONES DE PUNTAJE ASIGNADO

DISEÑO DEL CONTROL CALIFICACIÓN (*)
Adecuado 25%
Tipo de control
No adecuado 0%
Adecuado 20%
Naturaleza del control
No adecuado 0%
Adecuado 20%
Frecuencia del control
No adecuado 0%
¿El control se encuentra Si 25%
asignado? No 0%
¿El control se encuentra Si 10%
documentado? No 0%
Total calificación diseño del control 100%

Para determinar el diseño de un control, se suman individualmente cada

uno de los criterios anteriormente señalados y se considera que el control
está adecuadamente diseñado cuando obtiene una calificación de 100%.

En caso contrario, se considera No adecuadamente diseñado.

Cómo evaluar el diseño y la implementación de un control?
 Cómo evaluar el diseño y la implementación de un control?

Adecuado No efectivo Efectivo

EFECTIVIDAD DEL CONTROL

Diseño
Una vez evaluado el diseño del control y la No adecuado No efectivo No efectivo
eficacia operativa, se determina la
efectividad del control según se establece No adecuada Adecuada
a continuación:
Eficacia Operativa
En la columna “Efectividad del control”
de la matriz de riesgos y controles se CALIFICACIÓN DE
CALIFICACIÓN OBTENIDA EFECTIVIDAD ASIGNADA
parametrizaron las condiciones POR LA MATRIZ
Diseño igual al 100% y eficacia operativa igual a
expuestas 100%.
Control efectivo
Diseño igual al 100% y eficacia operativa igual a
Control no efectivo
La calificación de la efectividad del 0%.
Diseño diferente de 100% y eficacia operativa
Control no efectivo
control y de manera automática se igual a 100%.
Diseño diferente de 100% y eficacia operativa
asigna la calificación de la efectividad igual a 0%
Control no efectivo

del control.
Cómo evaluar el diseño y la implementación de un control?

EFICACIA OPERATIVA CALIFICACIÓN DE LA SOLIDEZ

INDIVIDUAL DEL CONTROL
De acuerdo con los resultados obtenidos
tras la aplicación de las pruebas de Para determinar la solidez individual del
recorrido a los controles (walk through), se control es necesario tener en cuenta su
asignará la calificación del control para este efectividad y cobertura; la combinación
criterio y automáticamente la matriz de estos dos criterios define la solidez
asignará un porcentaje así: del control.

Eficacia Operativa (*):

ü Adecuada: 100%. Efectivo Moderada Fuerte

Efectividad
ü No adecuada: 0%.
No efectivo Débil Débil

Estos porcentajes deben ser definidos en

la tabla de efectividad de control, definida No clave Clave

en la hoja “Criterios” de la Matriz de

Cobertura
Riesgos y Controles.
Calificación de la Solidez del grupo de Controles
Cuando un riesgo tiene asociado más de un control para su mitigación, la
matriz de manera automática determina la solidez del grupo de controles
como se detalla a continuación:

Composición del grupo de controles Determinación de la solidez del grupo de controles

Cuando en el grupo de controles hay un Se considera que la solidez del grupo de controles es fuerte.
control clave efectivo.
La matriz de manera automática asigna un valor a la solidez
Cuando en el grupo de controles NO hay individual de los controles que componen el grupo y calcula un
un control clave efectivo. promedio simple para determinar la solidez del grupo de
controles. (*)
La matriz de manera automática asigna un valor a la solidez
Cuando no hay controles clave en el grupo individual de los controles que componen el grupo y calcula un
de controles. promedio simple para determinar la solidez del grupo de
controles.