RIESGOS Y CONTROLES

RESUMEN EJECUTIVO

• Las empresas productivas, de servicios, las organizaciones gubernamentales, los bancos,

empresas financieras compiten en un mundo globalizado que les exige demostrar a sus dueños,
al público, a los organismos contralores, al mercado, una gestión formal y competente.

• Necesitan generar funciones de administración de riesgos, automatizar sus funciones de auditoria

y mejorar su ambiente de control interno.

• Necesitan potenciar la autoevaluación de controles por parte de las líneas.

• Deben responder a las normas locales e internacionales de autoevaluación de la gestión de sus

negocios.

Conceptos básicos de Riesgos

Exposición = Riesgo – Control (E = R-C)

– Riesgo: Cualquiera de las variables importantes de incertidumbre que interfiera con el logro de los
objetivos y las estrategias del negocio.

– Control/Mitigación: Es la acción de corregir o reducir la incertidumbre de los eventos

significativos de riesgo a través de la administración, la transferencia o eliminación del riesgo.

– Exposición: Susceptibilidad de los objetivos y estrategias de negocio de la materialización de los

riesgos aún después de haber ejecutado las actividades de mitigación y control.

¿Qué nos aporta como individuos dominar los enfoques de administración de riesgos?

• Facilitamos nuestro trabajo removiendo los obstáculos para el logro de los objetivos en las
unidad de negocios

• Clarificamos el rol esperado en el manejo de los riesgos de su unidad de negocios

• Aumentamos el conocimiento acerca los riesgos de su unidad de negocios

• Nos enfocamos en lo que es más importante controlar

• Entregamos apoyo para lograr que las cosas se resuelvan o bien influenciamos en aquellos que
pueden resolver los asuntos

• Somos parte integral y no espectadores de las prácticas y actividades de las unidad de

negocios
INFORME COSO

Definición de Control Interno

Es un proceso, efectuado por el Directorio, la Gerencia y el resto del personal de una entidad ,
diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución
de objetivos específicos, los cuales se clasifican en las siguientes tres categorías:

– Eficacia y eficiencia de las operaciones

– Fiabilidad de la información financiera
– Cumplimiento de leyes y normativa aplicable

Componentes del CI

• El Entorno de Control
• La Evaluación de Riesgos
• Las Actividades de Control
• La Información y Comunicación
• La Supervisión

Estos cinco componentes “cruzan” a los tres objetivos de control previamente señalados.

Ambiente de Control

➢ Integridad y valores éticos

➢ Competencia
➢ Comité de auditoría
➢ Filosofía administrativa y estilo de dirección
➢ Estructura organizacional
➢ Asignación de autoridad y responsabilidad
➢ Política de recursos humanos

Evaluacion de Riesgos

➢ Objetivos institucionales
➢ Objetivos específicos
➢ Operativos
➢ Información financiera
➢ Cumplimiento
➢ Análisis de riesgos
➢ Organización (externos / internos)
➢ Actividad
➢ Análisis (trascendencia / probabilidad / control)
➢ Manejo de cambios (reorganizaciones / políticas / sistemas y procedimientos)

Actividades de Control

Actividades de control sobre:

➢ Las operaciones
➢ La información financiera
➢ El cumplimiento
Tipos de control:

➢ Preventivos / correctivos
➢ Manuales / automatizados
➢ Gerenciales

Informacion y Comunicacion

➢ Sistemas de información:
➢ Apoyo actividades estratégicas
➢ Integración con las operaciones
➢ Calidad
➢ Comunicación :
➢ Interna / externa
➢ Medios

Supervisión y Seguimiento

➢ Supervisión concurrente
➢ Evaluaciones independientes
➢ Alcance y frecuencia
➢ Quiénes evalúan
➢ Proceso de evaluación
➢ Metodología / documentación
➢ Plan de acción
➢ Reportes de deficiencias

Coso es un modelo no es una metodología de control

COSO al ser un marco amplio no define como evaluar, ni cuantificar los riesgos.

