Rodrigo Estupiñán Gaitán
Contador Público de la Facultad Nacional
de Contaduría y Ciencias Económicas (hoy
Universidad Nacional), 1967 y posgrados en
Auditoría Financiera, Sistemas y Tributaria.
Revisor Fiscal de bancos durante 27 años
(Banco Popular, Bancoop, Corporación
Financiera) - Auditor General de Acerías Paz
del Río - Auditor Interno y Externo de
Incora, Cicolac, Price Waterhouse & Co., etc.
de contadores públicos Rodrigo Estupiñán
& Co., la cual fue creada en el año 1982,
habiendo participado como revisores
tes en varias empresas del sector real,
solidario, de educación superior y otras.
Profesor universitario desde el año 1970 de
pregrado y posgrado, así como conferencista y ponente de trabajos profesionales en
Congresos Nacionales e Internacionales
desde el año 1981.
Presidente del Instituto Nacional de
Contadores Públicos de Colombia I.N.C.P.
durante los años 1990 a 1994.
Ha recibido varios premios profesionales
nacionales e internacionales como el “Del
contador público, a toda una vida profesional”, “Contador veterano”, “Educación
contable” y otros.
Autor de varios libros de auditoría y
contabilidad, así como editor de títulos
contables y de auditoría para varios
profesionales contadores, es decir, impulsor
de la profesionalización contable.
Segunda edición
Administración de
riesgos E.R.M. y la
auditoría interna
Rodrigo Estupiñán Gaitán
CONTENIDO
Prólogo ...........................................................................................
La administración o gestión del riesgo y la auditoría interna ..........
15
19
Primera Parte
CONTROL INTERNO Y RIESGOS ...................................................
29
CAPÍTULO 1
El control interno (Modelos) ...........................................................
¿Qué es el Control Interno? .............................................................
La Importancia del Control ..............................................................
Deinición de Control Interno ..........................................................
Los modelos de controles actuales...................................................
El modelo COSO I ...........................................................................
Objetivos del control interno ...........................................................
El modelo coco ...............................................................................
Propósitos del modelo COCO .........................................................
Criterios del modelo COCO ............................................................
Objetivos.........................................................................................
Compromiso....................................................................................
Aptitud ............................................................................................
Evaluación y aprendizaje.................................................................
Participación del personal ...............................................................
Estructura del control interno propuesta por el modelo COCO ........
Coniabilidad de los reportes internos y externos .............................
Evaluación de riesgos ......................................................................
Consideraciones ..............................................................................
Aplicación en el marco integrado del control interno ......................
33
33
34
35
35
35
41
42
43
43
44
44
44
45
45
46
47
47
48
48
5
Rodrigo Estupiñán Gaitán
6
Objetivos:........................................................................................
Componentes: .................................................................................
48
47
CAPÍTULO 2
COSO 2013 Marco de Control Interno Integrado o Control Interno
mediante Reporte Financiero Externo ........................................
Por qué actualizar el marco integral de control interno COSO I ......
Rol de controles y su efecto en los principios ..................................
Principios que establecen el nuevo Marco Estructurado: .................
Beneicios del marco de referencia actualizado ..............................
Materias que permanecen con respecto a COSO I...........................
53
54
55
55
56
58
CAPÍTULO 3
El riesgo empresarial .......................................................................
Introducción ....................................................................................
El riesgo en el sector inanciero .......................................................
Otras clases de riesgos que afectan la industria inanciera. ..............
Indicadores de riesgo entidades inancieras .....................................
Preguntas y cuestionamientos ..........................................................
59
59
62
63
66
74
CAPÍTULO 4
Administración de riesgo empresarial E.R.M. ..................................
Presentación de la estructura conceptual del E.R.M. ........................
Resumen ejecutivo ..........................................................................
Eventos – Riesgos y oportunidades ..................................................
Deinición del E.R.M. ......................................................................
Logro de objetivos ...........................................................................
Componentes del E.R.M. .................................................................
Relación entre objetivos y componentes..........................................
Efectividad.......................................................................................
Limitaciones ....................................................................................
Abarca el control interno .................................................................
Roles y responsabilidades ................................................................
¿Quiénes deben usar este reporte? ...................................................
Preguntas y cuestionamientos ..........................................................
77
77
78
79
80
80
81
82
83
83
84
84
84
86
CAPÍTULO 5
Conocimiento en Administración del riesgo empresarial ................
Matriz “KAREN” ..............................................................................
1. Introducción ................................................................................
2. Deiniciones ................................................................................
89
89
89
90
Administració
n de riesgos E.R .M .y la auditoría interna
3. Elementos principales .................................................................
4. Objetivo de la Matriz Karen ........................................................
5. Objetivo del Manual de Usuario para el desarrollo
de la guía metodológica para la administración del riesgo
de la matriz Karen ......................................................................
6. Alcance de la Matriz Karen como guía metodológica para la
administración del riesgo ............................................................
7. Análisis de riesgos en la guía metodológica para la
administración del riesgo ............................................................
7.1. Análisis cualitativo ...................................................................
7.2. Análisis cuantitativo .................................................................
8. Menú principal de la guía metodológica para
la administración del riesgo ........................................................
9. Escalas.........................................................................................
10. Niveles .....................................................................................
Escala de niveles para la frecuencia, probabilidad
o detección .................................................................................
Escala de niveles para la consecuencia o impacto ...........................
Escala de niveles para el riesgo (generación automática) .................
11. Matrices ...................................................................................
Matriz cruzada para la valoración del riesgo ...................................
Datos para graicar .........................................................................
12. Procedimientos de auditoría con enfoques al fraude.................
13. Matriz del Riesgo KAREN
(Knowledge Administrative Risk Enterprise) ..............................
14. Matriz del riesgo tradicional .....................................................
Espacios en la matriz KAREN...........................................................
Frecuencia residual .........................................................................
Impacto residual ..............................................................................
Gráicos...........................................................................................
Gráico Cumplen los procedimientos ..............................................
Gráico espacios del riesgo (o riesgos en los espacios) .....................
Gráico Frecuencia del riesgo (o riesgos en la frecuencia)................
Gráico consecuencia del riesgo (o riesgos en la consecuencia) ......
Gráico de la valoración del riesgo ..................................................
Gráico de la administración del riesgo ...........................................
Tabla de la cantidad de procedimientos que necesitan alguna
acción a tomar ............................................................................
15. Fuentes de riesgo .......................................................................
92
93
93
93
93
93
94
95
96
98
99
100
101
101
102
102
103
107
109
110
110
111
112
112
113
113
114
114
115
115
115
7
Rodrigo Estupiñán Gaitán
8
CAPÍTULO 6
Conocimiento del cliente para la administración del riesgo............
Conocimiento del negocio mediante herramienta ...........................
Balanced Scorecard .........................................................................
Balanced scorecard análisis de cliente externo ................................
Componentes para evaluar el negocio del cliente............................
Cómo obtener un entendimiento del cliente y su actividad .............
Obtener un entendimiento del negocio ...........................................
1. Análisis del GESI (gubernamental, económico, ...........................
social e informativo) ...................................................................
2. Análisis del FODA (Fortalezas, oportunidades, ............................
debilidades y amenazas) .............................................................
Oportunidades y amenazas: ............................................................
Factores a considerar .......................................................................
3. Análisis de las 5 fuerzas políticas (Proter) ....................................
Características claves para la identiicación de riesgos ....................
Proveedores:....................................................................................
Los procesos básicos: ......................................................................
Productos y servicios básicos:..........................................................
Clientes: ..........................................................................................
Fuentes de referencia.......................................................................
Procedimientos de valoración de riesgos y fuentes de información
sobre la entidad y su entorno, incluyendo su control interno ......
Procedimientos de valoración de riesgos en el entendimiento
de la entidad, su entorno y controles internos .............................
Preguntas y cuestionamientos ..........................................................
129
131
CAPÍTULO 7
Evaluación de los riesgos para la planeación de una
auditoría bajo riesgo ..................................................................