Evaluación de Riesgos (COSO)

La evaluación del riesgo consiste en la identificación y análisis de los factores que podrían afectar la
consecución de los objetivos, y, en base a dicho análisis, determinar la forma en que los riesgos
deben ser gestionados.

De acuerdo a COSO, existirían tres grandes objetivos de control:

– Eficacia y eficiencia de las operaciones

– Fiabilidad de la información financiera
– Cumplimiento de leyes y normativa aplicable

La identificación y el análisis de los riesgos es un proceso interactivo, continuo y constituye un

componente fundamental de un eficaz sistema de control interno. La Dirección debe examinar
detalladamente los riesgos existentes a todos los niveles de la empresa y adoptar las medidas
oportunas para administrarlos.
En el Desarrollo de la Matriz de Riesgos de la Organización
▪ Identificando los riesgos.

▪ Asignando responsabilidades por su administración.

▪ Asignando responsabilidades por su monitoreo.

▪ Estructurando la matriz de riesgo final.

DESARROLLO Y CONSTRUCCION DE MODELOS DE RIESGOS

Ejemplo de definiciones de riesgos a considerar en la formalización de un modelo:

Riesgo Filiales:
Involucra al riesgo conjunto y por separado que proviene de la operación de todas las filiales de la
empresa.

Riesgo Fusión/Reestructuración/Globalización:
Es aquel resultante de procesos de fusión o la necesidad de adaptarse a cambios rápidos e
importantes de la organización.

Riesgo Ambiental:
Son riesgos derivados de potenciales daños al Medio Ambiente externo a causa de proyectos
emprendidos o respaldados por la empresa. En algunos países de Europa es un riesgo ya tipificado
en el modelo de control interno. Involucra también su consideración al momento de aprobar créditos
en orden a que los clientes cumplan con requisitos ambientales.

Riesgo de Auditoría:
Son propios de los impactos producto de las fallas en los procesos de auditoria, tanto interna como
externa. Direcciona tres tipos de sub riesgos de auditoria: Inherente, de Detección y de Control

Riesgo Inherente:
• Es la probabilidad de que en un rubro existan igual errores importantes, independiente del control
interno afecto. (Riesgo Puro)
• En el análisis de este riesgo, la metodología aconseja ignorar inicialmente el control interno. Para
acotar este riesgo debemos analizar:
Naturaleza e historia de la empresa
Integridad y estilo de administración
Ciclo y tipo de productos
Partes relacionadas, sanciones Anteriores
Historia de fraudes. Etc.

Riesgo de Detección:
Es aquel riesgo que podrá ocurrir en que habiéndose auditado un área o segmento del Banco, igual
se materialice la cota de riesgo determinada como aceptable.

Riesgo de Control:
Es la medición del auditor en que errores superiores a una cota predeterminada no sean percibidos
por la estructura de control interno; en términos simples, algo así como que se les pasó un error y no
lo descubrieron.
La Guía Combinada Turnbull: Autoevaluación de la Gobernabilidad Corporativa

Control Interno y Riesgos

La calidad del sistema de control interno de una compañía juega un papel clave en la administración
de los riesgos que son relevantes para el cumplimiento de los objetivos de negocio.

Los directores de empresas deberán efectuar al menos una vez al año un análisis de la efectividad
del sistema de cada compañía o grupo en cuanto al control interno y deberán informar de ello a los
accionistas.

Ambito del Control Interno

La Guía Turnbull indica que el sistema de control interno:

▪ Debería ser parte o estar incluido en las operaciones y no ser tratado como un aspecto o ejercicio
separado.
▪ Ser capaz responder a la dinámica de los riesgos tanto internos como externos de la compañía.
▪ Posibilitar que cada compañía las aplique de una forma apropiada en relación a sus riesgos
claves.

Nigel Turnbull:

“Nos hemos focalizado en producir una guía práctica que asegurará que el Directorio está al tanto de
los riesgos significativos que encara su compañía y los procedimiento que existen para manejarlos.”

“La administración de riesgos debería formar parte integral de toda empresa y no ser un mero
ejercicio para cumplir con los requerimientos reglamentarios”

“El evaluar y controlar los riesgos de manera eficiente nos permitirá garantizar que no se desperdicien
oportunidades de negocio, incrementará las ventajas competitivas y evitará que perdamos tiempo
apagando incendios.”

ROL DE LA GERENCIA Y DEL DIRECTORIO

• La gerencia deberá examinar en forma continua los riesgos significativos que enfrenta la
organización, determinar la probabilidad de que se materialicen, crear y mantener las
capacidades de reducir e impacto de materialización de los riesgos.

• Una vez establecida la prioridad de los riesgos, los directores deberán decidir su estrategia de
control preferida para cada caso, con el fin de aceptarlos, evitarlos, traspasarlos o mitigarlos.

• El Directorio deberá recibir regularmente informes sobre el control interno entregados por los
gerentes de línea y si corresponde, por especialistas de área tales como auditores, expertos en
seguridad y prevención de riesgos.

Información a los Accionistas

La Guía Combinada Turnbull no exige al Directorio el analizar los principales riesgos en la Memoria
anual de la Compañía.
Sin embargo, solicita revelar en dicha Memoria los procesos en curso para identificar, evaluar y
administrar los riesgos corporativos más relevantes. Asimismo, deberá resumir sus procesos para
garantizar la efectividad del control interno.

Resumen de las Responsabilidades del Directorio

▪ Es responsable del control interno

▪ Establece políticas relativas a riesgos y control para la implementación por parte de la gerencia
▪ Revisa la efectividad del control interno y formación de su propia visión
▪ Entrega una guía de categorías y definiciones de los riesgos ‘aceptables’
▪ Define procesos para su revisión de la ‘efectividad’
▪ El Directorio no puede confiar solamente en los procesos integrados en la compañía
▪ Recibe y revisa en forma regular informes de control interno
▪ Dirige una evaluación anual
▪ Emite una declaración anual pública

Guía Turnbull: Ejemplo de Implementación

• Generación de matrices de riesgos por categorías según el tipo de negocio, determinando:

– Riesgos primarios
– Drivers
– Impacto
– Probabilidad
– Controles
– Responsables
– Formas de reporte al Directorio

• Informe de resultados: Estado de riesgos y controles, prioridades de auditoria, calidad de los

monitoreos, etc.

La Autoevaluación de Controles (CSA)

Control Self Assessment (CSA).

¿Qué es CSA?

El Control Self Assessment o la auto evaluación de controles, lo podemos definir como:

▪ Un proceso formal y documentado,

▪ Generalmente apoyado por herramientas especializadas de software y hardware,
▪ En el cual el gerente de línea y/o el propio grupo de trabajo directamente involucrado en una
función de negocios, juzga la efectividad de sus procesos, en especial los riesgos y controles,
▪ Que facilita la decisión y reporte de si todos o parte de los objetivos operacionales o de negocios
serán alcanzados en una forma razonablemente segura.

Base conceptual del CSA

▪ La simplicidad del concepto de CSA, que en el fondo no es más que preguntarles a quienes
conocen realmente los problemas y las respuestas, permitirles que ellos mismos tomen las
responsabilidad por las soluciones, no diminuye nuestra habilidad de auditores para considerar y
tomar decisiones independientes acerca de unidades individuales de negocios.
▪ Sin embargo, como contrapartida, el CSA no es efectuado por individuos independientes de las
operaciones bajo su revisión, por lo tanto, no reemplaza las actividades de auditoria interna sino
más bien las complementa.

Fases para implementación de un CSA

▪ Fase 1. Evaluación de la organización a cubrir y/o partes de ésta (gerencias involucradas,

responsables y proyecto de implementación),

▪ Fase 2. Determinación de estrategias organizacionales, determinación de las áreas de riesgo y

los objetivos primarios.