¿Qué incluye cada elemento del riesgo? ..........................................
Glosario de términos .......................................................................
Preguntas y cuestionamientos ..........................................................
133
135
157
162
117
117
117
118
119
119
120
120
120
121
121
121
122
122
123
124
124
125
125
126
127
Administració
n de riesgos E.R .M .y la auditoría interna
Segunda Parte
LA AUDITORÍA INTERNA, LOS CONTROLES INTERNOS,
RIESGOS Y GOBIERNO CORPORATIVO ..................................
165
CAPÍTULO 1
Organización de la auditoría interna ..............................................
Normas internacionales para el ejercicio profesional
de la auditoría interna (The Institute of Internal Auditors [I.I.A] ...
Preguntas y cuestionamientos ..........................................................
173
176
CAPÍTULO 2
Enfoque moderno de la auditoría interna........................................
1. The Institute of Internal Auditors (IIA) ..........................................
Conocimientos para el ejercicio de la auditoría interna ...................
2. La profesión de Auditor Interno ...................................................
3. Enfoque moderno de la actuación profesional .............................
179
179
180
182
183
167
CAPÍTULO 3
Normas internacionales de auditoría interna y consejos
para la práctica ..........................................................................
Introducción ....................................................................................
Mejoras al marco internacional para la práctica
profesional en la auditoría interna ..............................................
Preguntas y cuestionamientos ..........................................................
222
224
CAPÍTULO 4
El riesgo en el nuevo enfoque de auditoría interna .........................
El rol del auditor interno ..................................................................
Nuevos enfoques de auditoría interna .............................................
Nueva deinición .............................................................................
Visión y misón.................................................................................
Preguntas y cuestionamientos ..........................................................
227
227
229
231
233
234
CAPÍTULO 5
La auditoría interna y el (E.R.M.) ....................................................
Introducción ....................................................................................
Qué es la Gestión o Administración de Riesgo Empresarial (ERM) ...
Responsabilidad por el ERM ............................................................
Beneicios del ERM..........................................................................
Actividades incluidas en el ERM ......................................................
Aseguramiento en el ERM por la Auditoría Interna ..........................
237
237
238
239
239
240
240
185
185
9
Rodrigo Estupiñán Gaitán
Servicios que presta la auditoría interna ..........................................
Rol de aseguramiento ......................................................................
Rol de Consultoría ...........................................................................
Salvaguardas ...................................................................................
Destrezas y cuerpo de conocimientos .............................................
Conclusiones principales: ................................................................
Preguntas y respuestas con explicaciones ........................................
Administración del Riesgo E.R.M. ....................................................
10
241
241
242
243
244
244
245
245
CAPÍTULO 6
El auditor interno, el administrador en la gestión
de riesgos corporativos ..............................................................
Introducción ....................................................................................
1. Auditorías basadas en riesgo........................................................
Planeación ......................................................................................
Evaluación de Riesgos y controles ...................................................
2. Metodología para la administración integral de los riesgos ..........
Prerrequisitos...................................................................................
3. Metodología general de la administración del riesgo ...................
¿Estamos preparados? ......................................................................
4. Proceso de la Administración del Riesgo .....................................
Deinir la escala de costo ................................................................
Cálculo del valor esperado de pérdida ............................................
Costo de la pérdida .........................................................................
Acciones de mitigación ...................................................................
Identiicando opciones para el tratamiento del riesgo ......................
Valorando las opciones para tratamiento del riesgo .........................
Preparando planes de tratamiento ...................................................
Implementando planes de tratamiento .............................................
Auditoría a la implementación de los planes de mejora...................
Informe............................................................................................
Causas de riesgo y proyectos generales de mejora
en diferentes dependencias .........................................................
Acciones internas de seguimiento....................................................
Conclusiones: ..................................................................................
Bibliografía ......................................................................................
Preguntas y cuestionamientos ..........................................................
271
272
272
272
273
CAPÍTULO 7
Prácticas del E.R.M.en la auditoría interna .....................................
Preguntas y cuestionamientos ..........................................................
277
283
247
247
249
249
250
252
252
255
255
257
263
263
263
264
266
267
269
269
270
271
Administració
n de riesgos E.R .M .y la auditoría interna
CAPÍTULO 8
Mapa de riesgos para uso en la auditoría interna ............................
Riesgos en el área gerencial.............................................................
Área inanciera ................................................................................
Riesgos en el área de contratación...................................................
Riesgos en el área de trámites y procedimientos ..............................
Riesgos en el área de control interno ...............................................
Preguntas y cuestionamientos ..........................................................
CAPÍTULO 9
Auditoría de cumplimiento por parte del auditor interno ...............
Deinición .......................................................................................
Responsabilidad de la administración del cumplimiento con
leyes y reglamentos ....................................................................
Diseño de la auditoría de cumplimiento ..........................................
Planeación de la auditoría de cumplimiento....................................
Incumplimiento de leyes y reglamento ............................................
Procedimiento en caso de incumplimiento ......................................
Consultas a asesores jurídicos..........................................................
Evaluación del riesgo.......................................................................
Informe sobre incumplimientos a la administración.........................
A las autoridades reguladoras o de control ......................................
Retiro del trabajo .............................................................................
Preguntas y cuestionamientos ..........................................................
Ejercicios de auditoría operacional, cumplimiento y
de control interno .......................................................................
Ejercicio de auditoría integral operacional.......................................
Caso práctico número 1 ..................................................................
Eiciencia operacional general .........................................................
I. Características generales de la empresa ........................................
1. Ubicación de la empresa .............................................................
2. Organización ..............................................................................
3. Producción ..................................................................................
4. Financiera ...................................................................................
5. Instalaciones productivas.............................................................
6. La compañía cuenta con el siguiente personal.............................
7. Abastecimiento de materia prima ................................................
8. Ventas .........................................................................................
9. Sistema de información ...............................................................
10. Auditoría interna .......................................................................
11. Estadísticas ................................................................................
285
286
288
289
290
291
294
299
299
300
300
301
302
303
303
304
304
305
305
305
307
307
307
307
307
307
307
308
309
309
309
310
310
310
310
311
11
Rodrigo Estupiñán Gaitán
Caso práctico número 2 ..................................................................
Compras (abastecimientos) ..............................................................
I. Planeamiento ...............................................................................
Caso práctico número 3 ..................................................................
Producción (Primera parte) ..............................................................
Producción (Segunda parte) .............................................................
Caso práctico número 4 ..................................................................
Ventas .............................................................................................
I. Planteamiento ..............................................................................
II. Situaciones encontradas ..............................................................
Caso práctico número 5 ..................................................................
Personal ..........................................................................................
Planteamiento .................................................................................
La función de personal implica en esta empresa ..............................
Situaciones planteadas ....................................................................
Caso práctico número 6 ..................................................................
Finanzas ..........................................................................................
CAPÍTULO 10
Detección de operaciones ilícitas por la auditoría interna ..............
1. ¿Es verdaderamente independiente el auditor interno
para emitir informes, cuando sabemos que depende
laboralmente de la empresa que audita? .....................................
2. ¿La ubicación jerárquica que ocupa el auditor interno en las
organizaciones, le permite auditar libremente a la alta
directiva de la organización? ......................................................
3. ¿La responsabilidad del auditor interno frente al fraude
y a la detección de operaciones ilícitas, solo se limita
a evaluar que el control interno implementado por
la administración sea adecuado? ................................................
4. ¿La metodología utilizada por el auditor interno para hacer
un trabajo basado en muestras, es suiciente para garantizar
la transparencia de la totalidad de las operaciones? ....................
5. ¿Aplicar las normas de auditoría interna vigentes son suiciente
razón para eximir de las responsabilidades a los auditores
internos en el caso de que ocurran operaciones ilícitas? .............
Conclusiones ...................................................................................
Preguntas y cuestionamientos ..........................................................
Guia de discusión............................................................................