▪ Fase 3. Determinación de estándares de control a utilizar

▪ Fase 4. Adquisición y/o construcción de las herramientas de software y hardware para el

soporte del CSA, (Methodware, VA, BA).

▪ Fase 5. Determinación de formas de adiestramiento para la línea como para auditoría,

procedimientos de implementación, procedimientos de operación, reportes, métodos de monitoreo
y mantención de las herramientas CSA.

▪ Fase 6. Proceso Piloto y masificación de la metodología

▪ Fase 7. Mantención y generación de nuevas bases de conocimientos.

Rol del Auditor bajo CSA.

▪ El auditor pasa de ser un evaluador formal e independiente a: líder, facilitador, adiestrador

en riesgos, seguridad y control, asesor en controles, especialista en determinar las áreas de
riesgo relevantes, difusor de los programas de control y de los métodos CSA

▪ El auditor interno normalmente mejora su típica imagen confrontacional, acusativo, celoso de

normas y procedimientos al tener que vender una imagen de profesional abierto al dialogo y a
las discusiones, que busca resultados en forma cooperativa y positiva.

▪ El departamento de auditoria interna no renuncia a ninguna de sus funciones y responsabilidades,

por el contrario agrega esta función.

▪ Sin embargo, hay que considerar que no existe un CSA de aplicación universal: cada industria u
organización deberá adaptar sus propios programas CSA bajo el mando de sus auditores internos
o consultores.

▪ Los auditores no serán evaluados en función del número de observaciones o de hallazgos que
efectúen, sino mas bien por las mejoras logradas a través del monitoreo y acciones adoptadas por
sus propios clientes.

▪ Los auditores se transforman cada vez más en consultores y profesionales de la seguridad y

control organizacional.
Beneficios.
Aplicando CSA logramos:

▪ Mejorar la cultura del control y promover su entendimiento entre los empleados.

▪ Ampliar la cobertura de las auditorías tradicionales y enfocarse en temas críticos.
▪ Demostrar la existencia y eficiencia de los controles.
▪ Asumir en mejor forma las responsabilidades por riesgos, procedimientos y controles.
▪ Asegurar el cumplir con las leyes y regulaciones y bajar el grado de exposición ante problemas
legales y de imagen.
▪ Reducir los riesgos de fraudes y errores.
▪ Adoptar rápidas acciones correctivas.
▪ Aprovechar nuevos esquemas y tecnologías de control estándares, tales como el COSO, COBIT,
Cadbury Code, Turnbull, ISOs, SOA, y otros estándares.
▪ Facilitar el entrenamiento del personal en las mejores prácticas de control.
▪ Lograr un monitoreo continuo de los principales controles.
▪ Hacer benchmarking industrial.
▪ Sistematizar las políticas y manuales de procedimientos.

Beneficios del CSA para el Auditor

▪ El auditor evoluciona desde un rol policial al de facilitador y asesor de controles, políticas de

control y seguridad.

▪ Los gerentes asumen con más propiedad, el monitoreo y el registro de los controles bajo su
responsabilidad

▪ Con CSA la auditoria interna se puede orientar a trabajar sobre los riesgos mayores de la
organización. Auditoría puede racionalizar su planta de personal.

▪ CSA favorece la renovación o reingeniería de las estructuras de control interno.

Algunas reflexiones sobre el CSA

▪ El valor del enfoque de CSA nadie lo discute y está lo suficientemente maduro. Los auditores
debemos enfatizar el potencial rol del CSA en nuestras organizaciones.
Deberemos contar con auditores amigos de las tecnologías, de la seguridad y controles a los
sistemas de información.

▪ En general, los auditores que dominan los sistemas de información están más cercanos a ser los
innovadores o motores sobre a materia. Sin embargo, los auditores que se dediquen a este tema
necesitarán habilidades simultáneas de manejo de personas y de tecnologías.

▪ Las herramientas utilizadas por CSA normalmente corresponden a nuevos hardware y software
que deben ser conducidas en ambientes grupales de decisión. (Computer Aided Decision Tools o
Techniques).