12
313
313
313
314
314
315
316
316
316
317
318
318
318
319
319
320
320
323
324
329
330
334
337
337
339
342
Administració
n de riesgos E.R .M .y la auditoría interna
CAPÍTULO 11
Listas y cuestionarios de control interno para la
auditoría interna ........................................................................
¿Qué es la FLAI? ..............................................................................
Listas y cuestionarios de Control Interno:.........................................
Activos inancieros ..........................................................................
Objetivo 1: existencia......................................................................
Objetivo 2: valuaciones...................................................................
General, según corresponda?...........................................................
Objetivo 3: restricciones..................................................................
Objetivo 4: destinación ...................................................................
Activos ijos .....................................................................................
Objetivo 1: existencia y propiedad de los bienes: ............................
Objetivo 2: condiciones de mantenimiento: ....................................
Objetivo 3: destinación y asignación de bienes: ..............................
Objetivo 4: gravámenes:..................................................................
Preguntas y cuestionamientos ..........................................................
CAPÍTULO 12
Implementación del control interno basado en el
modelo COSO II E.R.M. .............................................................
Ambiente interno.............................................................................
Establecimiento de objetivos ...........................................................
Identiicación de acontecimientos ...................................................
Evaluación de riesgos ......................................................................
Respuesta al riesgo ..........................................................................
Actividades de control .....................................................................
Información y comunicación ...........................................................
Monitoreo .......................................................................................
Beneicios del E.R.M........................................................................
Capacitación ...................................................................................
Responsabilidad y autoridad............................................................
Clasiicación de los riesgos ..............................................................
Mapa de riesgos ..............................................................................
Exigencias del “SCISF” relacionadas con la información
contable .....................................................................................
Controles en la gestión contable e información tecnológica .............
343
343
344
371
371
372
373
373
374
375
375
376
378
378
378
381
383
383
384
384
385
385
386
386
386
388
388
388
388
390
390
13
Rodrigo Estupiñán Gaitán
CAPÍTULO 13
Evaluación de los componentes de Gobierno, Control interno
y Riesgos (G.C.R.) (Cuestionarios)...................................................
CAPÍTULO 14
Implementación de un sistema de Gobierno, control interno
y riesgos (SGCR) ........................................................................
La importancia del Control ..............................................................
Sistema de control interno ...............................................................
Conceptos claves del control interno ..............................................
Responsabilidad administrativa en la gestión del riesgo ..................
Marco Estructurado de Control Interno y Riesgos.............................
Implementación y ajustes del sistema de control
interno y riesgos .........................................................................
Evaluación de las áreas contable y tecnológica ...............................
Sistema de control para la gestión contable .....................................
Controles sobre los Sistemas de Información Contable ....................
Normas de Control Interno para la gestión de la Tecnología............
Deiciencias materiales de control interno ......................................
Rol de responsabilidades dentro del sistema de control interno
y riesgos .....................................................................................
1. Junta directiva .............................................................................
2. Comité de auditoría .....................................................................
3. Gerencia general ........................................................................
Constancia documental ...................................................................
4. Auditoría interna .........................................................................
Concepto técnico de una auditoría interna ......................................
Normas sobre atributos....................................................................
Normas sobre desempeño ...............................................................
Informe de auditoría interna ............................................................
5. Auditoría externa y/o revisoría iscal ............................................
Actividades de control y áreas especiales ........................................
(contable e informático) a evaluar ...................................................
Actividades de control .....................................................................
Actividades o procedimientos de control .........................................
Áreas especiales de control interno ................................................
(contable e informático)...................................................................
Información y comunicación ...........................................................
Información .....................................................................................
Comunicación ................................................................................
14
393
409
411
412
413
413
414
415
415
415
416
416
417
417
418
418
418
419
420
420
420
420
421
422
422
422
422
423
424
424
424
424
425
Administració
n de riesgos E.R .M .y la auditoría interna
Monitoreo .......................................................................................
Evaluaciones independientes ...........................................................
Evaluación de control interno integral de productos
referidos al “SCIR” ......................................................................
426
427
427
CAPÍTULO 15
Gobierno corporativo (Corporate Governance)..............................
Deinición .......................................................................................
Principios de gobierno corporativo ..................................................
Otros elementos prácticos de un Código de gobierno corporativo ...
Consejo Mundial de Cooperativas de Ahorro y Crédito (WOCCU) ..
Las Entidades Financieras ................................................................
Gobierno corporativo ......................................................................
Revelación de Riesgos .....................................................................
Política de inversión ........................................................................
Deinición de Políticas Globales......................................................
Políticas de Negociación .................................................................
Administración de Inversiones .........................................................
Valoración de Inversiones ...............................................................
Análisis de Riesgos ..........................................................................
Riesgo de Contraparte .....................................................................
Riesgo de Mercado ..........................................................................
Riesgo de Liquidez ..........................................................................
Riesgo Operacional .........................................................................
Riesgo Legal ....................................................................................
Estructura de Control Interno ...........................................................
Análisis Cuantitativo ........................................................................
Gobierno Corporativo .....................................................................
Controles de Ley..............................................................................
Las Entidades Cooperativas:.............................................................
“Gobierno Corporativo ....................................................................
Nota de gobierno corporativo..........................................................
Preguntas y cuestionamientos ..........................................................
Apéndice .........................................................................................
Glosario ..........................................................................................
Bibliografía .....................................................................................
435
435
436
437
439
441
441
441
441
441
443
443
443
443
443
443
444
444
444
445
445
445
446
446
446
450
453
455
473
479
15
Rodrigo Estupiñán Gaitán
Contenido del SIL
En el Sistema de Información en Línea, SIL, de Ecoe Ediciones usted podrá
consultar:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
16
Administración de riesgo ante el fraude y la corrupción
Caso Enron
Caso Parmalat
Comité de auditoría según el comité de Basilea
Cuestionario COSO
Estadísticas de fraudes
Gerencia de riesgo, fraude y estafa en los negocios
Gobierno corporativo y ética integral
Gráicos de gerencia de riesgo
Informe sobre auditoría operacional y cumplimiento
Lineamientos de gobierno corporativo
Listas de activos ijos, activos inancieros, centro de cómputo, efectivo,
ingresos y cuentas por cobrar, inventarios, propiedad, planta y equipos
Oportunidades y amenazas para la profesión en una actividad fuertemente multidisciplinaria
Prevención de riesgos
Revelación de riesgos y gobierno corporativo Superbancaria
Seguridad en transacciones bancarias
Talleres y ejercicios
INTRODUCCIÓN
La Auditoría Independiente, interna o la Revisoría Fiscal deberá enfocar el
análisis de operaciones, procedimientos, resultados de información y asesoría a la administración, utilizando para ello el nuevo concepto, apoyado
por las Federaciones Internacionales de AUDITORIA INTEGRAL1 enmarcado en 4 grandes segmentos denominados:
•
•
•
•
Auditoría de control interno
Auditoría de cumplimiento
Auditoría de gestion
Auditoría inanciera
Precisamente sobre la Auditoría de Control Interno2 se ha modiicado
el enfoque, esquematizando su evaluación y conclusiones más en el
Riesgo de control, sabiendo como obtener un conocimiento de la estructura de control interno en la organización, su proceso de diseño y
realización de pruebas de controles que sirva de base para análisis o
estudios posteriores.
“...es un proceso, ejecutado por la Junta Directiva o Consejo de Administración de una Entidad por su grupo directivo (gerencia) y por el resto de
personal, diseñado para proporcionarles seguridad razonable de conseguir en la Empresa las tres siguientes categorías de objetivos de (1) Efec-
1
En el libro Normas y Procedimientos de la Auditoría Integral del Dr. Yanel Blanco Luna Ecoe Ediciones, Bogotá 2a ed., 2003.
2
Committee Of Sponsoring Organizations Of The Treadway Commission (Coso) quien emitió el
documento “Internal Control - Integrated Framework”.
21
Rodrigo Estupiñán Gaitán
tividad y eiciencia en las operaciones; (2) Suiciencia y coniabilidad de
la información inanciera; y (3) Cumplimiento de las leyes y regulaciones
aplicables…”
Convierte los antiguos elementos de Control Interno en 5 componentes
interrelacionados, que se derivan de la forma como la administración maneja el ente económico, y están integrados a los procesos administrativos,
como son:
1.
2.
3.
4.
5.
El ambiente de control
Evaluación de riesgos
Actividades de control
Información y comunicación; y
Supervisión, seguimiento o monitoreo
Esta nueva metodología asegura al auditor una mayor seguridad razonable dentro del proceso de la auditoría porque antiguamente el control
interno no tenía en cuenta los avances de la tecnología, especialmente
de la década del 90’s, cuya revolución informática ha sido demasiado
rápida, así como el marco no dedicado solamente a la eiciencia de las
personas sino también a la eiciencia de las operaciones y si la empresa
y el auditor no están atentos a los cambios, pueden aparecer hechos irregulares no detectados oportunamente o por el contrario se puede dedicar
tiempo precioso a situaciones relativamente no importantes, mientras que
aspectos relevantes no son detectados porque su enfoque era el de detectar fraudes solamente sin medir la relación costo-beneicio, que en el
diseño es fundamental.
Otro de los cambios que se notan en las investigaciones sobre el control
interno es el de apoyo administrativo dentro de los informes de deiciencias, inconsistencias y fallas administrativas que quedaban sin soluciones,
las cuales en nuevas visitas eran detectadas las mismas sin dar la importancia, de parte de la administración, siendo así el costo de la auditoría,
gasto sin reposición.
Con el enfoque formulado por el COSO como herramientas fundamentales de establecimiento, control y seguimiento se han manejado en mejor
forma y más económicamente las organizaciones de control interno en las
Empresas privadas y públicas, utilizando componentes más organizados y
claves como son los de:
22
Administració
n de riesgos E.R .M .y la auditoría interna
1) En el Ambiente de Control por:
• Compromiso para la competencia
• Comité de auditoría
• Filosofía de la administración y estilo de operación
• Estructura organizacional
• Asignación de autoridad y responsabilidad
• Políticas y prácticas de recursos humanos
2) En la Valoración de riesgos, enfocando los siguientes puntos:
• Objetivos globales de la entidad
• Objetivos a nivel de actividad
• Identiicación, valoración y consecuencia de riesgos
• Manejo del cambio
3) Actividades de Control para asegurar la:
• Existencia de las políticas apropiadas y los procedimientos necesarios con respecto a cada una de las actividades del ente económico.
• Identiicación de las actividades de Control para que sean usadas
apropiadamente.
4) Información Interna y Externa: Que debe ser obtenida, identiicada,
capturada, procesada y reportada por el sistema de información basados en planes estratégicos en lazados a las estrategias generales de la
empresa y logrando el apoyo de la dirección en el desarrollo de los
sistemas de información.
5) Comunicación, en cuanto a su efectividad, canales coniables, receptividad en las sugerencias, información precisa y suiciente, franqueza y
efectividad en la forma de tratar a la administración, establecer planes adecuados para que se analicen y entiendan los estándares éticos de la entidad
y seguimiento oportuno y apropiado de parte de los directivos y en corto
plazo, en una nueva evaluación exclusiva a las fallas, inconsistencias o
deiciencias informadas dentro del Concepto denominado Monitoreo.
6) Monitoreo o Seguimiento, ocurre en el curso normal de las operaciones, e incluye actividades de supervisión y dirección o administración
permanente y otras actividades que son tomadas para llevar a cabo
obligaciones de cada empleado y obtener el mejor sistema de Control
Interno, especialmente a:
• Evidencia de si el sistema de control interno continúa funcionando
por parte del ente.
23
Rodrigo Estupiñán Gaitán
• Corroboración en comunicaciones externas, la información generada internamente.
• Comparación periódica de las cantidades registradas por el sistema
de información contable
• La sensibilidad frente a las recomendaciones de auditores externos
o internos para fortalecerlos.
• Asegurar retroalimentación a la administración de los seminarios de
entrenamiento, las sesiones de planeación y otras reuniones para
asegurar que los controles operen efectivamente.
• Si el personal es cuestionado periódicamente para establecer si
ellos entienden y cumplen con el código de conducta de la Entidad
y desempeñan regularmente actividades críticas de control.
• Efectividad en las actividades de la Auditoría Interna.
Administración de Riesgo3 como apoyo al
Control Interno y a la Auditoría Interna
El COSO II ha desarrollado una estructura conceptual para la administración del riesgo empresarial denominada E.R.M.4 (sigla del inglés) para el
entendimiento de la formulación y seguimiento de un proceso básico en
la administración del riesgo como apoyo al buen gobierno corporativo y
mejores medidas de control en una organización.
La gestión o administración de riesgo empresarial ERM es un proceso estructurado, consistente y continúo a través de toda la organización para
identiicar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos, cuya deinición formulada
por el COSO II fue de:
“Es un proceso, efectuado por la Junta Directiva o el Consejo de Administración, la Alta Gerencia y otro personal de un ente económico, mediante
la determinación de una estrategia diseñada para identiicar los eventos
potenciales que la pueden afectar y para administrar los riesgos que se
encuentran dentro de la cantidad de riesgo que un ente económico esté
dispuesto a aceptar en la búsqueda de valor, para así proveer seguridad
razonable en relación con el logro de sus objetivos”.
24
3
En capítulos separados se tratará el tema del ERM.
4
Enterprise Risk Management.
Primera Parte
CONTROL INTERNO Y RIESGOS
CAPÍTULO 1
El control interno
(Modelos)
CP Miguel Antonio Cano (q.e.p.d.)
CP Rodrigo Estupiñán Gaitán
¿Qué es el Control Interno?
“Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar razonable conianza en que los objetivos de los
negocios serán alcanzados y que los eventos indeseados serán prevenidos
o detectados y corregidos”.
El control interno es deinido en forma amplia como un proceso, efectuado por el Consejo de Administración, la Dirección y el resto del personal
de una Entidad, diseñado para proporcionar una razonable seguridad con
miras a la realización de objetivos en las siguientes categorías:
• Efectividad y eiciencia de las operaciones
• Coniabilidad de la información inanciera
• Acatamiento de las leyes y regulaciones aplicables
La primera categoría apunta a los objetivos básicos de la empresa, incluyendo metas de desempeño rentabilidad y salvaguarda de recursos.
33
Otros títulos de su interés
Pruebas selectivas en la auditoría
Rodrigo Estupiñán Gaitán
Auditoría de control interno
Samuel Alberto Mantilla
Auditoría de costos
Carlos Augusto Rincón
Control interno, informe COSO
TR. Samuel Alberto Mantilla
Diccionario de comercio internacional
Cristóbal Osorio Arcila
IFAC - Tr. Samuel Alberto Mantilla
Auditoría del sector solidario
Hernán Cardozo Cuenca
Administración de riesgos
E.R.M. y la auditoría interna
A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el
control vigente los neutraliza se evalúa la vulnerabilidad del sistema de control interno.
El establecimiento de objetivos relacionados con las operaciones, con la información
política institucional, 3) reorganizaciones o reestructuraciones internas, 4) ingreso de
empleados nuevos, o rotación de los existentes, 5) nuevos sistemas, procedimientos y
tecnologías, 6) aceleración del crecimiento y 7) nuevos productos, actividades o
funciones. Todo ello se replantea en esta segunda edición de Administración de riesgos
E.R.M. y la auditoría interna.
Las Normas Internacionales para el Ejercicio de la Auditoría Interna (NIEPAI) actualizadas
se presentan con sus correspondientes “consejos para la práctica”, así como las
indicaciones para el Auditor Interno; y los nuevos enfoques dentro de los métodos de
“Auditoría Bajo Riesgo”.
dentro del Manual del Usuario KAREN Knowledge Administrative Risk Enterprise
“Conocimiento en Administración del Riesgo Empresarial”.
Colección: Ciencias empresariales
Área: Auditoría
ISBN 978-958-771-112-7
9 789587 711127
e-ISBN 978-958-771-092-2